RODO: Nowe obowiązki informacyjne dla administratorów danych i podmiotów przetwarzających
Jedną z najważniejszych zmian, która czeka nas po wejściu w życie RODO – ogólnego rozporządzenia 2016/679 o ochronie danych – jest rozszerzenie uprawnień informacyjnych dla osób, których dane są przetwarzane (czyli nas wszystkich). Wszystko po to, aby każdy z nas – udostępniających miał wiedzę i kontrolę nad tym, co dzieje się z naszymi danymi. Jakie nowe obowiązki RODO nakłada na administratorów i podmioty przetwarzające? Co w praktyce oznacza obowiązek informacyjny? O tym poniżej.
Obowiązek informacyjny w RODO
Tzw. obowiązek informacyjny (to, co po stronie udostępniających dane określane jest jako “uprawnienie”, po stronie administratora nazywa się obowiązkiem) oznacza w praktyce, że podmioty zbierające dane (administratorzy) powinni jeszcze przed rozpoczęciem pozyskiwania danych osobowych podać udostępniającym szereg informacji na temat tego:
#1 Kto i co przetwarza?
Administrator danych powinien podać swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela. Administrator powinien ponadto podać dane kontaktowe inspektora ochrony danych (jeżeli taki istnieje).
#2 Po co przetwarza i na jakiej podstawie? Kto jest odbiorcą danych?
Administrator danych powinien poinformować udostępniającego o celach przetwarzania danych osobowych oraz wskazać podstawę prawną przetwarzania. Co więcej, administrator powinien podać prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią podczas zbierania danych.
Należy wskazać informacje o odbiorcach danych osobowych lub o kategoriach odbiorców oraz – jeżeli taki zamiar jest – należy podać informacje o zamiarze przekazania danych osobowych do państwa trzeciego.
#3 Zapewnienie rzetelności i przejrzystości
Ale to nie wszystko. Poza powyższymi informacjami administrator danych ma również obowiązek podać osobie, której dane dotyczą, informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania.
#4 Przez jaki okres czasu przetwarzane są dane?
Należy wskazać okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu.
#5 Jakie prawa ma udostępniający dane?
Obowiązkiem administratora jest również poinformowanie o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych.
Administrator ma obowiązek podać także informację o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem. Ponadto powinna również zostać podana informacja o prawie wniesienia skargi do organu nadzorczego oraz informacja, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych.
#6 Czy dane będą profilowane?
Należy również podać informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu (jeżeli dotyczy) oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
Niewątpliwie zatem ilość kategorii informacji, które administrator danych ma obowiązek podać osobom udostępniającym dane znacznie wzrosła. Nowością wprowadzoną przez RODO jest m.in. obowiązek wskazywania podstawy przetwarzania danych, okresu, przez który dane będą przechowywane, a gdy nie jest to możliwe – kryteria ustalania tego okresu czy prawo do wniesienia skargi do organu nadzorczego (oczywiście na administratora, jeśli użytkownik uzna to za konieczne).
Obowiązek informacyjny. Jak informować?
Nie tylko ważne jest to, jakie informacje przekazujemy, ale również jak to robimy. RODO dokładnie określa sposób, w jaki powinny być przekazywane wskazane wyżej informacje:
Administrator podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem (…) udzielić osobie, której dane dotyczą, wszelkich informacji, o których mowa w art. 13.
Ma być więc: zwięźle, jasno, przejrzyście, w formie łatwo dostępnej i prostym językiem. Brzmi wspaniale, prawda? To znaczy, że możemy skończyć z długimi, skomplikowanymi zdaniami, trudnymi, prawniczymi sformułowaniami oraz stroną bierną. Aby było poprawnie nie musi już być trudno. Wręcz przeciwnie, aby działać zgodnie z przepisami RODO ma być prosto i przejrzyście. A w dodatku zwięźle. Zamiast:
“Administratorem danych osobowych jest spółka X sp.z o.o. z siedzibą w Warszawie przy ul. Osobowej 1a. Mail: administrator@spolka.pl”
możemy napisać z perspektywy nas jako administratora, nadawcy:
“Administratorem Pani danych jesteśmy my, czyli X sp. z o.o . Nasza siedziba mieści się przy ul. Osobowej 1a w Warszawie. Może Pani kontaktować się z nami również drogą mailową. Nasz adres e-mail to administrator@spolka.pl “
lub nawet bezpośrednio “per Ty”:
“Administratorem Twoich danych będziemy my, czyli X sp. z o.o . Nasza siedziba mieści się przy ul. Osobowej 1a w Warszawie. Możesz kontaktować się z nami również drogą mailową. Nasz adres e-mail to administrator@spolka.pl “
I tak po kolei z każdą kategorią informacji, którą administrator ma obowiązek podać osobom, których dane zbiera. Forma pytań i odpowiedzi? Infografika? Inne kreatywne sposoby przedstawienia informacji? Wszystkie one wchodzą w grę pod warunkiem, że wszystkie kategorie informacji z art. 13 RODO zostaną przedstawione w sposób jasny, przejrzysty i zwięzły. Ilość przekazywanych informacji ma się zatem zwiększyć, ale za to informacje mają być podane w lżejszej i bardziej przystępnej formie.
RODO w marketingu i sprzedaży – kurs online
Nie jesteś pewny, czy przetwarzasz dane w swojej firmie w sposób zgodny z prawem? Zastanawiasz się jak przygotować swoją firmę do RODO? Razem z eduweb.pl przygotowałam kurs „RODO w marketingu i sprzedaży”, który przeprowadzi każdego przedsiębiorcę przez nowe przepisy o ochronie danych osobowych oraz odpowie na pytanie jak przetwarzać dane osobowe zgodnie z RODO.
To nie wszystko! W kursie znajdziesz bonus – wzory dokumentów, które przydadzą się każdemu marketerowi lub sprzedawcy, który przetwarza dane osobowe swoich klientów:
- Wzór rejestru czynności przetwarzania – wzór wraz z opisem i instrukcją wypełniania;
- Wzór umowy powierzenia przetwarzania danych osobowych.
Zajrzyj na eduweb.pl.
***
Photo by Alvaro Reyes on Unsplash