Klauzula informacyjna RODO na stronie internetowej
RODO czyli Rozporządzenie Ogólne o Ochronie Danych Osobowych nakłada na przedsiębiorcę obowiązek informacyjny o przetwarzaniu danych osobowych. Rozporządzenie skierowane jest do wszystkich podmiotów, które gromadzą lub wykorzystują dane osobowe osób fizycznych. Są to np. urzędy, szkoły, organizacje pozarządowe i firmy zajmujące się monitorowaniem osób lub przetwarzaniem danych osobowych. Na każdym z tych podmiotów ciąży obowiązek przekazania kompleksowej informacji o przetwarzaniu danych osobowych osobie, której dane dotyczą.
Dobrym miejscem na umieszczenie klauzuli informacyjnej RODO jest firmowa strona internetowa. Można ją zawrzeć np. w regulaminie świadczenia usług, obok formularza kontaktowego na stronie www lub w głosowym komunikacie zapowiedzi telefonicznej. Informacje należy umieścić na stronie w takim miejscu, żeby była łatwo dostępna. Warto stworzyć osobną podstronę zawierającą pełną klauzulę i w stosownych miejscach na witrynie internetowej umieścić odsyłacz do tej podstrony, np. w stopce (u dołu) strony, obok formularza kontaktowego, obok formularza rejestracyjnego, itp. Można też na firmowej stronie www udostępnić dokument PDF zawierający klauzulę do pobrania.
Jakie informacje powinny znaleźć się w klauzuli informacyjnej?
Powinna zawierać takie informacje jak:
- tożsamość administratora danych osobowych
- dane kontaktowe administratora
- dane kontaktowe inspektora ochrony danych
- cele przetwarzania i podstawa prawna
- odbiorcy danych
- okres przechowywania danych
- źródło pochodzenia danych
- informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu
- prawa podmiotów danych
- informacja o prawie wniesienia skargi do organu nadzorczego
Klauzula nie jest ściśle z góry określonym dokumentem. Może być sformułowana własnymi słowami. Ważne, aby formułka zawierała wymagane informacje i żeby była zrozumiała dla czytelnika. Klauzula informacyjna może mieć formę tabelki lub tekstową. Tekst z pewnością będzie lepiej prezentować się na stronie www, natomiast tabela to bardzo przejrzysta i czytelna forma, która sprawdzi się jako dokument PDF do pobrania ze strony lub jako wydruk.
Wzór klauzuli informacyjnej do ściągnięcia
Przygotowałem bezpłatny wzór takiej informacji. Jej treść należy dostosować do swoich potrzeb oraz uzupełnić dane. Plik jest w formacie dokumentu tekstowego .odt, który można edytować w standardowym edytorze tekstu - przykładowo programie pakietu biurowego LibreOffice lub OpenOffice (bezpłatne programy) lub Microsoft Office Word.
POBIERZ: WZÓR KLAUZULI INFORMACYJNEJ RODO
Co jeszcze trzeba wiedzieć o RODO?
Kto to jest właściciel danych osobowych?
W kontekście RODO jest to przykładowo klient firmy, współpracownik, potencjalny klient. Każda z tych osób jest właścicielem swoich danych osobowych.
Jakie dane osobowe podlegają ochronie?
Wszelkie dane pozwalające zidentyfikować osobę np.: imię, nazwisko, adres domowy, adres poczty elektronicznej, PESEL, tablice rejestracyjne, login internetowy, pseudonim, odcisk palca, fotografie twarzy, głos na nagraniu, kolor i kształt tęczówki, itp.
Jakie prawa ma właściciel danych osobowych?
Ma on prawo do wglądu do swoich danych, żądania ich sprostowania i uzupełniania, prawo do sprzeciwu wobec przetwarzania, prawo do ograniczenia przetwarzania, prawo do przenoszenia danych. Mówiąc ludzkim językiem, klient może skontaktować się z Twoją firmą i ma prawo na przykład zażądać usunięcia wszelkich jego danych osobowych, które firma posiada.
Kim jest administrator danych osobowych?
To przedsiębiorstwo, które przechowuje dane osobowe, czyli np. Twoja firma.
Kim jest inspektor danych osobowych?
Jest to osoba (np. pracownik firmy), z którą może skontaktować się właściciel danych osobowych (np. klient firmy) w sprawach dotyczących przetwarzania jego danych osobowych oraz korzystania z praw związanych z przetwarzaniem danych. Nie ma obowiązku zatrudniania inspektora. Inspektorem może być jeden z pracowników firmy, najlepiej odpowiednio przygotowany do tej funkcji np. poprzez szkolenie. W klauzuli informacyjnej należy umieścić dane kontaktowe do inspektora (np. adres e-mail, nr telefonu), aby można było się z nim skontaktować.
Kto ma obowiązek wyznaczenia inspektora danych osobowych?
Obowiązek taki mają podmioty publiczne, podmioty przetwarzające na dużą skalę dane wrażliwe oraz podmioty, których główna działalność polega na monitorowaniu osób na dużą skalę. Warto więc tutaj podkreślić, że tylko niektóre firmy mają obowiązek powoływania IDO (inspektora danych osobowych).
Jakie obowiązki w firmie ma inspektor danych osobowych?
Mówi o tym art. 39 RODO. Obowiązkami inspektora są:
- informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach jakie na nich spoczywają
- monitorowanie przestrzegania rozporządzenia w firmie
- szkolenie personelu uczestniczącego w operacjach przetwarzania danych osobowych
- współpraca z organem nadzorczym (Prezesem Urzędu Ochrony Danych Osobowych)
- pełnienie funkcji punktu kontaktowego dla organu nadzorczego
Jakie może być źródło pochodzenia danych?
Czyli skąd firma pozyskała dane osobowe. Na przykład: osoby, których dane dotyczą; źródła publicznie dostępne.
Kim są odbiorcy danych?
Są to podmioty (np. współpracujące firmy), które mają dostęp do zgromadzonych przez firmę danych osobowych. Np.: dostawcy usług informatycznych (przykładowo firma informatyczna mająca dostęp do poczty elektronicznej firmy lub bazy danych klientów), firmy kurierskie (mają dostęp do danych adresowych klientów).
RODO a firmowa strona WWW
Czy strona internetowa firmy musi zawierać informacje o RODO? Informacje o przetwarzaniu danych osobowych powinny być łatwo dostępne dla zainteresowanych, dlatego sugeruję taką formułkę umieścić. Ustawa o ochronie danych osobowych (art. 11.) dodatkowo mówi, że podmiot, który wyznaczył inspektora danych osobowych, powinien udostępnić imię, nazwisko, adres poczty elektronicznej lub numer telefonu inspektora niezwłocznie po jego wyznaczeniu na swojej stronie internetowe, a jeśli jej nie prowadzi, to w sposób ogólnie dostępny w miejscu prowadzenia działalności.
Czy obowiązek RODO obejmuje osoby fizyczne?
RODO nie obejmuje osób fizycznych. Obejmuje przedsiębiorstwa, również prowadzenie działalności gospodarczej.
Jakich danych nie można przetwarzać?
Zabronione jest przetwarzanie danych osobowych ujawniających pochodzenie rasowe lub etniczne, przekonania religijne lub światopoglądowe, poglądy polityczne, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby (źródło: art. 9 ust. 1 RODO).
Jakie dane NIE podlegają ochronie?
Nazwy osób prawnych (np. nazwa firmy), dane kontaktowe osób prawnych, dane o osobach zmarłych, dane o płodach.
Przeczytaj następny wpis Co to jest RODO i kogo dotyczy? Poruszam tutaj zagadnienia dotyczące RODO, szczególnie w kontekście małej firmy.