fbpx

Co to jest i po co to jest? – KLAUZULA INFORMACYJNA

utworzone przez | lip 24, 2018

W sposób szczególny zmiany wynikające z RODO dają się zauważyć w utworach literackich określanych mianem: „klauzula informacyjna”.

Są to opracowania wynikające wprost z Rozdziału III Prawa osoby, której dane dotyczą. Podstawą prawną do takiej twórczości jest wariantowe zestawienie artykułów 12. i 13. (jeśli dane osobowe są zbierane bezpośrednio od osoby, której dotyczą) lub artykułów 12. i 14. (jeśli dane osobowe zostały pozyskane inaczej niż bezpośrednio od osoby, której dotyczą).

Co to oznacza w praktyce…
  1. Klauzula informacyjna powinna być napisana w prosty sposób, przy użyciu ogólnie stosowanych słów i sformułowań, przez co powinna być łatwa do zrozumienia dla przeciętnego czytelnika. Jest to szczególnie istotne wtedy, kiedy jej czytelnikiem będzie dziecko.
  2. Elementem obligatoryjnym jest podanie danych identyfikacyjnych administratora, który będzie te dane przetwarzać. Dodatkowo, jeśli w przetwarzaniu mają udział inne podmioty, to należy przedstawić dane dotyczące odpowiednio;
    1. przedstawiciela administratora – osoby lub podmiotu, który w kraju reprezentuje administratora, który jest podmiotem zagranicznym,
    2. kontaktu z inspektorem ochrony danych osobowych – specjalistą, który wspiera administratora w realizacji działań przetwarzania danych osobowych,
    3. procesora – podmiotu realizującego przetwarzanie danych osobowych w celach i sposobami wskazanymi przez administratora.
  3. Na kolejnych miejscach RODO nakazuje poinformować o:
    1. celach i podstawach legalności przetwarzania,
    2. w zależności od zaistnienia:
      1. o prawnie uzasadnionych interesach administratora,
      2. o odbiorcach danych osobowych i kategoriach danych do przekazania,
      3. o zamiarze przekazania danych od innych podmiotów, krajów trzecich lub organizacji międzynarodowych,
    3. czasie przetwarzania albo o przesłankach, które wpływają na długość tego czasu,
    4. prawach osoby, której dane są przetwarzane:
    5. do żądania dostępu do danych, ich sprostowania, usunięcia (bycia „zapomnianym”) lub ograniczenia ich przetwarzania, wniesienia sprzeciwu wobec ich przetwarzania przez tego administratora oraz do ich przenoszenia,
      1. do cofnięcia w każdym czasie zgody na przetwarzanie danych osobowych, jeśli to zgoda jest przesłanką legalności ich przetwarzania,
      2. do wniesienia do organu nadzorczego skargi na przetwarzanie,
      3. do niepodlegania decyzjom podejmowanym wyłącznie w wyniku automatycznego przetwarzania danych osobowych (profilowania),
      4. do informacji o źródle danych, jeśli nie zostały zebrane wprost od osoby, której dotyczą.

Ostatnim ustępem w obu artykułach (13. i 14.) jest podobnie brzmiąca sentencja, którą można streścić słowami: nie ma wymogu przekazywania tych informacji, jeśli i w zakresie, w jakim osoba, której dane dotyczą, już to wie…

Zastanówmy się, co może się kryć za tym trudnym, wielokrotnie złożonym zdaniem…
  1. W przypadku przetwarzania danych osobowych pozyskanych z innego źródła niż wprost od osoby, której dotyczą mamy prawo oczekiwać, że osoba ta została poinformowana o swoich prawach związanych z udzielaniem i cofaniem zgody, dostępem do danych, ich poprawianiem, usuwaniem, przenoszeniem, profilowaniem, ograniczaniem, sprzeciwianiem i całej reszcie ewentualnych uprawnień związanych ze specyfiką przetwarzania. Pozostaje więc podać tylko informacje o administratorze i ewentualnych innych podmiotach uczestniczących w przetwarzaniu oraz o specyficznych szczegółowych warunkach, które go dotyczą.
  2. W sytuacji, kiedy przetwarza się dane osoby, która podlega uregulowanym algorytmom wynikającym z przynależności do określonej społeczności (gmina, powiat, województwo, przychodnia, ZUS, itp.) obowiązek informacyjny wymaga wypełnienia przy pierwszym po dacie 25 maja 2018 roku uczestnictwie tej osoby w procedurach właściwych dla tej społeczności. Wystarczy więc, że taka osoba raz zostanie zapoznana z klauzulą informacyjną i to potwierdzi (najlepiej na piśmie), żeby administrator był w przyszłości zwolniony z potrzeby powtarzania tego procesu informacyjnego. To może mieć istotny wpływ na tempo i atmosferę, które będą towarzyszyć załatwianiu spraw.
  3. W przypadku pozyskiwania danych osobowych za pomocą algorytmów zaszytych w stronach internetowych, np. związanych z nawiązywaniem kontaktu przez osoby zainteresowane ofertą organizacji, potrzeba zintegrować nawiązanie takiego kontaktu z potwierdzonym przekazaniem klauzuli informacyjnej zainteresowanej osobie. Także wtedy, gdy kontakt będzie podtrzymywany (powtarzany), wystarczy zrobić to za pierwszym razem i nie ma potrzeby ponownego epatowania tej konkretnej osoby klauzulą informacyjną.
  4. Dla zapewnienia sobie możliwości wykazania spełnienia obowiązku informacyjnego administrator powinien dążyć do uzyskania trwałego (np. pisemnego) potwierdzenia osoby, której dane przetwarza, że zapoznała się z klauzulą informacyjną.
KonkluzjaAnaliza tej części RODO skłania mnie do propagowania idei wprowadzenia do szkół spraw tyczących przetwarzania i ochrony danych osobowych. Opisane powyżej zagadnienia mogą być w prosty sposób przedstawione dzieciom i młodzieży w ramach obowiązkowych zająć ujętych w programie przedmiotu dotyczącego zagadnień społecznych – „Wiedza o społeczeństwie”. Takie działanie byłoby w przyszłości istotnym argumentem uzasadniającym upraszczanie procedur informacyjnych związanych z rodo – znaczyłoby bowiem, że każdy, kto ukończył edukację w stopniu podstawowym te informacje już posiada.

Stanisław J. Rysz