RODO – Twój nowy obowiązek informacyjny

Zawartość

Cześć! To ja, Dokrates!

Przyszła pora na kolejną dawkę wiedzy o RODO. Jeśli trafiłeś tu po raz pierwszy, zajrzyj do poprzednich wpisów – pisałem tam m.in. o podstawach przetwarzania danych osobowych czy warunkach udzielenia zgody na przetwarzanie danych osobowych. Dziś opowiem Ci o bardzo ważnej kwestii – o obowiązku informacyjnym administratora.

Zasada jest prosta – zawsze wtedy, gdy zbierasz dane jako ADO (jeśli jeszcze nie wiesz, co oznacza ten skrót, to zapraszam Cię do przeczytania mojego wpisu), musisz poinformować osobę, której dane dotyczą, o szeregu kwestii związanych z przetwarzaniem tych danych. Z lektury RODO wynika, że dotychczasowe polityki prywatności czy klauzule umowne dotyczące przetwarzania danych osobowych, staną się znacznie bardziej obszerne. No dobrze, więc o czym konkretnie będziesz musiał informować? Lepiej usiądź wygodnie, bo lista jest długa…

Indywidualna obsługa RODO

INFORMACJE, JAKIE BĘDZIESZ MUSIAŁ PODAĆ JAKO ADMINISTRATOR DANYCH OSOBOWYCH:

  • Twoją tożsamość i dane kontaktowe (gdy ma to zastosowanie – także tożsamość i dane kontaktowe Twojego przedstawiciela);
  • dane kontaktowe inspektora ochrony danych (gdy ma to zastosowanie);
  • cele przetwarzania danych osobowych;
  • podstawę prawną przetwarzania;
  • jeżeli przetwarzanie odbywa się na podstawie Twoich prawnie uzasadnionych interesów – musisz je wymienić;
  • informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
  • informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej (gdy ma to zastosowanie);
  • w związku z powyższym – o stopniu ochrony (lub braku ochrony) danych osobowych stwierdzonym przez Komisję Europejską oraz możliwościach uzyskania kopii danych lub o miejscu ich udostępnienia;
  • okresie, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, o kryteriach ustalania tego okresu;
  • prawie do żądania od Ciebie:
    • dostępu do danych osobowych dotyczących osoby, której dane dotyczą,
    • ich sprostowania,
    • usunięcia lub ograniczenia przetwarzania;
  • prawie do wniesienia sprzeciwu wobec przetwarzania,
  • prawie do przenoszenia danych;
  • prawie wniesienia skargi do organu nadzorczego;
  • jeżeli przetwarzanie odbywa się na podstawie udzielonej zgody – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
  • informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy;
  • informację o tym, czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
  • informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, oraz istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Jeśli dotarłeś do tego miejsca, to musisz jeszcze pamiętać, że planując dalsze przetwarzanie danych osobowych w celu innym niż cel, w którym dane osobowe zostały zebrane, to przed takim dalszym przetwarzaniem musisz poinformować osobę, której dane dotyczą, o tym innym celu oraz udzielić jej wszelkich innych stosownych informacji.

Dokumenty RODO

Jak sam widzisz, wyliczenie Twoich obowiązków jest bardzo obszerne. Być może łatwiej przyswajalna będzie dla Ciebie checklista przygotowana przez moich Kolegów z Legal Geek, dostępna tutaj.

Warto jednak wspomnieć, że w zakresie, w jakim osoba, której dane dotyczą, dysponuje już wymaganymi informacjami, nie musisz ponownie ich podawać.

Jeśli spełnienie obowiązku informacyjnego wydaje Ci się żmudne, muszę Cię zmartwić – jest jeszcze jeden haczyk! Wszystkie powyższe wiadomości musisz przekazać jasnym i prostym językiem. Przy formułowaniu odpowiednich klauzul musisz więc pamiętać o przeciętnym odbiorcy – raczej nie będzie on zorientowany w prawnych i technicznych zawiłościach przetwarzania danych. Nie możesz dodatkowo przestraszyć go trudnymi do zrozumienia, często specjalistycznymi sformułowaniami.

Przed Tobą jest więc trudne zadanie. Ale nie martw się, masz jeszcze dość czasu na opracowanie odpowiednich klauzul informacyjnych. Oczywiście pod warunkiem, że nie przełożysz tej pracy na ostatnią chwilę. Zatem – do dzieła!

Twój Dokrates

DORA, AI Act, NIS2, i PSR: Jak nowe regulacje zmienią branże FinTech i IT?

Chcesz wiedzieć, co te zmiany oznaczają dla Ciebie i Twojej firmy? Dołącz do naszego bezpłatnego webinaru.

Tomasz Klecor

Partner zarządzający
w kancelarii Legal Geek