Klauzula informacyjna musi spełniać odpowiednie warunki nie tylko w zakresie treści, ale też sposobu jej zredagowania. Przede wszystkim musi być przejrzysta i zrozumiała dla odbiorcy, ale także wystarczająco skonkretyzowana. Redagując klauzulę informacyjną, nietrudno o błąd. Sprawdź czego należy wystrzegać się w treści klauzuli.
W temacie tygodnia
Niejednokrotnie klauzula informacyjna bywa niejednorodna pod względem językowym, nieczytelna, a także zawiera wieloznaczne komunikaty. Są one dość często bardzo długie i szczegółowe i nie zawierają żadnych separatorów. Co więcej administratorzy nadmiernie koncentrują się na podawaniu niewymaganych przepisami szczegółów formalno-technicznych związanych z przetwarzaniem danych osobowych albo na cytowaniu długich przepisów, chcąc sprawić wrażenie profesjonalizmu. To błąd. W efekcie bowiem klauzula staje się nieczytelna dla odbiorcy i zniechęca go do zapoznania się z jej treścią.
Redagując klauzulę informacyjną, administrator powinien stosować:
Warto nawet rozważyć zastosowanie formy tabelarycznej.
Źle |
Dobrze |
Na podstawie art. 13 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE administrator danych osobowych podaje (…) − cele przetwarzania danych osobowych oraz podstawę prawną przetwarzania. W związku z powyższym informujemy, że dane osobowe są przetwarzane w celach związanych z zawarciem i prawidłową realizacją umowy, która stanowi podstawę nabycia oferowanych na stronie www.abcd.pl towarów lub usług (art. 6 ust. 1 lit. b RODO). Informujemy również, że dane osobowe są przetwarzane w celu wypełnienia ciążących na ADO obowiązków wynikających z przepisów prawa (art. 6 ust. 1 lit. c RODO). Takie obowiązki wynikają z art. 74 ust. 2 ustawy z 29 września 1994 r. o rachunkowości (Dz.U. 2019 poz. 351), zgodnie z którym pozostałe zbiory przechowuje się co najmniej przez okres: 1) księgi rachunkowe −– 5 lat; (...); 3) dowody księgowe dotyczące wpływów ze sprzedaży detalicznej – do dnia zatwierdzenia sprawozdania finansowego za dany rok obrotowy, nie krócej jednak niż do dnia rozliczenia osób, którym powierzono składniki aktywów objęte sprzedażą detaliczną (...). |
III. Zakres, cele i podstawa prawna przetwarzania danych osobowych (albo: Jaki jest cel i podstawa prawna przetwarzania Państwa danych osobowych)
Dane osobowe przetwarzamy:
|
Administrator musi zagwarantować, by miejsce i sposób dostępu do informacji zawartych w klauzuli były dla odbiorcy oczywiste i łatwe do znalezieniu. Jak to zrobić? Najlepiej:
Wśród administratorów można też zaobserwować tendencję do używania trudnych, specjalistycznych sformułowań, które czynią wrażenie, że klauzula jest sformułowana profesjonalnie. Tymczasem staje się ona mało zrozumiała dla zwykłego odbiorcę.
Klauzulę należy zredagować tak, by powinien ją zrozumieć przeciętny przedstawiciel grupy docelowych odbiorców. W tym celu należy ustalić grupę odbiorców klauzuli i dostosować do nich jej treść.
Błędem jest także używanie pojęć abstrakcyjnych, wieloznacznych, rodzących wątpliwości interpretacyjne. Obowiązkiem administratora jest zaś skonkretyzowanie klauzuli w szczególności w zakresie celów i zakresu przetwarzania danych.
Źle |
Dobrze |
Możemy wykorzystywać Twoje dane osobowe do opracowywania nowych usług.
Dlaczego źle? Otóż nie wskazano, czym są „usługi” ani w jaki sposób dane pomogą w ich opracowaniu). |
Będziemy przechowywać historię Twoich zakupów i wykorzystywać szczegółowe informacje na temat produktów, które kupiłeś w przeszłości, aby proponować Ci inne produkty, którymi naszym zdaniem możesz być zainteresowany. |
Możemy wykorzystywać Twoje dane osobowe do celów badawczych.
Dlaczego źle? Nie określono, o jakiego typu „badania” chodzi. |
Będziemy przechowywać i badać informacje na temat Twoich ostatnich wizyt na naszej stronie i sposobu, w jaki poruszasz się po różnych sekcjach naszej strony, do celów analitycznych, aby dowiedzieć się, w jaki sposób użytkownicy korzystają z naszej strony, i uczynić ją bardziej intuicyjną. |
Możemy wykorzystywać Twoje dane osobowe do oferowania spersonalizowanych usług.
Czemu błędnie? Administrator nie podał, na czym polega personalizacja usług i nie określił, o jakie usługi chodzi. |
Będziemy rejestrować, na które artykuły na naszej stronie kliknąłeś, i wykorzystamy te informacje do tworzenia na tej stronie reklam przeznaczonych dla Ciebie, które będą dopasowane do Twoich zainteresowań, zidentyfikowanych przez nas na podstawie przeczytanych przez Ciebie artykułów. |
Kolejne błędy dotyczą treści klauzuli. Pojawiają się one nie tylko w zakresie wyboru podstawy prawnej przetwarzania danych, ale także np. w zakresie wskazania odbiorcy.
Więcej na temat podstaw prawnych przetwarzania:
Zgodnie z art. 4 pkt 9 RODO jako odbiorcę rozumiemy:
którym ujawnia się dane osobowe, niezależnie od tego, czy są oni stroną trzecią. W tym kontekście jako odbiorców dość często wskazuje się np. ZUS czy organy podatkowe.
Tymczasem za odbiorców nie mogą być uznawane organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania, zgodnie z prawem Unii lub prawem państwa członkowskiego. Takich podmiotów nie należy więc wskazywać w klauzuli.
Często też administratorzy podają jedynie ogólnie rodzaje odbiorców danych. Wbrew pozorom obowiązkiem ADO w tym zakresie jest wskazanie odbiorcy z nazwiska lub nazwy, tak aby podmioty danych wiedziały dokładnie, kto znajduje się w posiadaniu ich danych osobowych. Możliwe jest też ograniczenie się do kategorii odbiorców, jeżeli wskazanie konkretnych podmiotów nie jest możliwe.
Wskazując kategorię odbiorcy w klauzuli informacyjnej, należy podać
Źle |
Dobrze |
Odbiorcami Państwa danych będą firmy hostingowe, księgowe oraz windykacyjne. |
a) odbiorcy wymienieni z nazwy: „W razie konieczności możemy udostępniać Państwa dane osobowe następującym ich odbiorcom:
− którym powierzyliśmy te dane na podstawie odrębnej umowy powierzenia, zgodnej z RODO.
b) wskazanie kategorii odbiorców W razie konieczności możemy udostępniać Państwa dane osobowe następującym kategoriom odbiorców:
− którym powierzamy te dane na podstawie odrębnej umowy powierzenia, zgodnej z RODO. |
Wielu administratorom problem sprawia wskazanie okresu przechowywania danych. Przez to dość często okresy te są wskazywany zbyt ogólnie. Obowiązkiem administratora jest zaś wskazanie konkretnego okresu, a w razie braku takiej możliwości – kryteriów jego ustalania.
Źle |
Dobrze |
|
Okres przechowywania danych Ponieważ dane osobowe możemy przetwarzać w więcej niż jednym celu, toteż w przypadku zakończenia przetwarzania konkretnych danych (takich jak np. NIP) w jednym celu, takie dane możemy w niektórych przypadkach nadal przetwarzać, ale w innym celu lub celach, które wskazujemy poniżej. Niezależnie od powyższego Pani/Pana dane osobowe nie będą przechowywane dłużej, niż pozwalają na to przepisy prawa.
Okres przechowywania danych osobowych wygląda następująco:
◦ polegającego na przechowywaniu dokumentacji pracowniczej: przechowujemy je przez 10 lat, licząc od końca roku kalendarzowego, w którym stosunek pracy uległ rozwiązaniu lub wygasł, zgodnie z art. 94 pkt 9b ustawy z 26 czerwca 1974 r. – Kodeks pracy (Dz.U. z 2019 r. poz. 1040 ze zm.); ◦ polegającego na (…). |
Zobacz także:
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE.L nr 119, str. 1) – art. 6, art. 13, art. 14.
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
© Portal Poradyodo.pl