당신은 주제를 찾고 있습니까 “informacja rodo na stronie – Prosta Strona Internetowa a RODO“? 다음 카테고리의 웹사이트 https://ppa.charoenmotorcycles.com 에서 귀하의 모든 질문에 답변해 드립니다: https://ppa.charoenmotorcycles.com/blog/. 바로 아래에서 답을 찾을 수 있습니다. 작성자 NetGonet 이(가) 작성한 기사에는 조회수 596회 및 좋아요 21개 개의 좋아요가 있습니다.
informacja rodo na stronie 주제에 대한 동영상 보기
여기에서 이 주제에 대한 비디오를 시청하십시오. 주의 깊게 살펴보고 읽고 있는 내용에 대한 피드백을 제공하세요!
d여기에서 Prosta Strona Internetowa a RODO – informacja rodo na stronie 주제에 대한 세부정보를 참조하세요
Z tego filmu dowiesz się na temat RODO przy prostej stronie internetowej.
Płatny sprawdzony wzór polityki prywatności:
https://netgonet.pl//wzory-dokumentow
kod rabatowy: netgonet
➡️ Co powinna zawierać strona internetowa zgodna z RODO
➡️ Jak sprawdzić czy Twoja strona wykorzystuje pliki cookie
Jeśli potrzebujesz wsparcia dotyczącego marketingu lub nowej strony internetowej napisz do mnie.
➡️ [email protected]
📕 Znajdziesz mnie również:
===============================
📝Blog: https://netgonet.pl/
🌎 Strony internetowe dla firm: https://netgonet.pl/oferta
👥Facebook: https://www.facebook.com/netgonet
📸 Instagram: https://www.instagram.com/krzysztof.gonet
informacja rodo na stronie 주제에 대한 자세한 내용은 여기를 참조하세요.
Klauzula informacyjna RODO na stronie internetowej
Na każdym z tych podmiotów ciąży obowiązek przekazania kompleksowej informacji o przetwarzaniu danych osobowych osobie, której dane dotyczą. Dobrym miejscem na …
Source: lektorski.pl
Date Published: 2/20/2021
View: 3559
Czy klauzula informacyjna jest potrzebna na stronie? – i-host
RODO obliguje m.in. właścicieli stron internetowych do realizacji … w którym znajdzie informacje niezbędne do udzielenia zgody na …
Source: www.i-host.pl
Date Published: 9/10/2021
View: 6219
Co powinna zawierać strona internetowa zgodna z RODO?
Okno formularza powinno zostać dodatkowo zaopatrzone w klauzulę informacyjną lub zawierać skróconą informację o przetwarzaniu danych z podpiętym …
Source: poradnikprzedsiebiorcy.pl
Date Published: 6/18/2021
View: 4487
Polityka prywatności na stronach internetowych. Jak właściwie …
Czy przedsiębiorca na stronie internetowej musi stosować RODO? … Po drugie, administrator powinien wskazać informacje o odbiorcach danych lub o …
Source: www.parp.gov.pl
Date Published: 5/30/2021
View: 2485
Strona internetowa zgodna z RODO | Co do zasady
pierwsza warstwa klauzuli informacyjnej, zawierająca dane entyfikacyjne administratora danych, informację na temat praw podmiotów danych i celów przetwarzania …
Source: codozasady.pl
Date Published: 12/1/2022
View: 3650
Klauzula RODO – Obowiązek informacyjny na stronie …
Każdy właściciel bądź administrator strony internetowej lub sklepu online jest nim objęty i powinien dostosować te informacje do dnia …
Source: clouds.pl
Date Published: 11/27/2021
View: 4704
Strona internetowa zgodna z RODO. • Peace and Law
Klauzula RODO na stronie internetowej. … Czyli np. informacje o administratorze, cel zbierania danych, okres przechowywania etc.
Source: peaceandlaw.pl
Date Published: 8/4/2022
View: 7738
Obowiązek informacyjny w środowisku internetowym
link do strony, informacja o możliwości skorzystania z kodu QR itd.)30. RODO nie daje administratorom żadnych konkretnych wskazówek odnośnie treści informacji …
Source: rodo.iab.org.pl
Date Published: 10/14/2022
View: 2509
Obowiązek informacyjny w RODO – jak prawidłowo go spełnić
3 RODO, informacje o przetwarzaniu danych osobowych, administrator danych podaje … interesów administratora lub strony trzeciej, te realizowane interesy,.
Source: blog-daneosobowe.pl
Date Published: 12/12/2022
View: 3339
Klauzula Informacyjna RODO – WBT-IT
Klauzule informacyjne RODO na stronie internetowej można … w której wszystkie informacje zostały …
Source: wbt-it.pl
Date Published: 12/23/2021
View: 6979
주제와 관련된 이미지 informacja rodo na stronie
주제와 관련된 더 많은 사진을 참조하십시오 Prosta Strona Internetowa a RODO. 댓글에서 더 많은 관련 이미지를 보거나 필요한 경우 더 많은 관련 기사를 볼 수 있습니다.
주제에 대한 기사 평가 informacja rodo na stronie
- Author: NetGonet
- Views: 조회수 596회
- Likes: 좋아요 21개
- Date Published: 2019. 1. 31.
- Video Url link: https://www.youtube.com/watch?v=DgeJMmsDVC0
Jakie informacje RODO na stronie internetowej?
- tożsamość administratora danych osobowych.
- dane kontaktowe administratora.
- dane kontaktowe inspektora ochrony danych.
- cele przetwarzania i podstawa prawna.
- odbiorcy danych.
- okres przechowywania danych.
- źródło pochodzenia danych.
Czy na stronie internetowej musi być RODO?
RODO obliguje m.in. właścicieli stron internetowych do realizacji obowiązku informacyjnego. Jest to jedno z najważniejszych zobowiązań, jakie spoczywa na każdym z podmiotów, który gromadzi, przetwarza i pełni funkcję administratora danych osobowych.
Jak spełnić obowiązek informacyjny RODO?
RODO wskazuje, że obowiązek ten powinien zostać spełniony w dwóch sytuacjach. Gdy dane pozyskujemy bezpośrednio od osoby, której one dotyczą oraz w sytuacji gdy gromadzimy dane z innych źródeł – pośrednich.
Jak spełnić obowiązek informacyjny?
RODO mit – spełniając obowiązek informacyjny należy wysłać list polecony. Tylko poprzez otrzymanie potwierdzenia odbioru udowodnimy jego spełnienie. Obowiązek informacyjny wobec osób kontaktujących się z nami drogą mailową możemy spełnić poprzez umieszczenie jego skróconej wersji w stopce maila.
Jak napisać Rodo?
Wyrażam zgodę na przetwarzanie moich danych osobowych dla potrzeb niezbędnych do realizacji procesu rekrutacji (zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r.
Jak wypełnić klauzula informacyjną Rodo?
Zostałem/am poinformowany/a, o tym, że: Administratorem moich danych osobowych podanych w _______ [należy wypełnić] w związku z _______ [należy uzupełnić] jest ____[Należy podać dane administratora danych – nazwę, siedzibę, adres, dodatkowo należy podać dane przedstawiciela jeżeli istnieje].
Kto jest administratorem danych osobowych na stronie internetowej?
Przedsiębiorca, który np. prowadzi sklep internetowy staje się administratorem danych osobowych np. swoich klientów.
Czy polityka prywatności to to samo co Rodo?
Pewnie Cię zaskoczę – konieczność posiadania polityki prywatności nie wynika z RODO. W rozporządzeniu o ochronie danych osobowych nie ma wymogu posiadania takiego dokumentu jak polityka prywatności.
Kogo administrator danych będzie musiał powiadomić o naruszeniu ochrony danych osobowych?
Zgodnie z art. 33 ust. 1 RODO, w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art.
Kiedy nie ma obowiązku informacyjnego RODO?
RODO, daje także administratorowi podstawę zwolnienia z realizacji obowiązku informacyjnego, w przypadkach, kiedy przekazanie przez administratora informacji może uniemożliwić lub poważnie zaszkodzić realizacji celów przetwarzania.
Co powinien zawierać obowiązek informacyjny?
Jeśli pozyskujemy dane od osoby, której te dane dotyczą, klauzula musi zawierać : tożsamość administratora danych i dane kontaktowe (czyli nazwę, adres, mail, telefon), dane kontaktowe Inspektora Ochrony Danych (jeśli jest obowiązkowy)
Gdzie znajdują się klauzule informacyjne?
Jak przedsiębiorca klauzulę informacyjną o przetwarzaniu danych osobowych możemy umieścić np. na stronie internetowej firmy, pozostawić w widocznym miejscu w siedzibie firmy (np. w sekretariacie), załączać do umowy cywilnoprawnych. Zgodnie z art.
Kiedy jest naruszenie RODO?
4 pkt 12) RODO. W myśl tej definicji „naruszenie” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Czy informacją RODO musi być podpisana?
Jest więc jedynie oświadczeniem wiedzy, a nie oświadczeniem woli. Tym samym klauzula dla swej skuteczności nie musi zawierać podpisu ADO. Podstawa prawna: Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r.
Co nie jest elementem obowiązku informacyjnego?
Zwolnienie z obowiązku informacyjnego
Osoba, której dane dotyczą została już poinformowana o tym, że jej dane są przetwarzane. ADO powinien dysponować dowodami potwierdzającymi ten fakt. Administrator danych osobowych pozyskuje dane w inny sposób niż bezpośrednio od osoby, której dane dotyczą.
Co powinna zawierać polityka prywatności Rodo?
Polityka prywatności jest jednak przydatna. Ten dokument zawiera wszystkie informacje o sposobie zbierania i przetwarzania danych osobowych zbieranych za pośrednictwem strony internetowej. Zamiast kilku pojedynczych obowiązków informacyjnych rozsianych po całej stronie internetowej – wszystko będzie w jednym miejscu.
O czym zgodnie z art 13 Rodo administrator nie musi informować osoby od której zbiera dane?
Nie trzeba informować osoby, której dane dotyczą, o powierzeniu danych innemu podmiotowi na podstawie umowy powierzenia.
Kogo administrator danych będzie musiał powiadomić o naruszeniu ochrony danych osobowych?
Zgodnie z art. 33 ust. 1 RODO, w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art.
Kto jest administratorem danych osobowych na stronie internetowej?
Przedsiębiorca, który np. prowadzi sklep internetowy staje się administratorem danych osobowych np. swoich klientów.
Informacja o RODO na stronie internetowej
Klauzula informacyjna RODO na stronie internetowej
RODO czyli Rozporządzenie Ogólne o Ochronie Danych Osobowych nakłada na przedsiębiorcę obowiązek informacyjny o przetwarzaniu danych osobowych. Rozporządzenie skierowane jest do wszystkich podmiotów, które gromadzą lub wykorzystują dane osobowe osób fizycznych. Są to np. urzędy, szkoły, organizacje pozarządowe i firmy zajmujące się monitorowaniem osób lub przetwarzaniem danych osobowych. Na każdym z tych podmiotów ciąży obowiązek przekazania kompleksowej informacji o przetwarzaniu danych osobowych osobie, której dane dotyczą.
Dobrym miejscem na umieszczenie klauzuli informacyjnej RODO jest firmowa strona internetowa. Można ją zawrzeć np. w regulaminie świadczenia usług, obok formularza kontaktowego na stronie www lub w głosowym komunikacie zapowiedzi telefonicznej. Informacje należy umieścić na stronie w takim miejscu, żeby była łatwo dostępna. Warto stworzyć osobną podstronę zawierającą pełną klauzulę i w stosownych miejscach na witrynie internetowej umieścić odsyłacz do tej podstrony, np. w stopce (u dołu) strony, obok formularza kontaktowego, obok formularza rejestracyjnego, itp. Można też na firmowej stronie www udostępnić dokument PDF zawierający klauzulę do pobrania.
Jakie informacje powinny znaleźć się w klauzuli informacyjnej?
Powinna zawierać takie informacje jak:
tożsamość administratora danych osobowych
dane kontaktowe administratora
dane kontaktowe inspektora ochrony danych
cele przetwarzania i podstawa prawna
odbiorcy danych
okres przechowywania danych
źródło pochodzenia danych
informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu
prawa podmiotów danych
informacja o prawie wniesienia skargi do organu nadzorczego
Klauzula nie jest ściśle z góry określonym dokumentem. Może być sformułowana własnymi słowami. Ważne, aby formułka zawierała wymagane informacje i żeby była zrozumiała dla czytelnika. Klauzula informacyjna może mieć formę tabelki lub tekstową. Tekst z pewnością będzie lepiej prezentować się na stronie www, natomiast tabela to bardzo przejrzysta i czytelna forma, która sprawdzi się jako dokument PDF do pobrania ze strony lub jako wydruk.
Wzór klauzuli informacyjnej do ściągnięcia
Przygotowałem bezpłatny wzór takiej informacji. Jej treść należy dostosować do swoich potrzeb oraz uzupełnić dane. Plik jest w formacie dokumentu tekstowego .odt, który można edytować w standardowym edytorze tekstu – przykładowo programie pakietu biurowego LibreOffice lub OpenOffice (bezpłatne programy) lub Microsoft Office Word.
POBIERZ: WZÓR KLAUZULI INFORMACYJNEJ RODO
Co jeszcze trzeba wiedzieć o RODO?
Kto to jest właściciel danych osobowych?
W kontekście RODO jest to przykładowo klient firmy, współpracownik, potencjalny klient. Każda z tych osób jest właścicielem swoich danych osobowych.
Jakie dane osobowe podlegają ochronie?
Wszelkie dane pozwalające zidentyfikować osobę np.: imię, nazwisko, adres domowy, adres poczty elektronicznej, PESEL, tablice rejestracyjne, login internetowy, pseudonim, odcisk palca, fotografie twarzy, głos na nagraniu, kolor i kształt tęczówki, itp.
Jakie prawa ma właściciel danych osobowych?
Ma on prawo do wglądu do swoich danych, żądania ich sprostowania i uzupełniania, prawo do sprzeciwu wobec przetwarzania, prawo do ograniczenia przetwarzania, prawo do przenoszenia danych. Mówiąc ludzkim językiem, klient może skontaktować się z Twoją firmą i ma prawo na przykład zażądać usunięcia wszelkich jego danych osobowych, które firma posiada.
Kim jest administrator danych osobowych?
To przedsiębiorstwo, które przechowuje dane osobowe, czyli np. Twoja firma.
Kim jest inspektor danych osobowych?
Jest to osoba (np. pracownik firmy), z którą może skontaktować się właściciel danych osobowych (np. klient firmy) w sprawach dotyczących przetwarzania jego danych osobowych oraz korzystania z praw związanych z przetwarzaniem danych. Nie ma obowiązku zatrudniania inspektora. Inspektorem może być jeden z pracowników firmy, najlepiej odpowiednio przygotowany do tej funkcji np. poprzez szkolenie. W klauzuli informacyjnej należy umieścić dane kontaktowe do inspektora (np. adres e-mail, nr telefonu), aby można było się z nim skontaktować.
Kto ma obowiązek wyznaczenia inspektora danych osobowych?
Obowiązek taki mają podmioty publiczne, podmioty przetwarzające na dużą skalę dane wrażliwe oraz podmioty, których główna działalność polega na monitorowaniu osób na dużą skalę. Warto więc tutaj podkreślić, że tylko niektóre firmy mają obowiązek powoływania IDO (inspektora danych osobowych).
Jakie obowiązki w firmie ma inspektor danych osobowych?
Mówi o tym art. 39 RODO. Obowiązkami inspektora są:
informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach jakie na nich spoczywają
monitorowanie przestrzegania rozporządzenia w firmie
szkolenie personelu uczestniczącego w operacjach przetwarzania danych osobowych
współpraca z organem nadzorczym (Prezesem Urzędu Ochrony Danych Osobowych)
pełnienie funkcji punktu kontaktowego dla organu nadzorczego
Jakie może być źródło pochodzenia danych?
Czyli skąd firma pozyskała dane osobowe. Na przykład: osoby, których dane dotyczą; źródła publicznie dostępne.
Kim są odbiorcy danych?
Są to podmioty (np. współpracujące firmy), które mają dostęp do zgromadzonych przez firmę danych osobowych. Np.: dostawcy usług informatycznych (przykładowo firma informatyczna mająca dostęp do poczty elektronicznej firmy lub bazy danych klientów), firmy kurierskie (mają dostęp do danych adresowych klientów).
RODO a firmowa strona WWW
Czy strona internetowa firmy musi zawierać informacje o RODO? Informacje o przetwarzaniu danych osobowych powinny być łatwo dostępne dla zainteresowanych, dlatego sugeruję taką formułkę umieścić. Ustawa o ochronie danych osobowych (art. 11.) dodatkowo mówi, że podmiot, który wyznaczył inspektora danych osobowych, powinien udostępnić imię, nazwisko, adres poczty elektronicznej lub numer telefonu inspektora niezwłocznie po jego wyznaczeniu na swojej stronie internetowe, a jeśli jej nie prowadzi, to w sposób ogólnie dostępny w miejscu prowadzenia działalności.
Czy obowiązek RODO obejmuje osoby fizyczne?
RODO nie obejmuje osób fizycznych. Obejmuje przedsiębiorstwa, również prowadzenie działalności gospodarczej.
Jakich danych nie można przetwarzać?
Zabronione jest przetwarzanie danych osobowych ujawniających pochodzenie rasowe lub etniczne, przekonania religijne lub światopoglądowe, poglądy polityczne, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby (źródło: art. 9 ust. 1 RODO).
Jakie dane NIE podlegają ochronie?
Nazwy osób prawnych (np. nazwa firmy), dane kontaktowe osób prawnych, dane o osobach zmarłych, dane o płodach.
Przeczytaj następny wpis Co to jest RODO i kogo dotyczy? Poruszam tutaj zagadnienia dotyczące RODO, szczególnie w kontekście małej firmy.
Powrót do strony głównej bloga »
Informacja o RODO na stronie internetowej
Klauzula informacyjna RODO na stronie internetowej
RODO czyli Rozporządzenie Ogólne o Ochronie Danych Osobowych nakłada na przedsiębiorcę obowiązek informacyjny o przetwarzaniu danych osobowych. Rozporządzenie skierowane jest do wszystkich podmiotów, które gromadzą lub wykorzystują dane osobowe osób fizycznych. Są to np. urzędy, szkoły, organizacje pozarządowe i firmy zajmujące się monitorowaniem osób lub przetwarzaniem danych osobowych. Na każdym z tych podmiotów ciąży obowiązek przekazania kompleksowej informacji o przetwarzaniu danych osobowych osobie, której dane dotyczą.
Dobrym miejscem na umieszczenie klauzuli informacyjnej RODO jest firmowa strona internetowa. Można ją zawrzeć np. w regulaminie świadczenia usług, obok formularza kontaktowego na stronie www lub w głosowym komunikacie zapowiedzi telefonicznej. Informacje należy umieścić na stronie w takim miejscu, żeby była łatwo dostępna. Warto stworzyć osobną podstronę zawierającą pełną klauzulę i w stosownych miejscach na witrynie internetowej umieścić odsyłacz do tej podstrony, np. w stopce (u dołu) strony, obok formularza kontaktowego, obok formularza rejestracyjnego, itp. Można też na firmowej stronie www udostępnić dokument PDF zawierający klauzulę do pobrania.
Jakie informacje powinny znaleźć się w klauzuli informacyjnej?
Powinna zawierać takie informacje jak:
tożsamość administratora danych osobowych
dane kontaktowe administratora
dane kontaktowe inspektora ochrony danych
cele przetwarzania i podstawa prawna
odbiorcy danych
okres przechowywania danych
źródło pochodzenia danych
informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu
prawa podmiotów danych
informacja o prawie wniesienia skargi do organu nadzorczego
Klauzula nie jest ściśle z góry określonym dokumentem. Może być sformułowana własnymi słowami. Ważne, aby formułka zawierała wymagane informacje i żeby była zrozumiała dla czytelnika. Klauzula informacyjna może mieć formę tabelki lub tekstową. Tekst z pewnością będzie lepiej prezentować się na stronie www, natomiast tabela to bardzo przejrzysta i czytelna forma, która sprawdzi się jako dokument PDF do pobrania ze strony lub jako wydruk.
Wzór klauzuli informacyjnej do ściągnięcia
Przygotowałem bezpłatny wzór takiej informacji. Jej treść należy dostosować do swoich potrzeb oraz uzupełnić dane. Plik jest w formacie dokumentu tekstowego .odt, który można edytować w standardowym edytorze tekstu – przykładowo programie pakietu biurowego LibreOffice lub OpenOffice (bezpłatne programy) lub Microsoft Office Word.
POBIERZ: WZÓR KLAUZULI INFORMACYJNEJ RODO
Co jeszcze trzeba wiedzieć o RODO?
Kto to jest właściciel danych osobowych?
W kontekście RODO jest to przykładowo klient firmy, współpracownik, potencjalny klient. Każda z tych osób jest właścicielem swoich danych osobowych.
Jakie dane osobowe podlegają ochronie?
Wszelkie dane pozwalające zidentyfikować osobę np.: imię, nazwisko, adres domowy, adres poczty elektronicznej, PESEL, tablice rejestracyjne, login internetowy, pseudonim, odcisk palca, fotografie twarzy, głos na nagraniu, kolor i kształt tęczówki, itp.
Jakie prawa ma właściciel danych osobowych?
Ma on prawo do wglądu do swoich danych, żądania ich sprostowania i uzupełniania, prawo do sprzeciwu wobec przetwarzania, prawo do ograniczenia przetwarzania, prawo do przenoszenia danych. Mówiąc ludzkim językiem, klient może skontaktować się z Twoją firmą i ma prawo na przykład zażądać usunięcia wszelkich jego danych osobowych, które firma posiada.
Kim jest administrator danych osobowych?
To przedsiębiorstwo, które przechowuje dane osobowe, czyli np. Twoja firma.
Kim jest inspektor danych osobowych?
Jest to osoba (np. pracownik firmy), z którą może skontaktować się właściciel danych osobowych (np. klient firmy) w sprawach dotyczących przetwarzania jego danych osobowych oraz korzystania z praw związanych z przetwarzaniem danych. Nie ma obowiązku zatrudniania inspektora. Inspektorem może być jeden z pracowników firmy, najlepiej odpowiednio przygotowany do tej funkcji np. poprzez szkolenie. W klauzuli informacyjnej należy umieścić dane kontaktowe do inspektora (np. adres e-mail, nr telefonu), aby można było się z nim skontaktować.
Kto ma obowiązek wyznaczenia inspektora danych osobowych?
Obowiązek taki mają podmioty publiczne, podmioty przetwarzające na dużą skalę dane wrażliwe oraz podmioty, których główna działalność polega na monitorowaniu osób na dużą skalę. Warto więc tutaj podkreślić, że tylko niektóre firmy mają obowiązek powoływania IDO (inspektora danych osobowych).
Jakie obowiązki w firmie ma inspektor danych osobowych?
Mówi o tym art. 39 RODO. Obowiązkami inspektora są:
informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach jakie na nich spoczywają
monitorowanie przestrzegania rozporządzenia w firmie
szkolenie personelu uczestniczącego w operacjach przetwarzania danych osobowych
współpraca z organem nadzorczym (Prezesem Urzędu Ochrony Danych Osobowych)
pełnienie funkcji punktu kontaktowego dla organu nadzorczego
Jakie może być źródło pochodzenia danych?
Czyli skąd firma pozyskała dane osobowe. Na przykład: osoby, których dane dotyczą; źródła publicznie dostępne.
Kim są odbiorcy danych?
Są to podmioty (np. współpracujące firmy), które mają dostęp do zgromadzonych przez firmę danych osobowych. Np.: dostawcy usług informatycznych (przykładowo firma informatyczna mająca dostęp do poczty elektronicznej firmy lub bazy danych klientów), firmy kurierskie (mają dostęp do danych adresowych klientów).
RODO a firmowa strona WWW
Czy strona internetowa firmy musi zawierać informacje o RODO? Informacje o przetwarzaniu danych osobowych powinny być łatwo dostępne dla zainteresowanych, dlatego sugeruję taką formułkę umieścić. Ustawa o ochronie danych osobowych (art. 11.) dodatkowo mówi, że podmiot, który wyznaczył inspektora danych osobowych, powinien udostępnić imię, nazwisko, adres poczty elektronicznej lub numer telefonu inspektora niezwłocznie po jego wyznaczeniu na swojej stronie internetowe, a jeśli jej nie prowadzi, to w sposób ogólnie dostępny w miejscu prowadzenia działalności.
Czy obowiązek RODO obejmuje osoby fizyczne?
RODO nie obejmuje osób fizycznych. Obejmuje przedsiębiorstwa, również prowadzenie działalności gospodarczej.
Jakich danych nie można przetwarzać?
Zabronione jest przetwarzanie danych osobowych ujawniających pochodzenie rasowe lub etniczne, przekonania religijne lub światopoglądowe, poglądy polityczne, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby (źródło: art. 9 ust. 1 RODO).
Jakie dane NIE podlegają ochronie?
Nazwy osób prawnych (np. nazwa firmy), dane kontaktowe osób prawnych, dane o osobach zmarłych, dane o płodach.
Przeczytaj następny wpis Co to jest RODO i kogo dotyczy? Poruszam tutaj zagadnienia dotyczące RODO, szczególnie w kontekście małej firmy.
Powrót do strony głównej bloga »
Klauzula informacyjna a strona WWW – jak spełnić obowiązek RODO?
Bez względu na to, czy posiadasz prostą witrynę WWW, rozbudowany sklep online czy firmowego bloga, to ciążą na Tobie jako administratorze pewne prawne zobowiązania. Jeśli zbierasz i przetwarzasz dane swoich odbiorców, to musisz zapewnić im bezpieczeństwo. A w konsekwencji stosować przepisy określone w RODO. Jednym z nich jest obowiązek informacyjny oraz związana z nim klauzula. Z poniższego artykułu dowiesz się, czy taki dokument powinien pojawić się na każdej stronie internetowej.
Jak spełnić obowiązek informacyjny?
Przetwarzanie danych użytkowników w sieci odbywa się właściwie nieprzerwanie. Imię, nazwisko, adres e-mail czy miejsce zamieszkania to najczęściej pozyskiwane przez administratorów stron internetowych informacje o klientach firmy, czy subskrybentach. Personalia odbiorców są na tyle cenne, że podlegają należytej ochronie prawnej.
W Polsce regulacje dotyczące tego obszaru wynikają z różnych ustaw i aktów. Obecnie jest to przede wszystkim Rozporządzenie Ogólne o Ochronie Danych Osobowych, które weszło w życie w maju 2018 r. RODO obliguje m.in. właścicieli stron internetowych do realizacji obowiązku informacyjnego. Jest to jedno z najważniejszych zobowiązań, jakie spoczywa na każdym z podmiotów, który gromadzi, przetwarza i pełni funkcję administratora danych osobowych.
Za spełnienie obowiązków informacyjnych uznaje się więc wszelkie działania podejmowane przez administratora w celu udzielenia lub skierowania odbiorcy do miejsca, w którym znajdzie informacje niezbędne do udzielenia zgody na przetwarzanie jego danych. Sposobem realizacji wspomnianego zobowiązania jest najczęściej klauzula informacyjna RODO.
Klauzula informacyjna a strona WWW
Wiemy już, że klauzula informacyjna to realizacja obowiązków związanych z odpowiednią ochroną danych osobowych narzuconych przez RODO. Poza tym warto wiedzieć, że przyjmuje zwykle formę dokumentu, w którym zawiera się wszystkie niezbędne informacje na temat procesu przetwarzania. A to dlatego, że tego typu adnotacje należy przekazać odbiorcom na piśmie lub w formie elektronicznej np. mailowo albo pod postacią linku na stronie internetowej.
Czy więc klauzula informacyjna powinna zostać umieszczona w każdym serwisie? Za nieprzestrzeganie obowiązku informacyjnego przez firmy przetwarzające dane Prezes Urzędu Ochrony Danych Osobowych (UODO) może nałożyć wysokie kary finansowe. I choć rozporządzenie RODO nie narzuca obowiązującego szablonu dokumentu, to w sposób jasny precyzuje jego zawartość.
Dlatego też klauzula nie tylko powinna, ale właściwie musi znaleźć się na każdej stronie internetowej. Obowiązek informacyjny zachodzi w dwóch sytuacjach:
1. W przypadku zbierania danych od osoby, której one dotyczą (art.13 RODO). Warunkiem jest przekazanie danych przez odbiorcę w konkretnym celu np.
zawarcia i realizacji umowy,
umieszczenia komentarza pod wpisem na blogu,
zapisu na newsletter, webinar czy wydarzenie,
zakupu w e-sklepie,
wystawienia faktury,
przedstawienia oferty,
zapytania przez formularz kontaktowy.
O przetwarzaniu danych należy poinformować odbiorcę przed rozpoczęciem samego procesu lub najpóźniej w chwili ich zebrania.
2. W przypadku pozyskiwania danych inaczej niż od osoby, której wspomniane dane dotyczą (art.14 RODO). Przepis uwzględnia okoliczności, gdy weszliśmy w posiadanie danych z innych źródeł niż od samych zainteresowanych np. poprzez zakup gotowej bazy. W tym przypadku należy poinformować odbiorców w rozsądnym terminie – nie później niż w ciągu miesiąca.
Obowiązek informacyjny należy również zrealizować w następujących okolicznościach:
w przypadku chęci pozyskania nowych danych, które nie zostały zebrane w pierwszym kontakcie,
gdy administrator zmienia lub dodaje nowy cel przetworzenia danych,
podczas wykonywania żądania dostępu do danych.
Chcesz zrealizować obowiązek informacyjny RODO? Zamów darmową konsultację.
Nie musimy natomiast stosować klauzuli informacyjnej, jeśli:
dane zostały zanonimizowane,
zainteresowany, którego dane są przetwarzane, już uzyskał takie informacje,
ujawnienie i pozyskiwanie danych jest określone w prawie krajowym lub UE,
dane osobowe muszą pozostać poufne np. w celu zachowania tajemnicy zawodowej,
udzielenie takich informacji jest niemożliwe lub wymagałoby niewspółmiernego wysiłku.
Co powinna zawierać klauzula informacyjna?
Jak się okazuje, w przypadku klauzuli informacyjnej znaczenie ma zarówno treść dokumentu, jak i jego forma. Powinna zostać przygotowana przed administratora strony internetowej w taki sposób, aby zainteresowana osoba mogła bez problemów ją zrozumieć. Przyjmuje się więc, że należy sformułować ją zwięźle, zrozumiale, przejrzyście oraz prostym i jasnym językiem. A choć nie ma narzuconego powszechnego wzoru, to aby zachować zgodność z RODO, musi zawierać m.in.
tożsamość i informacje kontaktowe administratora danych,
cele oraz podstawę prawną przetwarzania danych osobowych,
informacje o odbiorcach danych lub o kategoriach odbiorców, którym dane mogą być przekazywane,
długość przechowywania danych osobowych,
gdy ma to zastosowanie: dane kontaktowe inspektora ochrony danych osobowych, prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią; informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej,
informacje o prawach osób, których dane dotyczą (możliwość zmiany danych, cofnięcia zgody, dostępu do treści, złożenia skargi do PUODO),
informację o ewentualnym dokonywaniu profilowania danych.
W przypadku pozyskiwania informacji w inny sposób należy poinformować o źródle pochodzenia oraz kategoriach przetwarzanych danych.
Jakie klauzule informacyjne należy zawrzeć na stronie WWW?
Klauzule informacyjne nie tylko powinny zawierać wszystkie wymagane prawem informacje, ale również, co do zasady należy je umieszczać przy formularzu kontaktowym w sposób czytelny i widoczny. Ich treść należy przygotować jasno i zrozumiale dla wszystkich odbiorców. Istnieją przypadki, w których podstawą przetwarzania jest wyrażona przez zainteresowanych zgoda. W takich sytuacjach na administratorze ciąży ponadto obowiązek jej pozyskania i udokumentowania.
Rozporządzenie RODO wprowadziło pełną jawność w przetwarzaniu danych osobowych. Wiąże się również z dodatkowymi obowiązkami. Te zaś można na stronie internetowej zrealizować poprzez różnorodne klauzule informacyjne, wśród których możemy wyróżnić np. klauzulę plików cookies, politykę prywatności czy klauzulę przy newsletterze. Można je przedstawić skrótowo i umieścić link do pełnej i jasno sformułowanej wersji.
Pamiętaj, że nie istnieje gotowy szablon klauzuli dla każdej strony internetowej. Przekazywane w ramach obowiązku informacje są bowiem dostosowane do rzeczywistej sytuacji. Dlatego warto skorzystać w tej sprawie z pomocy specjalistów, którzy stworzą dla witryny gotowy pakiet RODO. A jeśli chcesz zapewnić bezpieczeństwo serwisu, to sprawdź, jakie mogą być skutki braku certyfikatu SSL dla Twojego biznesu.
Obowiązek informacyjny RODO
Obowiązek informacyjny jest jednym z obowiązków nałożonych na administratora danych przez przepisy RODO. Obowiązek ten zakłada, że osoba, której dane są przetwarzane ma prawo do uzyskania informacji na temat przetwarzania jej danych osobowych. Powinien on zostać wykonany gdy administrator pozyska dane osobowe.
RODO wskazuje, że obowiązek ten powinien zostać spełniony w dwóch sytuacjach. Gdy dane pozyskujemy bezpośrednio od osoby, której one dotyczą oraz w sytuacji gdy gromadzimy dane z innych źródeł – pośrednich. Jak wskazuje motyw 60 preambuły RODO obowiązek ten ma na celu poinformowanie osoby, której dane są przetwarzane o fakcie przetwarzania jej danych oraz o celach takiego przetwarzania. Obowiązek taki powinien zawierać szereg informacji, które mają zapewnić rzetelność i przejrzystość przetwarzania.
Jak wspomniano powyżej zakres obowiązku informacyjnego zależy od tego od kogo pozyskujemy dane osobowe. W przypadku gdy dane osobowe pozyskujemy bezpośrednio od osoby, które dane dotyczą obowiązek informacyjny jest wykonywany w oparciu o art. 13 ust. 1 i 2 RODO. Informacje jakie powinny znaleźć się w klauzuli informacyjnej to m.in.:
Tożsamość i dane kontaktowe administratora oraz Inspektora Ochrony Danych jeśli został on ustanowiony;
Cele oraz podstawy przetwarzania danych,
Jeśli podstawą przetwarzania jest art. 6 ust. 1 lit. f RODO należy wskazać jaki jest prawnie uzasadniony interes realizowany przez administratora,
Informacja o odbiorcach danych,
o przekazaniu danych do państw trzecich lub organizacji międzynarodowych jeśli ma to miejsc,
o okresie przechowywania danych.
Wszystkie te dane powinny znaleźć się w przygotowanej klauzuli informacyjnej. Obowiązek informacyjny powinien zostać wypełniony w momencie zbierania danych od osoby, której dane dotyczą lub bezpośrednio przed ich zebraniem. W przypadku gdy administrator chce przetwarzać w innych celach niż te o których poinformował osobę, musi ponownie wykonać wobec tej osoby obowiązek informacyjny. Ponadto jeżeli zaczynamy zbierać dane w szerszym zakresie niż dotychczas, obowiązek informacyjny powinien zostać wykonany, tak by obejmował wszystkie aktualne informacje.
RODO pozostawia swobodę administratorowi w zakresie wyboru formy spełnienia obowiązku informacyjnego. Forma spełnienia obowiązku może zostać dopasowana do sposobu zbierania danych osobowych. W przypadku elektronicznych formularzy obowiązek informacyjny może zostać spełniony w formie elektronicznej. Za to w przypadku formularza papierowego, treść obowiązku informacyjne może znaleźć się na formularzu papierowym.
W przypadku pozyskania danych osobowych z innego źródła niż od osoby, której dane dotyczą administrator musi również wypełnić obowiązek informacyjny, co wynika z art. 14 RODO. Administrator musi w takiej sytuacji przekazać wszystkie te informacje, które wynikają z art. 13 RODO, a ponadto informacje skąd posiada dane osobowe oraz jeśli pochodzą one ze źródła publicznie dostępnego również o tym fakcie.
Obowiązek informacyjny powinien zostać spełniony:
w rozsądnym terminie od pozyskania danych, ale nie później niż w ciągu miesiąca;
przy pierwszym kontakcie jeśli dane mają być wykorzystywane do komunikacji.
Administrator może odstąpić od obowiązku informacyjnego niezależnie od źródła pozyskania danych osobowych gdy osoba, której dane są przetwarzane posiada już tę informację. W przypadku wykonywania obowiązku na podstawie art. 14 RODO, administrator może nie wykonać obowiązku informacyjnego gdy wykonanie jego jest niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku lub też pozyskanie danych uregulowane jest w sposób wyraźny przepisami prawa.
Obowiązek informacyjny z RODO – jak go spełnić? – Kasia Krzywicka
Wraz z wejściem w życie RODO, a bardziej wraz z pojawieniem się pierwszych wysokich RODO kar pojawiał się dostrzegalny wzrost zainteresowania wokół spełnienia obowiązku informacyjnego.
Dobrym przykładem wysokiej kary za niewypełnienie tego obowiązku jest kara nałożona na spółkę w wysokości 943 tysięcy złotych właśnie za niespełnienie obowiązku informacyjnego dotyczącego przetwarzania danych.
Zgodnie z treścią komentarza Prezesa Urzędu Ochrony Danych Osobowych brak spełnienia tego obowiązku spowodował, że osoby, których dane były przetwarzane, nie mogły zrealizować praw wynikających z przepisów RODO, choćby żądania usunięcia danych czy też sprostowania danych osobowych. Jak widać niespełnienie obowiązku informacyjnego może nas sporo kosztować.
Dlaczego jest tak ważny?
Istnienie obowiązku informacyjnego jest uzasadnione między innymi przeciwdziałaniem sytuacjom, w których nasze dane osobowe np. imię, mail, adres, są przetwarzane nie tylko bez podstawy prawnej, ale także bez naszej świadomości.
Podkreślić należy, że brak świadomości przetwarzania danych jest bardzo istotny. Brak wiedzy, że nasze dane są przetwarzane powoduje, że nie możemy realizować swoich podstawowych praw, bo nie mamy świadomości, że nasze dane są gdzieś i przez kogoś zbierane, gromadzone i przechowywane.
Można powiedzieć, że źródłem obowiązku informacyjnego jest przekonanie, że każdy z nas ma prawo wiedzieć co się dzieje z danymi osobowymi, które komuś przekazujemy. Żeby jednak to nasze prawo nie pozostało jedynie frazesem, prawną wydmuszką, która niczemu nie służy to mamy takie narzędzie jak obowiązek informacyjny.
Dzięki wprowadzeniu obowiązku informacyjnego osoba, które dane przetwarzamy ma faktyczną kontrolę na tym jakie informacje na jej temat posiadają konkretne osoby, instytucje, organizacje, firmy etc.
Co to jest?
Poprzez spełnienie obowiązku informacyjnego rozumiemy po prostu poinformowanie danej osoby o konkretnych okolicznościach przetwarzania przez nas jej danych osobowych. Dokładną treść obowiązku przeczytasz poniżej.
Treść obowiązku informacyjnego jest zależny od tego czy dane osobowe są pozyskiwane od osoby, której dane dotyczą (art. 13 RODO) oraz od tego czy pochodzą one z innych źródeł (art. 14 RODO).
Przykład:
Dane są pozyskiwane od osoby, której dotyczą – zapis do newslettera – tutaj zapisujący się sam podaje swoje dane i osoba posiadająca bazę danych ma dane bezpośrednio od tej osoby. Dane nie są pozyskiwane od osoby, której dotyczą – zakup baz danych – tutaj kupujący bazę danych ma wszystkie dane nie od osób, których dotyczą, ale od sprzedającego bazę danych.
Ustalenie od kogo mamy dane jest istotne z punktu widzenia RODO. Ta wiedza będzie determinować kształt obowiązku informacyjnego.
Dlatego w przypadku kiedy zmienia się administrator danych przy przejęciu przedsiębiorstwa czy cesji wierzytelności nowy administrator co do zasady ma obowiązek ponowić obowiązek informacyjny.
RODO mit – mimo, że z RODO wynika w sposób bezpośredni okoliczność, od której uzależniony jest kształt obowiązku informacyjnego to często spotykam się z opinią, że inna będzie treść obowiązku informacyjnego w przypadku wyboru formy elektronicznej, a inna formy tradycyjnej. Nie ma to jednak żadnego znaczenia. Niezależnie od sposobu kontaktu administrator ma obowiązek poinformować podmiot o przetwarzaniu danych.
Kiedy należy spełnić obowiązek informacyjny?
Każdy administrator danych osobowych ma obowiązek poinformować osobę o przetwarzaniu jej danych w następujących przypadkach:
zbierania danych w sposób bezpośredni od tej osoby zbieranie danych z innych źródeł aniżeli od tej osoby zmieniając cel przetwarzania danych – jeżeli administrator zmienia cel przetwarzania danych powinien poinformować o nowym celu przetwarzania wykonując zadanie otrzymania dostępu do danych – jeżeli administrator otrzyma żądanie dostępu do danych powinien także pamiętać o wykonaniu obowiązku informacyjnego.
Z RODO (art. 13) wynika, że administrator danych ma obowiązek poinformować o przetwarzaniu danych podczas ich pozyskiwania. Jest to dość niefortunne określenie momentu spełnienia obowiązku. Wielu przedsiębiorców otrzymuje zapytanie o ofertę drogą mailową i nie wiedzą kiedy i jak w takiej sytuacji poinformować podmiot o przetwarzaniu danych. Nie możemy tego przecież zrobić zanim dostaniemy wiadomość mejlem. Natomiast po otrzymaniu wiadomości jesteśmy już w faktycznym posiadaniu adresu email i innych danych.
W takich sytuacjach można to zrobić podczas udzielania odpowiedzi na maila. Krótko w stopce wiadomości poinformować o najważniejszych kwestach i wskazać miejsce, gdzie osoba może poczytać o przetwarzaniu przez nas danych np. link do polityki prywatności.
Jak spełnić obowiązek informacyjny?
Spełniając obowiązek informacyjny należy zmienić tok myślenia i zacząć od końca. Ważne jest abyśmy zastanowili się jak udowodnimy spełnienie obowiązku informacyjnego w przypadku ewentualnej kontroli.
Pamiętać tutaj należy, że to po naszej stronie jako przedsiębiorcy będzie wykazanie, że spełniliśmy obowiązek informacyjny.
Właśnie z tego powodu forma ustna, czy inna która zniknie bez możliwości wykazania nie będzie tutaj najlepszym wyjściem. Uważam, że najlepiej zrobić to w formie elektronicznej lub na piśmie.
RODO mit – spełniając obowiązek informacyjny należy wysłać list polecony. Tylko poprzez otrzymanie potwierdzenia odbioru udowodnimy jego spełnienie.
Obowiązek informacyjny wobec osób kontaktujących się z nami drogą mailową możemy spełnić poprzez umieszczenie jego skróconej wersji w stopce maila. Obowiązek informacyjny wobec osób czytających nasz blog spełniamy w Polityce Prywatności i Plików Cookies umieszczonej na naszej stronie internetowej, w gabinecie stomatologicznym otrzymujemy obowiązek informacyjny napisany na kartce papieru, a jego podpisanie oznacza, że zapoznaliśmy się z nim, a tym samym administrator danych spełnił swoją powinność.
Treść obowiązku informacyjnego
Osoba, której dane przetwarzamy powinna być poinformowana co najmniej o:
Danych identyfikujących administratora Dane dotyczące przedstawiciela administratora, jeśli taki jest Dane kontaktowe do inspektora danych, jeśli został powołany Celu w jakim przetwarzamy są dane Podstawie prawnej przetwarzania Informacje dotyczące odbiorcach danych jeśli istnieją Przekazaniu danych do państw trzecich, jeśli to dotyczy Okresie, przez który dane osobowe będą przechowywane Prawach przysługujących osobie, której dane przetwarzamy tj. prawie do:
dostępu do danych sprostowania danych usunięcia danych ograniczenia ich przetwarzania wniesienia sprzeciwu przenoszenia danych cofnięcia zgody
O tym czy podanie danych ma charakter dobrowolny czy może wynikający z ustawy.
Zawsze jednak ostateczna treść obowiązku informacyjnego jest uzależniona od tego czy administrator ma swojego przedstawiciela, czy powołał inspektora ochrony danych, dane będą przekazywane innym odbiorcom, dane będą przekazywane do państwa trzeciego lub organizacji międzynarodowej, czy dochodzi do zautomatyzowanego podejmowania decyzji, w tym profilowania, czy administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym dane osobowe zostały zebrane.
W przypadku pozyskiwania danych, w sposób wtórny, czyli nie od podmiotu, których dotyczą powinniśmy nieco rozszerzyć katalog przekazanych informacji o:
Typy i rodzaje danych np. dane dotyczące pracownika, dane kontaktowe Źródła ich pochodzenia – mogą nimi być inni administratorzy lub źródła publicznie dostępne.
Warto tutaj podkreślić, że zgodnie z RODO nowy administrator powinien zrealizować obowiązek informacyjny przed upływem miesiąca od chwili pozyskania danych. Oznacza to, że administrator gromadzący w sposób pośredni dane powinien przekazać osobie, której dotyczą wszystkie niezbędne informacje po uzyskaniu danych w rozsądnym terminie, jednak nie później niż w ciągu miesiąca.
Test Kowalskiego i obowiązek informacyjny
Podczas przygotowywanie obowiązku informacyjnego należy pamiętać, że ma być on napisany w sposób prosty, przejrzysty i bez skomplikowanego słownictwa. Każda osoba, która na co dzień nie ma styczności z RODO czy ze specyfiką branży ma go zrozumieć, ma być dla niej czytelny.
Warto zatem unikać złożonych zdań i stosów kart. Wtedy taki obowiązek nie spełnia swojej roli. Nikt go nawet nie spróbuje przeczytać.
Jak zatem osiągnąć taki cel? Poprzez wykonanie testu Kowalskiego. Najlepiej przekazać swój projekt osobie mało zorientowanej i sprawdzić czy rozumie przekaz.
Podsumowując:
Administrator danych ma obowiązek poinformować osobę o tym, że przetwarza jej dane. Zakres obowiązku informacyjnego zależy od tego czy dane są zbierane w sposób wtórny czy pierwotny. Obowiązek spełnia się przy pierwszym kontakcie z podmiotem danych. Konstruując treść obowiązku informacyjnego pamiętaj o tym, aby Twój przekaz był przejrzysty i jasny dla odbiorcy. Spełniając obowiązek informacyjny zastanów się w jaki sposób wykażesz jego realizacje podczas ewentualnej kontroli.
Masz pytania?
Napisz do mnie!
Klauzula informacyjna a strona WWW – jak spełnić obowiązek RODO?
Bez względu na to, czy posiadasz prostą witrynę WWW, rozbudowany sklep online czy firmowego bloga, to ciążą na Tobie jako administratorze pewne prawne zobowiązania. Jeśli zbierasz i przetwarzasz dane swoich odbiorców, to musisz zapewnić im bezpieczeństwo. A w konsekwencji stosować przepisy określone w RODO. Jednym z nich jest obowiązek informacyjny oraz związana z nim klauzula. Z poniższego artykułu dowiesz się, czy taki dokument powinien pojawić się na każdej stronie internetowej.
Jak spełnić obowiązek informacyjny?
Przetwarzanie danych użytkowników w sieci odbywa się właściwie nieprzerwanie. Imię, nazwisko, adres e-mail czy miejsce zamieszkania to najczęściej pozyskiwane przez administratorów stron internetowych informacje o klientach firmy, czy subskrybentach. Personalia odbiorców są na tyle cenne, że podlegają należytej ochronie prawnej.
W Polsce regulacje dotyczące tego obszaru wynikają z różnych ustaw i aktów. Obecnie jest to przede wszystkim Rozporządzenie Ogólne o Ochronie Danych Osobowych, które weszło w życie w maju 2018 r. RODO obliguje m.in. właścicieli stron internetowych do realizacji obowiązku informacyjnego. Jest to jedno z najważniejszych zobowiązań, jakie spoczywa na każdym z podmiotów, który gromadzi, przetwarza i pełni funkcję administratora danych osobowych.
Za spełnienie obowiązków informacyjnych uznaje się więc wszelkie działania podejmowane przez administratora w celu udzielenia lub skierowania odbiorcy do miejsca, w którym znajdzie informacje niezbędne do udzielenia zgody na przetwarzanie jego danych. Sposobem realizacji wspomnianego zobowiązania jest najczęściej klauzula informacyjna RODO.
Klauzula informacyjna a strona WWW
Wiemy już, że klauzula informacyjna to realizacja obowiązków związanych z odpowiednią ochroną danych osobowych narzuconych przez RODO. Poza tym warto wiedzieć, że przyjmuje zwykle formę dokumentu, w którym zawiera się wszystkie niezbędne informacje na temat procesu przetwarzania. A to dlatego, że tego typu adnotacje należy przekazać odbiorcom na piśmie lub w formie elektronicznej np. mailowo albo pod postacią linku na stronie internetowej.
Czy więc klauzula informacyjna powinna zostać umieszczona w każdym serwisie? Za nieprzestrzeganie obowiązku informacyjnego przez firmy przetwarzające dane Prezes Urzędu Ochrony Danych Osobowych (UODO) może nałożyć wysokie kary finansowe. I choć rozporządzenie RODO nie narzuca obowiązującego szablonu dokumentu, to w sposób jasny precyzuje jego zawartość.
Dlatego też klauzula nie tylko powinna, ale właściwie musi znaleźć się na każdej stronie internetowej. Obowiązek informacyjny zachodzi w dwóch sytuacjach:
1. W przypadku zbierania danych od osoby, której one dotyczą (art.13 RODO). Warunkiem jest przekazanie danych przez odbiorcę w konkretnym celu np.
zawarcia i realizacji umowy,
umieszczenia komentarza pod wpisem na blogu,
zapisu na newsletter, webinar czy wydarzenie,
zakupu w e-sklepie,
wystawienia faktury,
przedstawienia oferty,
zapytania przez formularz kontaktowy.
O przetwarzaniu danych należy poinformować odbiorcę przed rozpoczęciem samego procesu lub najpóźniej w chwili ich zebrania.
2. W przypadku pozyskiwania danych inaczej niż od osoby, której wspomniane dane dotyczą (art.14 RODO). Przepis uwzględnia okoliczności, gdy weszliśmy w posiadanie danych z innych źródeł niż od samych zainteresowanych np. poprzez zakup gotowej bazy. W tym przypadku należy poinformować odbiorców w rozsądnym terminie – nie później niż w ciągu miesiąca.
Obowiązek informacyjny należy również zrealizować w następujących okolicznościach:
w przypadku chęci pozyskania nowych danych, które nie zostały zebrane w pierwszym kontakcie,
gdy administrator zmienia lub dodaje nowy cel przetworzenia danych,
podczas wykonywania żądania dostępu do danych.
Chcesz zrealizować obowiązek informacyjny RODO? Zamów darmową konsultację.
Nie musimy natomiast stosować klauzuli informacyjnej, jeśli:
dane zostały zanonimizowane,
zainteresowany, którego dane są przetwarzane, już uzyskał takie informacje,
ujawnienie i pozyskiwanie danych jest określone w prawie krajowym lub UE,
dane osobowe muszą pozostać poufne np. w celu zachowania tajemnicy zawodowej,
udzielenie takich informacji jest niemożliwe lub wymagałoby niewspółmiernego wysiłku.
Co powinna zawierać klauzula informacyjna?
Jak się okazuje, w przypadku klauzuli informacyjnej znaczenie ma zarówno treść dokumentu, jak i jego forma. Powinna zostać przygotowana przed administratora strony internetowej w taki sposób, aby zainteresowana osoba mogła bez problemów ją zrozumieć. Przyjmuje się więc, że należy sformułować ją zwięźle, zrozumiale, przejrzyście oraz prostym i jasnym językiem. A choć nie ma narzuconego powszechnego wzoru, to aby zachować zgodność z RODO, musi zawierać m.in.
tożsamość i informacje kontaktowe administratora danych,
cele oraz podstawę prawną przetwarzania danych osobowych,
informacje o odbiorcach danych lub o kategoriach odbiorców, którym dane mogą być przekazywane,
długość przechowywania danych osobowych,
gdy ma to zastosowanie: dane kontaktowe inspektora ochrony danych osobowych, prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią; informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej,
informacje o prawach osób, których dane dotyczą (możliwość zmiany danych, cofnięcia zgody, dostępu do treści, złożenia skargi do PUODO),
informację o ewentualnym dokonywaniu profilowania danych.
W przypadku pozyskiwania informacji w inny sposób należy poinformować o źródle pochodzenia oraz kategoriach przetwarzanych danych.
Jakie klauzule informacyjne należy zawrzeć na stronie WWW?
Klauzule informacyjne nie tylko powinny zawierać wszystkie wymagane prawem informacje, ale również, co do zasady należy je umieszczać przy formularzu kontaktowym w sposób czytelny i widoczny. Ich treść należy przygotować jasno i zrozumiale dla wszystkich odbiorców. Istnieją przypadki, w których podstawą przetwarzania jest wyrażona przez zainteresowanych zgoda. W takich sytuacjach na administratorze ciąży ponadto obowiązek jej pozyskania i udokumentowania.
Rozporządzenie RODO wprowadziło pełną jawność w przetwarzaniu danych osobowych. Wiąże się również z dodatkowymi obowiązkami. Te zaś można na stronie internetowej zrealizować poprzez różnorodne klauzule informacyjne, wśród których możemy wyróżnić np. klauzulę plików cookies, politykę prywatności czy klauzulę przy newsletterze. Można je przedstawić skrótowo i umieścić link do pełnej i jasno sformułowanej wersji.
Pamiętaj, że nie istnieje gotowy szablon klauzuli dla każdej strony internetowej. Przekazywane w ramach obowiązku informacje są bowiem dostosowane do rzeczywistej sytuacji. Dlatego warto skorzystać w tej sprawie z pomocy specjalistów, którzy stworzą dla witryny gotowy pakiet RODO. A jeśli chcesz zapewnić bezpieczeństwo serwisu, to sprawdź, jakie mogą być skutki braku certyfikatu SSL dla Twojego biznesu.
Co powinna zawierać strona internetowa zgodna z RODO?
Ochrona danych osobowych w firmie to nie tylko prawidłowe zabezpieczenie dokumentów czy prowadzenie rejestru czynności przetwarzania. Zachowanie zgodności z RODO dotyczy także działań podejmowanych w sieci, a pierwszym testem na ich prawidłowość jest strona WWW. Przeczytaj poniższy artykuł i dowiedz się czy Twoja strona internetowa zgodna z RODO? Jeśli Twoja witryna nie spełnia podstawowych wymogów, w tekście znajdziesz gotowe wzory, przykładowe klauzule oraz instrukcję, które z nich powinny znaleźć się na Twojej stronie
Pobierz darmowy wzór – Klauzule informacyjne oraz okna zgody w formacie pdf i doc
Na skróty Rozliczaj wygodnie swoją firmę online! Księgowość – Fakturowanie – CRM
Księgowość – Fakturowanie – CRM Kadry i płace zintegrowane z eZUS i PUE
Kadry i płace zintegrowane z eZUS i PUE Proste generowanie i wysyłka JPK i deklaracji Załóż bezpłatne konto Zacznij bezpłatny 30 dniowy okres próbny bez żadnych zobowiązań!
Polityka prywatności – czy powinna być umieszczona na każdej stronie WWW?
Polityka prywatności to dokument którego celem jest zebranie najważniejszych informacji dotyczących ochrony prywatności. Czy polityka prywatności powinna być umieszczona na witrynie firmy? Zdecydowanie tak, przede wszystkim dlatego, że jej głównymi adresatami są nasi klienci (oraz wszystkie inne osoby, których dane potencjalnie możemy przetwarzać), jeśli naszym celem jest rzetelne zaznajomienie właścicieli danych z obowiązującą w firmie polityką prywatności to umieszczenie jej na stronie www jest oczywistym wyborem.
W przypadku większości stron firmowych umieszczenie polityki prywatności (a przynajmniej klauzuli informacyjnej) jest nie tylko wyborem, ale też obowiązkiem, wynikającym z faktu, że za pośrednictwem strony internetowej zbierane są dane osobowe. Sam fakt posiadania formularza kontaktowego obliguje właściciela strony do umożliwienia jej gościom zapoznania się z polityką prywatności. W praktyce, z umieszczenia na swojej witrynie polityki prywatności będą mogli zrezygnować przedsiębiorcy, których strona pełni jedynie rolę wirtualnej wizytówki bez możliwości nawiązania za jej pomocą kontaktu i bez żadnych innych funkcji umożliwiających zbieranie danych osobowych.
Więcej informacji o polityce prywatności wraz z darmowym wzorem w formacie pdf i docx!
Strona internetowa zgodna z RODO – jakie klauzule powinna zawierać?
Formularz kontaktowy, umieszczony na stronie firmy to powszechne i praktyczne rozwiązanie. Najczęściej umożliwia on przesyłanie dowolnej treści zapytań z jednoczesną prośbą o wskazanie danych, które pozwolą na udzielenie odpowiedzi. Już na etapie projektowania formularza warto zwrócić uwagę na ilość i rodzaj danych, które będą za jego pośrednictwem zbierane. Formularz służący jedynie do kontaktu nie powinien prosić o dane, które w żaden sposób nie wiążą się z celem jego wypełnienia. Częstą praktyką jest tworzenie formularza zawierającego pola do wskazania różnych kanałów komunikacyjnych np. adresu e-mail, nr. telefonu. Nie jest to błędem jednak uzależnienie zadania pytania od podania wszystkich danych w większości przypadków będzie w świetle RODO nadużyciem.
Podstawowy obowiązek jaki wynika z przetwarzania za pośrednictwem formularza danych to obowiązek ich prawidłowego zabezpieczenia (kwestie techniczne nie są jednak przedmiotem tego artykułu). Dopełniając obowiązku prawidłowego zabezpieczenia danych nie można zapomnieć o obowiązku informacyjnym. Sam fakt zamieszczenia na stronie zakładki z polityką prywatności nie będzie wystarczający. Okno formularza powinno zostać dodatkowo zaopatrzone w klauzulę informacyjną lub zawierać skróconą informację o przetwarzaniu danych z podpiętym linkiem przekierowującym do Polityki prywatności.
Obowiązek informacyjny zostanie wypełniony pod warunkiem, że informacja o przetwarzaniu danych:
– znajdzie się bezpośrednio przy formularzu kontaktowym,
– będzie odpowiednio widoczna (czcionka nie może być zbyt mała ani nie powinna wtapiać się w tło),
– będzie zawierać wszystkie wymagane informacje (więcej o budowie klauzuli informacyjnej dowiesz się tutaj),
– zostanie sformułowana w sposób jasny i zrozumiały
Z uwagi chociażby na obowiązek podania pełnej nazwy administratora przy jednoczesnym obowiązku czytelności, próba umieszczenia pełnej klauzuli w oknie z formularzem może okazać się karkołomna i paradoksalnie niezgodna z RODO. Zamieszczenie skróconej informacji umożliwiającej przejście do pełnej treści klauzuli w wielu przypadkach będzie rozwiązaniem optymalnym.
Odesłanie do klauzuli informacyjnej może wyglądać następująco:
Wypełnienie formularza oznacza wyrażenie zgody na przetwarzanie przez Nazwa Administratora podanych w formularzu danych osobowych w celu udzielenia odpowiedzi na zadane pytanie i w zależności od treści zapytania przedstawienia oferty. Tutaj dowiesz się kim jesteśmy i jak przetwarzamy Twoje dane.
Częstą praktyką jest umieszczanie na firmowej witrynie formularza przeznaczonego do wysłania CV. Również w tym przypadku należy pamiętać aby poinformować o przetwarzaniu danych (zasady udzielenia informacji nie różnią się od tych przyjętych dla zwykłego formularza kontaktowego). W tym miejscu warto również zadbać aby potencjalny kandydat opatrzył przesłane CV odpowiednią klauzulą.
Nazwa Administratora zawartych w nim danych osobowych w celach rekrutacyjnych. Więcej o przetwarzaniu danych dowiesz się tutaj. Wypełnienie formularza oraz przesłanie CV oznacza zgodę na przetwarzanie przezzawartych w nim danych osobowych w celach rekrutacyjnych. Więcej o przetwarzaniu danych dowiesz się tutaj. Prosimy o zamieszczenie w CV następującej klauzuli: ”Wyrażam zgodę na przetwarzanie moich danych osobowych zawartych w CV oraz formularzu kontaktowym przez Nazwa Administratora w celu przeprowadzenia procesu rekrutacyjnego”.
Okienka zgody – kiedy powinny znaleźć się na stronie?
W przypadkach, w których podstawą przetwarzania jest zgoda właściciela danych osobowych, administrator zobowiązany jest do jej pozyskania i udokumentowania.
Więcej o zgodzie przeczytasz w naszych artykułach:
Praktycznym i najczęściej wybieranym rozwiązaniem jest umieszczenie checkboxa, którego wybór oznacza np. zgodę na wysyłkę newslettera.
Należy pamiętać aby okna wyboru:
– nie były domyślnie zaznaczone,
– nie łączyły zgód na kilka czynności przetwarzania ,
-jasno przedstawiały cel przetwarzania danych, np. w celu marketingowym,
– były odpowiednio widoczne (czcionka klauzuli nie może być zbyt mała ani nie powinna wtapiać się w tło)
Informacje takie jak: rodzaj przetwarzanych danych, informacje o administratorze, informacje o możliwości cofnięcia zgody mogą zostać umieszczone np. w linku do którego będzie odsyłała klauzula znajdująca się przy checkboxie lub w rozwijanym komunikacie. Próba umieszczenia pełnego komunikatu przy oknie wyboru, może wymagać użycia zbyt małej czcionki, a to niesie ryzyko, że zgoda nie zostanie prawidłowo pozyskana.
Pliki cookies – czy wymagają zgody i w jaki sposób o nich informować?
Nie zawsze stosowanie plików cookies będzie wymagało zgody na ich pozyskanie. Stanowiska co do tego kiedy zgoda jest konieczna i jak powinno odbywać się jej pozyskanie są różne. Więcej na ten temat na poradnikprzedsiebiorcy.pl.
W przypadku gdy serwowane ciasteczka zbierają informacje, których cel przekracza granicę uzasadnionego interesu administratora, powinien on uzyskać zgodę użytkownika, który odwiedza stronę, stosując przy tym wszystkie zasady, które RODO wiąże z przetwarzaniem danych na podstawie zgody.
O ile większość witryn wyposażona jest w ciasteczka cookies, o tyle tylko część z nich będzie musiała prosić o zgodę na ich stosowanie. Nawet jeśli rodzaje ciasteczek użytych na stronie nie nakładają takiego obowiązku, to wciąż w należy poinformować o fakcie ich stosowania.
Przykładowy komunikat:
Ta strona stosuje pliki cookies w celu profilowania. Prosimy o zapoznanie się z naszą polityką cookies i wyrażenie zgody na podejmowane działania. Akceptuję ciasteczka cookies .
Firmowe konto na Facebooku
Wydanie wyroku Trybunał Sprawiedliwości UE w sprawie C-210/16 zamknęło drogę do kwestionowania odpowiedzialności właściciela profilu firmowego utworzonego na platformie Facebook. Współodpowiedzialność tworzącego profil została przesądzona o czym więcej dowiesz się tutaj. Zapadły wyrok rozwiewa wątpliwości co do odpowiedzialności i stawia przed przedsiębiorcami nowe wyzwanie.
Obowiązek informacyjny na stronie internetowej
Unijne rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r., wprowadziło obowiązek informacyjny dotyczący przetwarzania danych osobowych. Każdy właściciel bądź administrator strony internetowej lub sklepu online jest nim objęty i powinien dostosować te informacje do dnia wejścia obowiązywania rozporządzenia, czyli 25.05.2018 r.
Klauzula RODO – gotowa formułka dla leniwych
Wzór – Jednoosobowa działalność gospodarcza
Administratorem Twoich danych jest [pełna nazwa firmy] z siedzibą w [adres siedziby], wpisanej do Centralnej Ewidencji i Informacji o Działalności Gospodarczej, pod numerem NIP: [NIP], REGON: [REGON]. W sprawach związanych z przetwarzaniem i ochroną danych osobowych wyznaczony został punkt kontaktowy w postaci adresu e-mail: [ades e-mail] Kontakt we wskazanych sprawach możliwy jest także w postaci tradycyjnej korespondencji na adres administratora z dopiskiem: „Ochrona Danych Osobowych” oraz osobiście pod adresem [adres siedziby bądź miejsca wykonywania działalności].
Podane przez Ciebie dane osobowe będą przetwarzane w następujących celach:
– wykonania umowy kupna-sprzedaży bądź usługi – przetwarzanie jest niezbędne do wykonania umowy, aż do czasu zakończenia umowy,
– marketingu bezpośredniego – do czasu zakończenia umowy lub złożenia sprzeciwu,
– finansowo-księgowych – przetwarzanie jest niezbędne do wykonania przepisów prawa podatkowego,
– obrony przed roszczeniami i dochodzenia roszczeń – do czasu wygaśnięcia okresu roszczeń zgodnie z przepisami Kodeksu Cywilnego,
– prowadzenia procesów reklamacyjnych.
Posiadasz prawo dostępu do treści swoich danych oraz prawo ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do przenoszenia danych, prawo wniesienia sprzeciwu (np. jeśli dane są przetwarzane na podstawie Twojej zgody lub w celach marketingowych czy udostępniania Twoich danych); posiadasz prawo do cofnięcia zgody w dowolnym momencie. W celu cofnięcia zgody możesz skontaktować się z punktem obsługi klienta w naszej siedzibie bądź biurze [adres siedziby bądź biura] lub wysyłając wiadomość e-mail na adres: [adres e-mail]. Masz również prawo wniesienia skargi do organu nadzorczego – Prezesa Urzędu Ochrony Danych Osobowych.
Podanie przez Ciebie danych osobowych jest w pełni dobrowolne. Niepodanie danych osobowych będzie skutkowało niemożliwością pełnego wykonania zobowiązań, przyjętych przez [nazwa firmy] w ramach zawieranych z Tobą umów.
Warto wiedzieć, iż RODO:
– nie wymaga zbierania zgód na przetwarzanie danych osobowych od początku, jeżeli wcześniej były zbierane prawidłowo,
– nakazuje by wszelkie komunikaty dotyczące ochrony danych osobowych pisane były prostym i zrozumiałym językiem,
– nie wymaga większej ilości zgód niż w przypadku poprzedniej ustawy,
– nie zakazuje profilowania (personalizowanie reklam, remarketing, sugerowanie produktów), a jedynie przejrzystego informowania o nim użytkownika,
– nie zmienia sfery informowania o użyciu plików „cookies”, tzw. ciasteczek
– daje możliwość do usunięcia danych osobowych czyli do tzw. bycia zapomnianym, lecz często nie może być traktowane bezwzględnie (np. w przypadku back-up’ów).
W przypadku małych firm oraz jednoosobowych działalności gospodarczych (zależenie od faktycznej wielkości struktury firmy) wdrożenie RODO nie musi być wykonane przez firmę zewnętrzną i można je zrobić samodzielnie po zapoznaniu się z rozporządzeniem oraz dodatkowymi rzetelnymi informacjami. Nie zawsze konieczne są zaawansowane systemy zabezpieczeń, które kosztują fortunę jak na możliwości tego typu biznesów.
Strona internetowa zgodna z RODO. • Peace and Law
Klauzula RODO na stronie internetowej.
RODO z pewnością odmieniono już przez wszystkie przypadki. Sama to zrobiłam na moim blogu rozkładając ochronę danych osobowych na czynniki pierwsze, dlatego jeśli masz potrzebę się poedukować w tym temacie, to zapraszam choćby tutaj po podstawy.
RODO można podzielić na na dwie przestrzenie. Pierwsza, to ta której nikt nie widzi czyli obowiązki wewnętrzne RODO takie jak rejestry, procedury, polityki bezpieczeństwa etc. Druga przestrzeń to ta, którą każdy widzi, czy Twoja strona internetowa. I na tym skupię się w tym wpisie.
Co powinna zawierać strona internetowa zgodna z RODO?
Zasada jest dość prosta. Wszędzie tam gdzie zbierasz dane osobowe powinnaś/powinieneś informować o administratorze danych i sposobie ich przetwarzania. O jakich miejscach mówię w praktyce? Na przykład zapis na newsletter, zapis na konsultację, wysłanie maila przez formularz kontaktowy, zapis na webinar etc.
O ile polityka prywatności nie jest obowiązkowym dokumentem RODO (rozporządzenie nigdzie wprost nie pisze, że taki dokument musi znaleźć się na stronie internetowej), o tyle jakoś musisz poinformować swoich użytkowników o sposobie przetwarzania danych osobowych. I uporządkowanie tego w polityce prywatności zwyczajnie ułatwia sprawę. Inną kwestią jest natomiast polityka plików cookies. Praktycznie każda strona internetowa ma podpięty pixel FB, zbiera dane do analytics. Choćby to oznacza, że zapisujesz ciasteczka i potrzebujesz mieć do tego spisaną politykę plików cookies. Najczęściej jest to po prostu jeden dokument wraz z polityką prywatności (przynajmniej tak jest u mnie w sklepie;) )
Polityka prywatności i plików cookies 149 zł z VAT
Czy muszę posiadać politykę prywatności na stronie?
Bardzo często jestem o to pytana. Zwłaszcza w odniesieniu do stron internetowych, które nie zbierają danych, czyli tzw. stron wizytówek. Sprawa jest prosta, jeśli nie zbierasz danych na stronie a jedynie informujesz jak można się z Tobą skontaktować, to nie musisz jej posiadać (pamiętaj o cookies, o których piszę powyżej). Jednocześnie! Polityka prywatności bardzo ułatwia sprawę. Bo dzięki niej masz wszelkie formy kontaktu z Tobą uporządkowane w jednym dokumencie. Czyli np. informacje o administratorze, cel zbierania danych, okres przechowywania etc. Lista wymagań odnośnie informacji, które musimy podać przy pozyskiwaniu informacji jest naprawdę długa. Jeśli nie masz polityki prywatności i nie masz do czego odesłać, to te formułki naprawdę robią się user unfriendly.
Dodatkowo – i wiem, że to absurdalne, jeśli nie masz tych wszystkich informacji w polityce prywatności, to powinnaś/powinnieneś przy każdym kontakcie wygłaszczać formułkę RODO xd
Klauzula informacyjna RODO sklep internetowy.
Czy klauzule informacyjne RODO dla sklepu są inne od tych dla strony internetowej? Nie. Zasada działa tak samo jak pisałam powyżej dla strony internetowej. W sklepie natomiast masz więcej miejsc gdzie zbierasz dane i musisz pamiętać o dodaniu klauzul RODO w te miejsca. Są to na przykład strona zamówienia czy konto użytkownika. Niestety zauważam, że właściciele sklepów często zapominają o dodawaniu klauzuli RODO przy udostępnianiu możliwości założenia konta, natomiast tutaj znowu działa zasada:
zbieram dane = informuję o ich przetwarzaniu.
Hej! Pamiętaj, że polityka prywatności i plików cookies, czy klauzule informacyjne RODO to tylko wierzchołek góry lodowej przy przetwarzania danych osobowych. Pobierz checklistę i sprawdź, czy masz też porządnie ogarnięte RODO wewnętrzne, czyli wszystkie obowiązki ciążące w związku z przetwarzaniem danych osobowych. Ta checklista to naprawdę hit, w końcu RODO stanie się czytelne!;)
Jak napisać klauzulę RODO na stronie?
Najprościej mówiąc – zgodnie z wymaganiami rozporządzenia RODO, a konkretnie z jego art. 13. No to spójrzmy na ten zapis:
Jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, administrator podczas pozyskiwania danych osobowych podaje jej wszystkie następujące informacje:
a) swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
b) gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
c) cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania;
d) jeżeli przetwarzanie odbywa się na podstawie art. 6zgodność przetwarzania z prawem ust. 1 lit. f) – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;
e) informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
f) gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46przekazywanie z zastrzeżeniem odpowiednich zabezpieczeń, art. 47wiążące reguły korporacyjnych lub art. 49wyjątki w szczególnych sytuacjach ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych.
2.Poza informacjami, o których mowa w ust. 1, podczas pozyskiwania danych osobowych administrator podaje osobie, której dane dotyczą, następujące inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania:
a) okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
b) informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
c) jeżeli przetwarzanie odbywa się na podstawie art. 6zgodność przetwarzania z prawem ust. 1 lit. a) lub art. 9przetwarzanie szczególnych kategorii danych osobowych ust. 2 lit. a) – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
d) informacje o prawie wniesienia skargi do organu nadzorczego;
e) informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
f) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 zautomatyzowane podejmowanie decyzji w indywidualnych przypadkach, w tym profilowanie ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
3.Jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym dane osobowe zostały zebrane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji, o których mowa w ust. 2.
4.Ust. 1, 2 i 3 nie mają zastosowania, gdy – i w zakresie, w jakim – osoba, której dane dotyczą, dysponuje już tymi informacjami.
Głowa boli, hmm? No oczywiście, że tego jest bardzo dużo i umówmy się, to na pewno nie wpłynie pozytywnie na doświadczenie użytkownika naszej strony czy sklepu (a ja na to bardzo patrzę!). Dlatego dość nieoficjalnie panuje w Internecie przyzwolenie, żeby w momencie zbierania danych informować o administratorze danych osobowych i celu przetwarzania danych, natomiast po szczegóły odsyłać do polityki prywatności. Gdyby się jednak czepiać, to faktycznie klauzula RODO powinna zawierać wszystkie te informacje wymienione w art. 13 rozporządzenia RODO.
Klauzula RODO strona internetowa wzór.
To na czym mi zależy, żebyś zapamiętała/zapamiętał po przeczytaniu tego wpisu, to to, że klauzule RODO musisz umieszczać (informować) zawsze wtedy gdy pobierasz dane osobowe. Te klauzule nieco będę się różnić od siebie ze względu na cele przetwarzania. Inna też będzie treść klauzuli przy zapisie na newsletter lub przy double opt in, bo tam wchodzą dodatkowe ustawy (o świadczeniu usług drogą elektroniczną, ale także o usługach telekomunikacyjnych). Jeśli chcesz mieć pewność, że treść wszystkich klauzul masz zgodne z prawem i dodatkowo chcesz mieć odpowiednie ogarnięte treść checkboxów i klauzul informacyjnych w swoim sklepie, to wszystko to znajdziesz w moim mini produkcie RODO.
Klauzule informacyjne RODO dla sklepu/strony www 99 zł z VAT Produkt „Klauzule informacyjne RODO dla sklepu/strony www zawiera klauzule, które musisz umieścić przy: formularzu kontaktowym,
formularzu składania zamówienia (dostajesz też treść checkboxa zarówno do sprzedaży produktów fizycznych jak i cyfrowych),
przy utworzeniu konta klienta,
zapisie na newsletter (w tym double opt in),
lead magnecie,
a także przy zbieraniu danych do zapisów na webinar.
A jeśli potrzebujesz jeszcze polityki prywatności lub kompleksowej dokumentacji RODO to pamiętaj, że w pakietach zawsze taniej (każdy z pakietów zawiera dokument z klauzulami RODO).
Uwierz mi, że nie takie to RODO straszne jak je malują. Na moim blogu czeka na Ciebie wiele artykułów, które Ci to RODO odczarują;)
Obowiązek informacyjny w środowisku internetowym
Obowiązek informacyjny w RODO – podstawowe zasady
RODO w sposób analogiczny do poprzednio obowiązującej ustawy o ochronie danych osobowych nakłada na administratorów danych osobowych obowiązki informacyjne w stosunku do podmiotów danych, tj. podmiotów, których dane zamierzają przetwarzać. Równocześnie zakres informacji, który powinien zostać przekazany podmiotowi danych na podstawie art. 13 i art. 14 RODO, został istotnie rozszerzony. Katalog tych informacji jest inny w przypadku, gdy dane osobowe pozyskiwane są od osoby, której dotyczą (art. 13 RODO), a inny gdy pozyskiwane są w odmienny sposób (art. 14 RODO). Obejmuje on w szczególności informację o celu przetwarzania danych, podstawie prawnej przetwarzania, tożsamości administratora, okresie, przez jaki dane osobowe będą przetwarzane oraz o odbiorcach danych lub kategoriach tych odbiorców. Jednocześnie zakres informacji, które zgodnie z RODO muszą zostać przekazane podmiotowi danych, nie jest uzależniony od formy ich pozyskiwania i sposobu utrwalenia – dotyczy to zarówno tradycyjnych, „analogowych” form przetwarzania danych, jak również ich przetwarzania w środowisku cyfrowym, w tym na potrzeby reklamy internetowej. Zatem niezależnie od tego, czy dane pozyskiwane są za pośrednictwem tradycyjnego formularza, czy za pomocą rozwiązań technologicznych pozwalających gromadzić i przetwarzać dane o aktywności użytkowników stron internetowych (przykładowo poprzez informacje zapisywane w plikach cookies), zakres informacji, jaki musi trafić do osoby, której dane są przetwarzane, pozostaje taki sam.
Przekazanie określonych informacji w ramach wykonania obowiązków informacyjnych musi jednocześnie odpowiadać określonym standardom jakościowym, co ma na celu zagwarantowanie, że informacja rzeczywiście dotrze do jej odbiorcy i – co bardziej istotne – że zostanie zrozumiana (RODO kładzie szczególny nacisk na efektywność komunikacji z podmiotami danych). Standard ten, wyrażony w motywie 39 preambuły RODO oraz w treści art. 12 ust. 1 RODO, sprowadzić można do kilku podstawowych wymogów odnoszących się zarówno do wykorzystywanego języka komunikacji, jak również do sposobu jej przekazania, tj. do wymogów, aby informacje związane z przetwarzaniem danych osobowych były łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem.
Obowiązek informacyjny związany ze zbieraniem danych osobowych powinien być wykony- wany z inicjatywy administratora danych, tj. bez konieczności występowania z dodatkowym żądaniem przez podmiot danych. Innymi słowy, to administrator powinien „aktywnie” zadbać o to, aby dostarczyć podmiotowi danych wszelkie wymagane przepisami informacje o przetwarzaniu danych i zapewnić, aby sposób ich przekazania odpowiadał zasadzie prostoty i jasności przekazu. W praktyce oznaczać to będzie albo udzielenie (przekazanie) niezbędnych informacji bezpośrednio przez administratora, albo skierowanie podmiotu danych do miejsca, w którym takie informacje się znajdują (np. link do strony, informacja o możliwości skorzystania z kodu QR itd.)30.
RODO nie daje administratorom żadnych konkretnych wskazówek odnośnie treści informacji przekazywanych odbiorcom danych (m.in. jakiego języka używać; jakich słów i zwrotów unikać; czy wreszcie jak szczegółowo opisać dane zagadnienie), jak również odnośnie formy przekazywanego komunikatu (m.in. czy powinno to nastąpić w ramach polityki prywatności serwisu internetowego; czy też odrębnego bannera zawierającego zestaw wszelkich wymaganych informacji) – w tym zakresie to administratorzy muszą samodzielnie podjąć decyzję, jak sfomułować i następnie jak „dostarczyć” wszystkie informacje wymienione w art. 13 i 14 RODO w sposób, który będzie zwięzły, zrozumiały i jasny dla ich odbiorców i to administratorzy ponoszą pełną odpowiedzialność za podjęte w tym zakresie decyzje. Powyższe daje administratorom znaczny poziom swobody w doborze odpowiedniego, tj. uwzględniającego specyfikę danego procesu przetwarzania, sposobu w zakresie wykonania obowiązków informacyjnych. Jak wskazuje GrupaRobocza Art. 29, administrator ma wręcz obowiązek uwzględnić wszelkie okoliczności związane ze zbieraniem danych w konkretnym procesie przetwarzania, a w szczególności wziąć pod uwagę poziom doświadczenia użytkownika/pomiotu danych31. W praktyce oznacza to konieczność doboru środków wyrazu do rodzaju odbiorcy, co wydaje się wnioskiem dość oczywistym z punktu widzenia celu, jakim jest przecież skuteczne przekazanie informacji. Tym samym obowiązek informacyjny (sposób jego wykonania), na stronie internetowej zawierającej„lekkie” treści, np. o tematyce rozrywkowej kierowanej do młodzieży, może (a wręcz powinien) różnić się od obowiązku realizowanego na stronie internetowej dedykowanej „poważnym” tematom, np. prawnym czy gospodarczym, i kierowanej do zupełnie innej grupy odbiorców.
Sposoby spełniania obowiązku informacyjnego w internecie
Niezależnie od powyższych trudności związanych z praktyką wykonywania obowiązków informacyjnych – pozostaje jeszcze, równie istotna, kwestia wkomponowania klauzul informacyjnych w poszczególne funkcjonalności stron internetowych oraz usług świadczonych za ich pośrednictwem. Jest to szczególnie ważne w przypadku, w którym dana strona oferuje conajmniej kilka usług jednocześnie, tj. przykładowo gromadzi dane o aktywności użytkowników na potrzeby reklamy dopasowanej do ich preferencji, daje możliwość zarejestrowania się na newsletter oraz do poczty elektronicznej.
Jest dość oczywiste, iż klauzula informacyjna powinna być „widoczna” bezpośrednio na etapie zbierania danych od podmiotu danych – co stanowi najpewniejszy sposób wypełnienia wymogów związanych z przejrzystością procesów przetwarzania. Mianowicie – podmiot danych otrzymuje informacje bezpośrednio w momencie, gdy „zostawia” swoje dane (np. w formularzu rejestracyjnym, służącym do założenia konta poczty elektronicznej, czy przy zapisie na newsletter), co istotnie ogranicza ryzyko wprowadzenia podmiotu danych w błąd odnośnie celów i sposobów przetwarzania jego danych w konkretnych procesach.
Z tego względu wypełnienie obowiązku informacyjnego następować powinno w sposób adekwatny do sposobu zbierania danych, tj.:
w przypadku zbierania danych za pośrednictwem strony WWW – należy zamieścić stosowne informacje w bezpośrednim sąsiedztwie formularza służącego do wprowadzania danych,
w przypadku zbierania danych za pośrednictwem komunikacji e-mail lub podobnej – należy zamieścić stosowne informacje w bezpośrednim sąsiedztwie takiego oznaczenia adresu komunikacji (adres e-mail, nr komunikatora) lub w instrukcji nawiązania komunikacji,
w przypadku reklamy internetowej realizowanej z wykorzystaniem danych gromadzonych za pomocą m.in. plików cookies lub innych podobnych technologii (w tym reklamy realizowanej w modelu programmatic), z uwagi na brak jednego konkretnego miejsca, w którym dochodzi do zbierania danych osobowych (jak w przypadku np. formularzy internetowych) – należy zamieścić odpowiednie informacje jeszcze przed rozpoczęciem korzystania ze strony internetowej. Przykładowo, informacje takie pojawić się mogą w ramach komunikatu wyświetlanego użytkownikom bezpośrednio po wejściu na daną stronę internetową.
Obowiązki informacyjne: największe wyzwania administratorów danych osobowych
Prawidłowa realizacja obowiązku informacyjnego jest niewątpliwie jednym z kluczowych wyzwań, przed którym stają administratorzy danych osobowych. Doświadczenia wynikające z pierwszego roku stosowania RODO pokazują, iż obowiązki informacyjne wykonywane są przez administratorów bardzo różnie i niestety nie zawsze prawidłowo. Wniosek, o którym mowa, dotyczy niemalże w równym stopniu tradycyjnych form przekazywania informacji, jak również tych wykorzystywanych w świecie cyfrowym. W tym ostatnim przypadku – znaczna liczba technicznych możliwości realizacji obowiązku informacyjnego (np. za pomocą poczty elektronicznej czy wszelkiego rodzaju komunikatów pojawiających się na stronach internetowych, okienek pop-up, powiadomień push i pull) tylko pozornie ułatwia jego wykonanie. Jednocześnie budzi bowiem sporo wątpliwości odnośnie miejsca czy momentu, w którym powinny zostać przekazane poszczególne informacje, szczególnie wobec przyjęcia warstwowego podejścia do wykonywania obowiązków informacyjnych. Dotyczy to w szczególności procesów przetwarzania danych związanych z nowoczesną reklamą internetową, a zwłaszcza reklamą realizowaną w modelu programmatic.
Podkreślenia wymaga, że przekazanie informacji, zawierającej wszystkie elementy wskazane odpowiednio w art. 13 i 14 RODO, nie jest wystarczające do w pełni prawidłowego wykonania obowiązku informacyjnego. Formułowanie rozbudowanych i bardzo szczegółowych klauzul informacyjnych, których przeczytanie (od razu i w całości) jest niezbędne do tego, aby dotrzeć do treści umieszczonych na stronie internetowej czy skorzystać z dostępnej tam usługi, nie jest – wbrew często pojawiającym się opiniom – właściwym rozwiązaniem. Po pierwsze, tego rodzaju praktyka jest niewątpliwie uciążliwa dla odbiorców przekazywanych informacji i wcale nie prowadzi do założonego celu – nad- miar informacji podanych w nieprzystępnej formie i nieodpowiednim miejscu, często sformułowanych z wykorzystaniem specjalistycznego, hermetycznego języka nie zwiększa poziomu wiedzy i świadomości w zakresie procesu przetwarzania danych. Przeciwnie – zbyt duża ilość informacji sformułowanych z pominięciem wymogów dotyczących przejrzystości i jasności przekazu pro- wadzić może do dezinformacji na skutek tzw. „przeładowania informacyjnego”. Po drugie, takie podejście do wykonywania obowiązków informacyjnych utrudnia normalne korzystanie z usług społeczeństwa informacyjnego. W efekcie jest również niekorzystne z biznesowego punktu widzenia administratorów, którym zależy przecież na tworzeniu usług i produktów możliwie najbardziej atrakcyjnych i przyjaznych dla klientów. Po trzecie wreszcie, takie podejście budzić może wątpliwości natury prawnej, szczególnie w kontekście wymogów wynikających z zasady przejrzystości, tj.wymogów formułowania informacji kierowanych do podmiotów danych w sposób zwięzły i przejrzysty. Zasadę tę w odniesieniu do wykonywania obowiązków informacyjnych można by sprowadzić do dość prostej dyrektywy, tj. nakazu informowania w taki sposób, aby odbiorca zrozumiał przekazywaną informację (czyli aby informacja „dotarła” do odbiorcy, do którego jest kierowana), a nie tak, aby tylko formalnie sprostać wszelkim wymogom związanym z przekazywaniem określonych informacji. Bardzo istotny jest bowiem również sposób wykonania obowiązków informacyjnych, a ten powinien uwzględniać wymogi wskazane w art. 12 ust. 1 RODO, zgodnie z którym administrator powinien przekazywać informacje w zwięzłej, przejrzystej i łatwo zrozumiałej formie.
Przeciwnie – zbyt duża ilość informacji sformułowanych z pominięciem wymogów dotyczących przejrzystości i jasności przekazu pro- wadzić może do dezinformacji na skutek tzw. „przeładowania informacyjnego”. Po drugie, takie podejście do wykonywania obowiązków informacyjnych utrudnia normalne korzystanie z usług społeczeństwa informacyjnego. W efekcie jest również niekorzystne z biznesowego punktu widzenia administratorów, którym zależy przecież na tworzeniu usług i produktów możliwie najbardziej atrakcyjnych i przyjaznych dla klientów. Po trzecie wreszcie, takie podejście budzić może wątpliwości natury prawnej, szczególnie w kontekście wymogów wynikających z zasady przejrzystości, tj.wymogów formułowania informacji kierowanych do podmiotów danych w sposób zwięzły i przejrzysty. Zasadę tę w odniesieniu do wykonywania obowiązków informacyjnych można by sprowadzić do dość prostej dyrektywy, tj. nakazu informowania w taki sposób, aby odbiorca zrozumiał przekazywaną informację (czyli aby informacja „dotarła” do odbiorcy, do którego jest kierowana), a nie tak, aby tylko formalnie sprostać wszelkim wymogom związanym z przekazywaniem określonych informacji. Bardzo istotny jest bowiem również sposób wykonania obowiązków informacyjnych, a ten powinien uwzględniać wymogi wskazane w art. 12 ust. 1 RODO, zgodnie z którym administrator powinien przekazywać informacje w zwięzłej, przejrzystej i łatwo zrozumiałej formie.
Jak się wydaje, przyczyną wyżej wspomnianych praktycznych problemów z prawidłowym wykonaniem obowiązków informacyjnych jest konieczność pogodzenia dwóch pozornie sprzecznych ze sobą elementów, tj. z jednej strony znacznej ilości informacji, które administratorzy mają obowiązek przekazać podmiotom danych (art. 13 i 14 RODO), a z drugiej konieczności zachowania zwięzłej, przejrzystej i łatwo zrozumiałej formy przekazu (art. 12 RODO). Rozwiązaniem w powyższym zakresie wydaje się przyjęcie, zgodnie ze stanowiskiem Grupy Roboczej Art. 29, tzw. „warstwowego podejścia” do wykonania obowiązku informacyjnego (ang. layer approach). Podział wszystkich informacji, których przekazanie podmiotom danych składa się na obowiązek informacyjny, na kilka grup/zestawów oraz przekazywanie ich stopniowo (zgodnie z założeniami warstwowego podejścia) wydaje się jednocześnie odpowiadać na problem „przeładowania informacyjnego”, tj. sytuacji, w której podmiot danych otrzymuje jednocześnie tak wiele szczegółowo ujętych informacji dotyczących przetwarzania jego danych osobowych, że w efekcie nie jest w stanie ich przyswoić i zrozumieć.
Warstwowe podejście do wykonania obowiązku informacyjnego
Warstwowe podejście do wykonywania obowiązków informacyjnych – rozwiązanie zaproponowane przez Grupę Roboczą Art. 29 – w możliwie największym uproszczeniu oparte jest na przekazywaniu wymaganych prawem informacji w dwóch lub w kilku płaszczyznach (poziomach)komunikacji. W środowisku cyfrowym możliwie jest zatem odesłanie do różnych kategorii informacji zamiast przekazania wszystkich informacji w pojedynczym komunikacie wyświetlanym na ekranie.Tytułem przykładu – na poziomie formularza rejestracyjnego, w ramach którego zbierane są dane osobowe, użytkownik otrzymuje podstawowe informacje o procesie przetwarzania danych (pierwsza warstwa informacyjna) i jednocześnie zostaje odesłany do polityki prywatności, w ramach której znajduje wszystkie pozostałe informacje (druga warstwa informacyjna). W zależności od stopnia skomplikowania procesu warstw informacyjnych może być również więcej– kluczowe jest jednak zachowanie językowej, logicznej i funkcjonalnej spójności pomiędzy poszczególnymi warstwami tak, aby spełniona była zasada przejrzystości przetwarzania danych. Zgodnie z wytycznymi Grupy Roboczej, w ramach pierwszej warstwy informacyjnej administrator ma obowiązek przekazać przede wszystkim informacje o (i) celach przetwarzania, (ii) tożsamości administratora danych i (iii) prawach osoby, której dane dotyczą. Chodzi zatem o te kategorie informacji, dzięki którym podmiot danych będzie w stanie zrozumieć, jakie będą konsekwencje przetwarzania jego danych osobowych w konkretnym procesie przetwarzania.
Pozostałe wymagane prawem informacje mogą znaleźć się w kolejnej warstwie informacyjnej. Z uwagi na konieczność zbudowania funkcjonalnego połączenia pomiędzy pierwszą i drugą (odpowiednio drugą i kolejną) warstwą informacyjną, konieczne jest również oczywiście jasne i niebudzące wątpliwości odesłanie do tej drugiej warstwy. Zatem, poza wyżej wymienionymi elementami treściowymi klauzuli informacyjnej, powinna się w niej znaleźć również informacja, gdzie można zapoznać się z kompletem informacji na temat przetwarzania danych osobowych.
Jakie są zalety warstwowego podejścia do wykonywania obowiązków informacyjnych? Jak wskazuje Grupa Robocza Art. 29, takie podejście pozwala uniknąć „przeładowania informacyjnego”32, tj. sytuacji, w której odbiorca informacji, na skutek zbyt dużej ich ilości oraz mało przejrzystej formy ich przekazania przestaje rozumieć treść komunikatu lub zniechęca się do przeczytania go w całości. Dodatkowo pozwala ono w efektywny sposób pogodzić znaczny zakres informacji, jakie muszą zostać przekazane podmiotom danych, z wymogiem, aby wszystkie te informacje zostały przekazane w jasny i zrozumiały sposób. Jednocześnie Grupa Robocza Art. 29 wprost wskazuje, że właściwym rozwiązaniem jest pozostawienie podmiotom danych wyboru w zakresie tego, z którymi informacjami chcą się zapoznać. Ten ostatni wniosek (oparty, jak się wydaje, na oczywistym założeniu, że nikogo nie da się zmusić do przeczytania klauzuli informacyjnej) wymaga szczególnego uwypuklenia. Wobec powyższego, praktyczne rozwiązania w zakresie wykonania obowiązku informacyjnego, które w celu zapoznania się z kompletem informacji o przetwarzaniu danych, wymagają od podmiotów danych podjęcia określonych działań (przykładowo kliknięcia w „dowiedz się więcej”, „zobacz listę zaufanych partnerów”, wejścia w „ustawienia zaawansowane” czy „politykę prywatności”) uznać należy za w pełni prawidłowe. Oczywiście administrator danych osobowych ma obowiązek zadbać o to, aby precyzyjnie i jasno wskazać, jakie konkretne działanie musi zostać podjęte w celu otrzymania kompletnej informacji o przetwarzaniu.
Ważne jest, żeby pierwsza, podstawowa warstwa obowiązku informacyjnego realizowana była w formie właściwej dla zbierania informacji w ramach danego procesu – osoba informowana powinna łatwo i przede wszystkim już w momencie gromadzenia jej danych osobowych otrzymać podstawowe informacje na temat danego procesu przetwarzania. Przekazanie informacji w warstwie szczegółowej może natomiast polegać na odesłaniu do polityki prywatności (link), a w przypadku innych – niż poprzez stronę internetową – form komunikacji może się odbywać w następujący sposób:
w formie wiadomości e-mail przesyłanej osobie, której dane są zbierane, przygotowane do pobrania pod unikalnym adresem URL, w formie komunikatu na stronie WWWdostępnego tylko dla osoby, której dane są zbierane (zakładka prywatność np.w panelu konta użytkownika).
Realizacja obowiązku informacyjnego na kilku poziomach (zgodnie z wyżej opisanymi założeniami) wydaje się najbardziej odpowiednim rozwiązaniem w przypadku bardziej skomplikowanych proce- sów przetwarzania, np. w przypadku reklamy internetowej realizowanej w modelu programmatic. Poziom skomplikowania tego procesu nie pozwala bowiem na jasne i zrozumiałe dla użytkowników stron internetowych podanie wszelkich wymaganych informacji za jednym razem, przykładowo wyłącznie w ramach jednego komunikatu wyświetlanego na stronie internetowej.
Obowiązek informacyjny w marketingu internetowym
Mając na uwadze, że informacje o użytkownikach stron internetowych, które zbierane są w ramach nowoczesnego marketingu internetowego, w określonych sytuacjach mogą stanowić dane osobowe, niezbędne jest rozważenie, jak w tej sytuacji wykonać obowiązki informacyjne wobec osób, których dane te dotyczą33. W pierwszej kolejności należy określić, jaka będzie podstawa prawna tego obowiązku, a w konsekwencji – jaki będzie zakres informacji wymagających przekazania pod- miotowi danych (czyli „co przekazać?”). Następnie konieczne będzie zastanowienie się nad praktycznymi sposobami przekazania tych informacji w taki sposób, aby sprostać wymogom art. 12 RODO, tj. aby informacje zostały przekazane w zwięzłej ,przejrzystej i łatwo zrozumiałej formie (czyli „jak przekazać?”).
W większości przypadków nie budzi wątpliwości określenie tego, który z obowiązków informacyjnych powinien zostać wykonany przez administratora danych przetwarzającego je w ramach usług związanych z marketingiem internetowym, tj. czy będzie to obowiązek związany ze zbieraniem informacji bezpośrednio od podmiotu danych (art. 13 RODO), czy też obowiązek wynikający z innych sposobów zbierania tych danych (art. 14 RODO). W typowej sytuacji administrator będzie miał obowiązek wykonać obowiązek wynikający z art. 13 ust. 1 i 2 RODO – z uwagi na to, że dane osobowe będą zbierane bezpośrednio od osoby, której dotyczą (np. od osoby odwiedzającej daną stronę internetową). W świetle wytycznych Grupy Roboczej Art. 29 za dane osobowe zbierane bezpośrednio od danej osoby uznać należy nie tylko dane „aktywnie” przekazane przez podmiot danych (przykładowo w sytuacji wypełnienia formularza rejestracyjnego), ale również dane pozyskiwane przez administratora w drodze obserwacji (np. obserwacja „aktywności” danego uczestnika strony internetowej poprzez technologie śledzące)34.
Odnosząc się do kwestii sposobów wykonania obowiązku informacyjnego, warstwowe podejście do jego wykonania zostało przyjęte i wdrożone przez niemal wszystkich wydawców serwisów internetowych (oczywiście konkretne przyjęte rozwiązania różnią się w szczegółach, ale – co ważne – wszystkie oparte zostały na podobnych założeniach). Mając na uwadze fakt, iż to właśnie za pośrednictwem serwisów internetowych ich użytkownicy otrzymują informacje o przetwarzaniu ich danych osobowych dla celów nowoczesnej reklamy internetowej (w tym w szczególności reklamy realizowanej w modelu programmatic) – serwisy są naturalnym „miejscem kontaktu” użytkowników i wszystkich podmiotów zaangażowanych w procesie reklamowym, powyższą praktykę należy ocenić zdecydowanie pozytywnie. Stanowi ona istotny krok w stronę zwiększenia przejrzystości całego procesu przetwarzania danych osobowych w celu wyświetlania reklam i treści dopasowanych do preferencji użytkowników.
Podkreślenia wymaga, że wydawcy stanęli przed szczególnie trudnym wyzwaniem w związku ze sposobem funkcjonowania rynku reklamy programmatic, który angażuje w proces przetwarzania danych bardzo wiele podmiotów występujących w bardzo różnych rolach (reklamodawcy, platformy popytowe i podażowe, domy mediowe oraz inni pośrednicy reklamowi). Ich zadaniem było zatem zaprojektowanie poszczególnych warstw zawierających informacje o przetwarzaniu danych w taki sposób, aby użytkownik danego serwisu od samego początku, tj. od chwili wyświetlenia danej strony internetowej miał pełną i jednocześnie jasną informację zarówno o podmiotach, które biorą udział w proce- sie przetwarzania, jak i o celach przetwarzania prowadzącego do dopasowania treści serwisu lub personalizacji wyświetlanej na jego powierzchni reklamy.
W tym celu wydawcy serwisów internetowych zdecydowali się wykorzystać tzw. consent-walls, tj.specjalne plansze wyświetlane użytkownikom od razu po wejściu na daną stronę internetową, umożliwiające również wyrażenie zgody na przetwarzanie danych osobowych w celach prowadzenia reklamy internetowej opartej na analizie danych dotyczących„aktywności” użytkowników i/lub wyrażenie zgody na instalowanie plików cookies oraz wykorzystywanie informacji w nich zapisanych m.in. do celów marketingowych (zgodnie z przepisem art. 173 Prawa Telekomunikacyjnego). Consent-walls, obok funkcjonalności związanych z wyrażeniem zgody, stanowią jednocześnie pierwszą warstwę w ramach wykonania obowiązku informacyjnego i zawierają najbardziej istotne informacje o procesie przetwarzania danych. Zazwyczaj są to informacje (i) mówiące o celu przetwarzania danych (dopasowywanie treści oraz personalizacja wyświetlanych reklam), (ii) kategorii wykorzystywanych danych (dane o „aktywności” użytkownika zapisywane w plikach cookies) oraz (iii) podmiotach zaangażowanych w proces przetwarzania (tu najczęściej pojawia się określenie „zaufani partnerzy”). Dodatkowo w ramach tej pierwszej warstwy znajduje się zwykle odesłanie do polityki prywatności lub innego miejsca, w którym podmiot danych może uzyskać komplet informacji na temat przetwarzania jego danych osobowych.
Zatem, użytkownikowi wchodzącemu na stronę internetową wyświetlany jest komunikat zawierający podstawowe informacje o przetwarzaniu jego danych osobowych (pierwsza warstwa obowiązku informacyjnego), a jednocześnie zawarty w nim zwrot „zobacz więcej” czy „dowiedz się więcej” stanowi aktywny link odsyłający do dokumentu, w którym proces przetwarzania został opisany kompletnie, tj. zgodnie z art. 13 ust. 1 i 2 RODO (druga warstwa obowiązku informacyjnego).
Z perspektywy administratora będącego wydawcą, tj. właścicielem strony internetowej, na którą wprowadzone zostały technicznie rozwiązania pozwalające na instalowanie technologii umożliwiających gromadzenie danych o użytkownikach stron internetowych, w szczególności zapisywanie ich w plikach cookies – najprostszym i najbardziej intuicyjnym rozwiązaniem wydaje się być zrealizowanie obowiązków informacyjnych w pełnym zakresie właśnie w polityce prywatności.
W ramach projektowania powyższych rozwiązań wydawcy stron internetowych przejęli dwazasadni- cze modele działania, tj.:
wykorzystali stosowane jeszcze przed RODO komunikaty zawierające klauzulę zgody na przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanej w telekomunikacyjnym urządzeniu końcowym użytkownika końcowego (czyli potocznie „zgoda na pliki cookies”), uzupełniając je o klauzulę zgody na przetwarzania danych osobowych oraz pierwszą warstwę informacji o procesach przetwarzania danych osobowych,
stworzyli nowe komunikaty obok równolegle istniejących komunikatów ze zgodą na pliki cookies, zawierające tylko zgodę na przetwarzania danych osobowych oraz pierwszą warstwę informacji o procesach przetwarzania.
Mając na uwadze wytyczne wynikające z zasady przejrzystości (jednej z podstawowych zasad wynikających z RODO), bardziej prawidłowe wydaje się pierwsze rozwiązanie. Połączenie obu klauzul zgody w jednym komunikacie od razu wskazuje na powiązanie pomiędzy instalowaniem plików cookies a przetwarzaniem danych osobowych w nich zapisanych (tj. przykładowo informacji o „aktywnościach” danego użytkownika na stronie internetowej), tym samym dając użytkownikowi podstawową wiedzę na temat sposobu funkcjonowania reklamy internetowej. Dodatkowo, mniejsza liczba komunikatów i zawartych w nich informacji jest po prostu bardziej czytelna i przyjazna dla użytkownika.
Tytułem przykładu, treść wyżej wspominanego consent-wall w zakresie wykonania obowiązku informacyjnego dotyczącego przetwarzania danych osobowych może wyglądać następująco: „poprzez (…) wyrażasz zgodę na przetwarzanie danych osobowych przez X oraz Zaufanych Partnerów X do celów marketingowych, w szczególności na potrzeby wyświetlania reklam dopasowanych do Twoich zainteresowań i preferencji (…). Pamiętaj, że wyrażenie zgody jest dobrowolne, a wyrażoną zgodę możesz w każdej chwili cofnąć. Dowiedz się więcej lub zdecyduj o zgodzie”.
W oparciu o dotychczasowe doświadczenia w stosowaniu RODO oraz wyżej poczynione uwagi dotyczące standardów komunikacji z podmiotami danych osobowych, tak zaprojektowany sposób wypełnienia obowiązku informacyjnego powinien spełniać następujące wymogi:
consent-wall powinien być czytelnie wyodrębniony od pozostałej zawartości strony internetowej (tak aby nie został przypadkowo „pominięty”), a informacje w nim zawarte dobrze widoczne dla użytkowników,
komunikat w nim zawarty powinien być sformułowany w sposób możliwie jasny i precyzyjny, tj. z wykorzystaniem krótkich zdań i powszechnie zrozumiałego, potocznego języka, a jednocześnie powinien zawierać podstawowe informacje o procesie przetwarzania (cel, tożsamość administratora oraz kategorie podmiotów zaangażowanych w przetwarzanie danych),
komunikat nie powinien być zbyt długi i zawierać zbyt szczegółowych informacji – te są przecież zawarte w drugiej warstwie informacyjnej, czyli w polityce prywatności, w szczególności komunikat nie powinien wymieniać wszystkich odbiorców danych występujących w modelu reklamy programmatic, a jedynie kategorię tych odbiorców (rozwiązanie wprost dopuszczane w treści art. 13 ust. 1 pkt e RODO),
komunikat powinien również zawierać krótkie wyjaśnienie, sformułowane potocznym językiem,co do tego, jakie będą konsekwencje przetwarzania danych osobowych użytkownika,
komunikat powinien zawierać widoczne odesłanie do miejsca, w którym zawarte są wszystkie informacje o procesie przetwarzania danych, np. do polityki prywatności, polityka prywatności powinna zawierać wszystkie informacje wymienione w art. 13 ust. 1 i 2 RODO, a jednocześnie być sformułowana jasnym, prostym i zrozumiałym językiem, polityka prywatności musi być łatwo dostępna na każdym etapie korzystania ze strony internetowej, a nie tylko przez odesłanie z komunikatu zawartego w consent-wall. W tym zakresie polityka prywatności powinna być co najmniej podlinkowana w dolnej części każdej strony danego ser- wisu, komunikat zawarty w consent-wall nie powinien nadmiernie utrudniać normalnego korzystania z danego serwisu i jego funkcjonalności, w szczególności to użytkownik powinien samodzielnie decydować o tym, kiedy zapozna się z informacjami o przetwarzaniu jego danych osobowych.
Podsumowanie
Należy pozytywnie ocenić fakt, że wydawcy serwisów internetowych zdecydowali się na warstwowe podejście do wykonania obowiązków informacyjnych wynikających z RODO. Wobec znacznego poziomu skomplikowania procesów przetwarzania danych, związanych z reklamą internetową, a w szczególności tą realizowaną w modelu programmatic, to właśnie ten sposób przybliżenia wskazanych wyżej procesów użytkownikom serwisów należy uznać za właściwy, tj. odpowiednio prosty oraz czytelny. Jednocześnie należy zakładać, że przyjęte rozwiązania będą podlegać dalszym modyfikacjom i ujednoliceniu w ramach inicjatyw branżowych – w szczególności w ramach opracowanego przez IAB Europe standardu IAB Transparency & ConsentFramework.
30 Wytyczne Grupy Roboczej Art. 29 dotyczące przejrzystości na mocy rozporządzenia 2016/679.
31 Wytyczne Grupy Roboczej Art. 29 dotyczące przejrzystości na mocy rozporządzenia 2016/679.
32 Wytyczne Grupy Roboczej Art. 29 dotyczące przejrzystości na mocy rozporządzenia 2016/679.
33 Podkreślenia wymaga, że typowe identyfikatory internetowe, np. ID cookie, nie stanowią „same w sobie” danych osobowych. Danymi osobowymi będą dopiero informacje gromadzone za ich pośrednictwem lub do nich przypisane. Innymi słowy, identyfikatory powinny być traktowane jako dane osobowe dopiero wówczas, gdy łączone są z innymi unikatowymi identyfikatorami lub innymi informacjami, które pozwalają na identyfikację danej osoby fizycznej.
34 Wytyczne Grupy Roboczej Art. 29 dotyczące przejrzystości na mocy rozporządzenia 2016/679.
Obowiązek informacyjny w RODO
Jest to pierwsza część artykułu – poradnika poświęconego stosowaniu obowiązków informacyjnych zgodnych z RODO. Poniżej lista artykułów z cyklu “Obowiązek informacyjny w RODO”: Część I: https://blog-daneosobowe.pl/obowiazek-informacyjny-rodo/
Część II: https://blog-daneosobowe.pl/obowiazek-informacyjny-rodo-cz-2/
Część III: https://blog-daneosobowe.pl/obowiazek-informacyjny-rodo-cz-3/
Informowanie osób, których dane dotyczą o przetwarzaniu ich danych osobowych, stanowi jeden z podstawowych obowiązków administratora danych.
Tylko osoba skutecznie poinformowana, jest w stanie podejmować świadome decyzje w związku z przetwarzaniem jej danych osobowych i skutecznie reagować na ewentualne nieprawidłowości w tym zakresie.
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej: Rozporządzenie lub RODO) wprowadziło istotne zmiany w zakresie problematyki informowania podmiotów danych o przetwarzaniu danych osobowych ich dotyczących.
Obejrzyj w formie video na YouTube…
… albo odsłuchaj w formie podcastu
Moment aktualizacji obowiązku informacyjnego
Kluczowe dla prawidłowości realizacji obowiązku informacyjnego, jest określenie momentu jego aktualizacji, tj. sytuacji, kiedy administrator danych jest zobowiązany przedstawić osobie, której dane dotyczą informacje związane z przetwarzaniem jej danych osobowych.
Obowiązek informacyjny aktualizuje się w trzech sytuacjach:
przy zbieraniu danych, od osoby, której dane dotyczą;
przy zbieraniu danych w sposób inny niż od osoby, której dane dotyczą;
przez cały okres przetwarzania danych osobowych (w związku z prawem dostępu przysługującym osobie, której dane dotyczą).
W niniejszym artykule skupimy się na dwóch pierwszych sytuacjach, które wiążą się ze stosowaniem przez administratora tzw. klauzul informacyjnych (komunikatów dotyczących przetwarzania danych osobowych). Prawa osób, których dane dotyczą, w tym prawo dostępu do danych, zostały omówione w dalszych artykułach z cyklu.
Chcesz sprawdzić swoje klauzule informacyjne? Nasi eksperci zrobią to dla Ciebie! Usprawnimy Twoją „komunikację RODO” w taki sposób, żeby była przyjazna dla odbiorcy a przy tym w pełni zgodna z przepisami o ochronie danych osobowych. Skorzystaj z naszych konsultacji. Sprawdź
Zbieranie danych, od osoby, której dane dotyczą
Gromadzenie danych od osoby, której dane dotyczą, jest najczęstszym sposobem pozyskiwania danych przed administratorów. Będziemy mieli z nim do czynienia przede wszystkim wtedy, kiedy podmiot danych świadomie dostarcza administratorowi swoje dane (np. przy wypełnianiu papierowego kwestionariusza, formularza online , czy też w rozmowie telefonicznej z konsultantem). Z tzw. pierwotnym gromadzeniem danych mamy również do czynienia wówczas, kiedy administrator sam pozyskuje dane na skutek obserwacji zachowania danej osoby (np. przy wykorzystaniu kamer, urządzeń GPS lub innych zautomatyzowanych urządzeń lub oprogramowania).
Przekazanie podmiotowi danych informacji o przetwarzaniu jego danych osobowych, powinno nastąpić w momencie gromadzenia tych danych.
Art. 13 ust. 1 RODO wprost wskazuje na ten właśnie moment.
RODO zobowiązuje dodatkowo administratora do udzielania podmiotom danych określonych informacji dotyczących przetwarzania danych osobowych, w sytuacji, kiedy planuje on dalej przetwarzać te dane w celu innym niż cel, w którym zostały pierwotnie zebrane. Wówczas informacji udziela się przed takim dalszym przetwarzaniem.
Zbieranie danych w sposób inny niż od osoby, której dane dotyczą
Zbieranie danych w sposób inny niż od osoby, której dane dotyczą, polega na pozyskaniu danych z innych źródeł. Przy tzw. wtórnym gromadzeniu danych, administrator może skorzystać m.in. ze źródeł powszechnie dostępnych (np. publicznych rejestrów), jak również ze współpracy z innymi podmiotami (np. kupno bazy marketingowej od innego administratora). W praktyce oznacza to, że podmiot danych, co do zasady, nie uczestniczy świadomie w procesie gromadzenia jego danych przez administratora.
Należy jednak zaznaczyć, że przypadki, kiedy źródłem informacji jest podmiot działający w imieniu i na rzecz osoby, której dane dotyczą (np. działanie rodzica jako przedstawiciela ustawowego) należy interpretować jako przypadki pierwotnego gromadzenia danych.
Zgodnie z art. 14 ust. 3 RODO, informacje o przetwarzaniu danych osobowych, administrator danych podaje podmiotowi danych: w rozsądnym terminie po pozyskaniu danych osobowych – najpóźniej w ciągu miesiąca – mając na uwadze konkretne okoliczności przetwarzania danych osobowych;
po pozyskaniu danych osobowych – najpóźniej – mając na uwadze konkretne okoliczności przetwarzania danych osobowych; jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą – najpóźniej przy pierwszej takiej komunikacji z osobą, której dane dotyczą; lub
z osobą, której dane dotyczą; lub jeżeli planuje ujawnić dane osobowe innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu.
Administrator który gromadzi dane z innych źródeł niż osoba, której dane dotyczą powinien przekazać tej osobie, wszystkie niezbędne informacje w tzw. rozsądnym terminie po uzyskaniu danych, jednak nie później niż w ciągu miesiąca od tej chwili. Termin powinien być oceniany jako rozsądny, przy uwzględnieniu konkretnych (faktycznych) okoliczności przetwarzania danych osobowych, w oparciu o obiektywne kryteria. Oznacza to tyle, że administrator powinien dążyć do jak najszybszego spełnienia obowiązku informacyjnego wobec podmiotu danych, biorąc pod uwagę dostępne na chwilę pozyskania danych środki.
Niezależnie od powyższego, przekazanie informacji powinno nastąpić nie później niż w terminie miesiąca od zgromadzenia danych. Termin ten należy traktować jako ogólny graniczny termin przekazania informacji, który będzie również znajdował zastosowanie do kolejnych punktów.
Zminimalizuj ryzyko naruszenia RODO w Twojej organizacji – przeszkól zespół. Zależy Ci na tym aby Twoi pracownicy otrzymali certyfikat i poznali praktyczną wiedzę z zakresu RODO zamiast nużących regułek? Sprawdź nasze interaktywne szkolenia e-learningowe. Sprawdź
Oznacza to, że jeżeli pierwsza komunikacja z osobą, której dane dotyczą lub pierwsze ujawnienie jej danych innemu podmiotowi, planowane jest przez administratora przed upływem jednego miesiąca po uzyskaniu danych, wówczas informacje muszą zostać dostarczone najpóźniej w chwili tego kontaktu lub ujawnienia jej danych, niezależnie od tego, że jeden miesiąc od momentu uzyskania danych nie wygasł.
Jeżeli natomiast pierwszy kontakt lub ujawnienie danych administrator planuje później niż miesiąc po uzyskaniu danych osobowych, nadal obowiązuje go termin wskazany w punkcie pierwszym, tj. stosowne informacje muszą zostać przekazane osobie, której dane dotyczą, najpóźniej w ciągu miesiąca od otrzymania danych.
Zakres informacji przekazywanych osobie, której dane dotyczą
Teraz zajmijmy się kluczowym elementem obowiązku informacyjnego – czyli jego treścią. Zakres informacji do, których przekazania zobowiązany jest administrator, różni się w zależności od sytuacji, w której aktualizuje się obowiązek informacyjny.
Zbieranie danych, od osoby, której dane dotyczą
W sytuacji, kiedy dane osobowe zbierane są od osoby, której one dotyczą, administrator podaje jej następujące informacje: 1. tożsamość i dane kontaktowe administratora, 2. gdy ma to zastosowanie – tożsamość i dane kontaktowe przedstawiciela administratora, 3. gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych, 4. cele przetwarzania danych osobowych, 5. podstawy prawne przetwarzania, 6. jeżeli przetwarzanie odbywa się na podstawie prawnie uzasadnionych interesów administratora lub strony trzeciej, te realizowane interesy, 7. informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją, 8. gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz warunkach tego przekazania, 9. okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu, 10. informacje o przysługujących osobie, której dane dotyczą prawach, 11. jeżeli przetwarzanie odbywa się na podstawie zgody, informacje o prawie do jej cofnięcia; w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na jej podstawie jej cofnięciem, 12. informacje o prawie wniesienia skargi do organu nadzorczego, 13. informacje, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych, 14. informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu.
Podmiot danych ma zostać w sposób kompleksowy poinformowany nie tylko o procesach przetwarzania jego danych osobowych, ale również o przysługujących mu związku z tym przetwarzaniem prawach, możliwych do podjęcia działaniach (skarga do organu nadzoru), jak i konsekwencjach, jakie niesie dla niego dokonywane przetwarzanie.
Informując osobę, której dane dotyczą o swojej tożsamości i siedzibie, administrator powinien przekazać takie swoje dane, które będą mogły w łatwy sposób go zidentyfikować i zostać wykorzystane do nawiązania z nim kontaktu. Przykładowo, nie zaleca się stosowania skrótu nazwy, jeżeli nie umożliwia on jednoznacznej identyfikacji podmiotu. To co natomiast należy zarekomendować, to podanie danych, które umożliwiają skorzystanie z różnych form komunikacji (np. adres email, numer telefonu, adres strony internetowej).
Takie same uwagi odnoszą się do wskazania przedstawiciela administratora danych (wymóg wyznaczenia przedstawiciela dotyczy administratorów nie mających siedziby w Unii Europejskiej).
Artykuł który czytasz jest dla Ciebie wartościowy? Zapisz się na nasz newsletter i bądź na bieżąco z naszymi blogowymi nowościami
Inspektor Ochrony Danych
W sytuacji, kiedy w administrator w swojej strukturze powołał Inspektora Ochrony Danych (dalej: IOD), zobowiązany jest on do przekazania jego danych kontaktowych. Dane kontaktowe IOD powinny umożliwiać osobom, których dane dotyczą, nawiązanie z nim kontaktu w łatwy sposób (adres korespondencyjny, telefon kontaktowy, dedykowany adres email).
Art. 13 RODO nie wymaga publikowania imienia i nazwiska IOD. Zamieszczenie takich informacji w przekazywanej podmiotowi danych klauzuli informacyjnej należy traktować jedynie jako dobrą praktykę.
Decyzja o tym, czy udostępnienie tych danych może być konieczne lub pomocne, powinna zostać podjęta wspólnie przez administratora oraz IOD. Należy zwrócić uwagę, że zamieszczenie tego typu informacji na formularzach czy kwestionariuszach, za pomocą, których zbierane są dane osobowe, może okazać się na dłuższą metę niepraktyczne. Zmiana personalna na stanowisku IOD, każdorazowo wymagałaby bowiem zmiany stosowanych formularzy. O ile łatwo tego dokonać w przypadku dokumentów w formie elektronicznej, to w przypadku dokumentów w formie papierowej jedynym rozwiązaniem byłoby ich zniszczenie i zastąpienie nowymi, co może generować dość duże koszty.
A jeśli już mowa o Inspektorze Ochrony Danych, to zapraszamy Cię na nasz kurs IOD. W czasie tego praktycznego szkolenia dowiesz się jak zbudować bezpieczny i sprawnie działający system ochrony danych osobowych (w tym – jak poprawnie stosować obowiązki informacyjne).
Cel przetwarzania
Cele przetwarzania danych osobowych powinny zostać wskazane przez administratora w sposób precyzyjny w oparciu o istniejący w tym zakresie stan faktyczny. Z uwagi na zasadę przejrzystości, nie jest dopuszczalne wskazywanie celów przetwarzania na zapas (więcej o zasadach przetwarzania na gruncie RODO tutaj).
Tym samym, nieprawidłowym będzie wskazanie w klauzuli informacyjnej, że dane osobowe mogą być przetwarzane w jakimś celu (np. marketingowym). Takie zwroty mogą powodować, że podmiot danych nie będzie miał pewności co do tego w jakich konkretnie celach jego dane są rzeczywiście wykorzystywane. Zaleca się zatem posługiwanie zwrotami typu: dane osobowe będą / są przetwarzane w jakimś celu (np. marketingowym).
Podstawy przetwarzania danych osobowych
Wskazując podstawy przetwarzania danych należy odnieść się do przesłanek legalizujących wskazanych w art. 6 oraz 9 RODO (więcej o podstawach przetwarzania na gruncie RODO tutaj). Jeżeli przetwarzanie odbywa się na podstawie prawnie uzasadnionych interesów administratora lub strony trzeciej, należy wskazać jakie konkretnie interesy legalizują to przetwarzanie. Dodatkowo, w ramach dobrej praktyki, w sytuacji, jeżeli podstawę przetwarzania będzie stanowiło wypełnianie obowiązku prawnego ciążącego na administratorze, należałoby wskazać konkretny przepis, z którego ten obowiązek wynika.
Odbiorcy lub kategorie odbiorców
RODO nakłada obowiązek informowania podmiotów danych o odbiorcach lub o kategoriach odbiorców ich danych osobowych, jeżeli takowi istnieją.
Do kręgu odbiorców RODO zalicza nie tylko podmioty, którym dane osobowe są udostępniane, ale również podmioty, którym administrator powierzył przetwarzanie danych osobowych. Oznacza to, że klauzula informacyjna powinna zawierać dane o wszystkich podmiotach, którym administrator przekazuje przetwarzane przez siebie dane osobowe. Pomimo tego, że RODO nie wymaga podania pełnych danych tych podmiotów, dopuszczając wymienianie tylko ich kategorii to punktem wyjścia, w ramach realizacji powoływanej już zasady przejrzystości, powinna być jednak próba konkretnego zdefiniowania tych podmiotów. Jeżeli administrator decyduje się na wskazanie jedynie kategorii odbiorców, powinien być w stanie wykazać, dlaczego uważa, że takie rozwiązanie będzie dla odbiorcy informacji zrozumiałe.
Umowa powierzenia
Umowa powierzenia Trzy gotowe i sprawdzone szablony umowy powierzenia zgodnej z RODO z instrukcją wypełniania. Zobacz co otrzymasz w pakiecie. Sprawdź
Podczas podawania informacji o odbiorach danych, administrator powinien zwrócić uwagę, czy któryś z tych podmiotów nie ma siedziby w państwie trzecim (poza Europejskim Obszarem Gospodarczym). Jeżeli tak, wówczas katalog przekazywanych informacji powinien zostać rozszerzony dodatkowo o informacje o zamiarze przekazania danych osobowych do tego państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję Europejską odpowiedniego stopnia ochrony lub wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych.
Kwestie związane z przekazywaniem danych do państw trzecich zostały omówione w poświęconym temu tematowi odrębnym artykule.
Okres przechowywania danych osobowych
Kolejnym elementem klauzuli informacyjnej, jest wskazanie przez administratora okresu, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteriów ustalania tego okresu. W tym zakresie należy pamiętać o tym, że okresy te mogą się od siebie różnić w zależności od tego jaki jest cel przetwarzania danych. Jeżeli gromadzone dane będą przetwarzane w różnych celach, należy wskazać okresy przechowywania danych dla tych różnych celów. Administrator może dopełnić tego obowiązku poprzez wskazanie konkretnych dat (np. do 31 grudnia 2018 r.), przedziałów czasowych (np. przez okres 5 lat, przez okres obowiązywania zawartej umowy, etc.) lub sytuacji (np. do czasu wycofania zgody, do czasu wniesienia sprzeciwu, etc.).
Prawa przysługujące osobie, której dane są przetwarzane
Na gruncie RODO osoba, której dane dotyczą powinna zostać również poinformowana o przysługujących jej prawach, tj. prawie do żądania dostępu do danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, prawie do wniesienia sprzeciwu wobec przetwarzania, prawie do przenoszenia danych, a także prawie do wniesienia skargi do organu nadzorczego. Pomimo, że nie jest to wprost wymagane przez RODO, informując podmiot o przysługujących mu prawach, administrator w ramach dobrych praktyk powinien również wskazać mu, jakie kroki powinien on podjąć, aby móc z tego prawa realnie skorzystać (np. wskazując dane kontaktowe do organu nadzoru).
Jeżeli przetwarzanie odbywa się na podstawie zgody, administrator powinien przekazać osobie, której dane dotyczą informacje o prawie do cofnięcia tej zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na jej podstawie przed jej cofnięciem.
W sytuacji, jeżeli dane gromadzone są w związku z wymogiem ustawowym lub umownym lub pod warunkiem zawarcia umowy, a osoba, której dane dotyczą, jest zobowiązana do podania tych danych, administrator powinien ją o tym poinformować oraz dodatkowo wskazać jakie są ewentualne konsekwencje niepodania przez nią danych osobowych.
Możliwą konsekwencją niepodania danych może być przykładowo brak możliwości zawarcia umowy (w sytuacji jeżeli podmiot odmawia przekazania danych identyfikujących). W tym zakresie należy podkreślić, że ten element klauzuli informacyjnej, nie może być wykorzystywany przez administratorów do wymuszania podania przez osoby, których dane dotyczą szerszego zakresu danych niż jest to niezbędne dla celu przetwarzania (np. zastrzeganie adresu email jako niezbędnego do zawarcia umowy).
Profilowanie, automatyczne podejmowanie decyzji
Ostatni z punktów art. 13 RODO wymaga od administratora dostarczania podmiotowi danych konkretnych informacji o automatycznym podejmowaniu decyzji, opartych wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołujących wobec tego podmiotu skutki prawne lub w podobny sposób istotnie na niego wpływających (art. 22 RODO).
Kwestii zautomatyzowanego podejmowania decyzji oraz profilowania, poświęcony zostaał osobny artykuł z naszej serii publikacji o RODO. Na potrzeby tego artykułu warto zasygnalizować jedynie, że decyzje oparte na zautomatyzowanym przetwarzaniu danych, w tym profilowaniu, są obecnie powszechnie wykorzystywane w obszarach takich jak sektor bankowy, ubezpieczeń czy zdrowia. Decyzje takie podejmowane są przy wykorzystaniu dedykowanych algorytmów m.in. na potrzeby scoringu kredytowego, określania limitów na kartach kredytowych, etc. Jeżeli administrator podejmuje takie decyzje, musi:
przekazać osobie, której dane dotyczą, informacje że wykonuje na jej danych tego typu działania oraz określić ich cel;
dostarczać istotnych informacji o regułach podejmowania takich decyzji, w szczególności czynnikach wpływających na określoną treść decyzji;
wyjaśnić znaczenie i przewidywane konsekwencje takiego przetwarzania.
Zbieranie danych w sposób inny niż od osoby, której dane dotyczą
W sytuacji, kiedy dane osobowe zbierane są w sposób inny niż od osoby, której one dotyczą, administrator podaje tej osobie następujące informacje: 1. tożsamość i dane kontaktowe administratora, 2. gdy ma to zastosowanie – tożsamość i dane kontaktowe przedstawiciela administratora. 3. gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych, 4. cele przetwarzania danych osobowych, 5. podstawy prawne przetwarzania, 6. kategorie odnośnych danych, 7. informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją, 8. gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz warunkach tego przekazania, 9. okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu, 10. jeżeli przetwarzanie odbywa się na podstawie prawnie uzasadnionych interesów administratora lub strony trzeciej, te realizowane interesy, 11. informacje o przysługujących osobie, której dane dotyczą prawach, 12. jeżeli przetwarzanie odbywa się na podstawie zgody, informacje o prawie do jej cofnięcia; w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na jej podstawie jej cofnięciem, 13. informacje o prawie wniesienia skargi do organu nadzorczego, 14. źródło pochodzenia danych, a gdy ma to zastosowanie informacja czy dane pochodzą ze źródeł publicznie dostępnych, 15. informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu.
Część z tych informacji pozostaje analogiczna do informacji podawanych w przypadku zbierania danych osobowych bezpośrednio od osoby, której dane dotyczą (dot. to m.in. informacji o administratorze, inspektorze ochrony danych, celach i podstawach przetwarzania, etc.).
W przypadku wtórnego pozyskiwania danych RODO rozszerza katalog przekazywanych informacji o kategorie odnośnych danych osobowych oraz wskazanie źródła ich pochodzenia.
Kategorie danych osobowych
Poprzez pojęcie kategorie odnośnych danych należy rozumieć kategorie danych osobowych pozyskanych przez administratora z innego źródła. Kategorie tych danych mogą zostać wskazane dwojako, albo poprzez wskazanie typów i rodzajów danych (np. dane identyfikacyjne, dane pracownicze) albo poprzez wskazanie zakresu informacji (np. imię, nazwisko, email, adres). Biorąc pod uwagę zasadę przejrzystości przetwarzania danych zasadnym będzie przyjęcie przez administratora drugiego ze wskazanych rozwiązań.
Źródło pochodzenia danych
Źródło pochodzenia danych powinno zostać określone przez administratora w sposób jak najbardziej precyzyjny, tak aby podmiot danych mógł je w sposób poprawny zidentyfikować, bez konieczności podejmowania w tym zakresie nadmiernych działań. W sytuacji, kiedy administrator danych pozyskał dane z różnych źródeł, RODO (motyw 61) dopuszcza przedstawienie tych źródeł w sposób ogólny. Sytuacja taka powinna jednak stanowić wyjątek, a niemożność podania źródła powinna oznaczać okoliczność o charakterze obiektywnym, a nie stanowić subiektywne odczucie administratora (jak np. konieczność skrócenia klauzuli z uwagi na ograniczoną ilość znaków w przesyłanej do podmiotu danych wiadomości).
키워드에 대한 정보 informacja rodo na stronie
다음은 Bing에서 informacja rodo na stronie 주제에 대한 검색 결과입니다. 필요한 경우 더 읽을 수 있습니다.
이 기사는 인터넷의 다양한 출처에서 편집되었습니다. 이 기사가 유용했기를 바랍니다. 이 기사가 유용하다고 생각되면 공유하십시오. 매우 감사합니다!
사람들이 주제에 대해 자주 검색하는 키워드 Prosta Strona Internetowa a RODO
- rodo
- strona www a rodo
- rodo a strona www
- jak wdrożyć rodo na stronie
- kontatk a rodo
- cookies
- rodo a cookies
- ochrona danych osobowych strona www
- dane osobowe strona www
- strona internetowa rodo
- jak sprawdzić cookies
Prosta #Strona #Internetowa #a #RODO
YouTube에서 informacja rodo na stronie 주제의 다른 동영상 보기
주제에 대한 기사를 시청해 주셔서 감사합니다 Prosta Strona Internetowa a RODO | informacja rodo na stronie, 이 기사가 유용하다고 생각되면 공유하십시오, 매우 감사합니다.
