RODO

RODO w praktyce: Jak wykonywać obowiązek informacyjny według RODO?

DSC_0521
www.rybarczyk-kancelaria.pl

Obowiązek informacyjny jest jednym z najważniejszych (o ile nie najważniejszym) obowiązkiem nałożonym na administratora danych osobowych przez RODO. W tym wpisie nie będziemy skupiać się na elementach obowiązku informacyjnego wskazanych w art. 13 i 14 RODO, ale chcemy podejść do problemu nieco bardziej praktycznie, choć zdajemy sobie sprawę z jego obszerności.

Musimy rozważyć, kto ma zostać poinformowany

Najpierw należy zastanowić się czyje dane przetwarzamy, w jakim celu i na jakiej podstawie prawnej. Oczywiście w pierwszej kolejności należy dokonać gruntownego zbadania „położenia” danych osobowych w naszej instytucji. Niezbędny w tym zakresie może okazać się audyt, w szczególności audyt prawny RODO. Kiedy jednak już uporamy się z tym problemem, musimy ustalić, wobec kogo należy spełnić obowiązek informacyjny. Zwykle administratorzy skupiają się a dwóch najważniejszych grupach: pracownikach i klientach. Nie należy jednak zapominać, że są również inne grupy osób, których dane są przetwarzane w niemal każdej instytucji, tj. kandydaci do pracy, zleceniobiorcy, czasem stażyści. Należy przy tym pamiętać, że obowiązek informacyjny jest zindywidualizowany pod kątem zarówno administratora, jak i osoby, której dane dotyczą. Dlatego tak bardzo ważne jest uprzednie przeprowadzenie audytu danych osobowych. W wielu instytucjach będzie trzeba wykonać obowiązek informacyjny wobec jeszcze innych osób np. klientów, którzy zapisali się na newsletter, osób, które należy zawiadomić w razie wypadku pracownika, byłych pracowników, których dane są nadal przechowywane itd. Najczęściej będzie się to sprowadzać do sporządzenia odrębnych klauzul informacyjnych (taka jest obecnie tendencja), a także opracowania systemu doręczania tych klauzul.

Musimy dbać o to, aby treść naszych klauzul informacyjnych była jasna i przejrzysta

Jasność i przejrzystość – na to najczęściej zwraca uwagę Urząd Ochrony Danych Osobowych w zakresie wykonywania obowiązku informacyjnego. Za negatywną należy uznać praktykę wielu (o ile nie większości) instytucji, które skupiają się jedynie na tym, aby klient podpisał klauzulę informacyjną. Takie „odhaczanie” spełnienia obowiązku informacyjne nie jest de facto jego spełnieniem. Wyobraźmy sobie, że zepsuła się nam lodówka i szybko idziemy do najbliższego sklepu AGD, żeby zakupić nową. Decydujemy się na zakup na raty. Sprzedawca podsuwa nam do podpisania klauzulę informacyjną RODO składającą się z pięciu stron i mówi „proszę tu tylko podpisać”. Czy jesteśmy w stanie zapoznać się z klauzulą? Czy sprzedawca pouczył nas o tym, co w niej jest? Czy zatem obowiązek informacyjny został spełniony?” Z pewnością nie. Najważniejsza jest zatem jasność i przejrzystość treści i formy. UODO wskazuje, że obecnie tendencją jest projektowanie coraz krótszych klauzul informacyjnych. Poza tym jesteśmy zachęcani do tzw. „warstwowego informowania”, co najczęściej oznacza stosowanie skróconej wersji realizowanego obowiązku informacyjnego przy pierwszym zetknięciu się osoby, której dane dotyczą z udzieloną informacją, a następnie z odesłaniem do pełnej klauzuli.

Należy dbać o język klauzul informacyjnych

Klauzule nie powinny być sporządzane językiem prawnym lub prawniczym czy też innym językiem specjalistycznym. Klauzula powinna być zrozumiała dla przeciętnego odbiorcy. Stosowanie zdań wielokrotnie złożonych i okraszonych licznymi artykułami z RODO czy też z innych aktów prawnych na pewno nie spełnia wymogu realizacji obowiązku informacyjnego. Starajmy się zatem, aby klauzule informacyjne były jak najprostsze  i najbardziej zrozumiałe dla osób, do których są kierowane.

Podsumowując: bądźmy szczegółowi w ustalaniu adresatów obowiązku informacyjnego, ale nie starajmy się zarzucać adresata zbędnymi czy też zbyt skomplikowanymi informacjami. Spełniajmy wszystkie wymogi art. 13 i 14 RODO, ale nie wprowadzajmy nikogo w błąd i nie traktujmy obowiązku informacyjnego jako kolejną rubrykę do „odhaczenia”.

Reklamy

2 myśli w temacie “RODO w praktyce: Jak wykonywać obowiązek informacyjny według RODO?”

    1. Są to dwie różne grupy odbiorców. Cele przetwarzania są inne, podstawy najczęściej też. Treść konkretnych klauzul należy od specyfiki danej instytucji i ma charakter indywidualny. Nie sposób podać po prostu ogólnej treści klauzuli dla danego typu odbiorcy.

      Polubienie

Skomentuj

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Wyloguj /  Zmień )

Zdjęcie na Google

Komentujesz korzystając z konta Google. Wyloguj /  Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Wyloguj /  Zmień )

Zdjęcie na Facebooku

Komentujesz korzystając z konta Facebook. Wyloguj /  Zmień )

Połączenie z %s