Jak zrealizować obowiązek informacyjny wynikający z RODO?

Obowiązek informacyjny, czyli konieczność poinformowania osób, których dane dotyczą przez organizacje, które przetwarzają ich dane osobowe obowiązuje 2 miesiące. Jednak wciąż pozostaje wiele wątpliwości co do tego jak informować, o czym informować i kogo konkretnie informować? Poniżej kilka praktycznych wskazówek jak realizować obowiązek informacyjny.

Kogo należy poinformować.

Informacja wynikająca z art. 13 i 14 RODO musi być przekazana osobom, których dane osobowe posiadamy. Warto pamiętać że chodzi tylko o te osoby, których dane przetwarzamy jako administrator danych. Wymóg ten nie dotyczy osób, których dane zostały nam powierzone do przetwarzania. W pierwszym przypadku informacja musi być dostarczona przy pobieraniu danych od osoby. W drugim w przypadku gdy mamy czyjeś dane ale nie pochodzą one bezpośrednio od nich tylko mamy je z innego źródła. Standardowy przykład dotyczy klienta jako osoby fizycznej, który chce od nas kupić produkt. W celu jego dostarczenia podaje dane osobowe. W momencie pobrania przez nas danych musimy spełnić obowiązek informacyjny z art. 13 RODO. Problem pojawia się w momencie gdy naszym klientem nie jest osoba fizyczna tylko firma. W jej imieniu kontaktuje się jej pracownik, który podaje dane innego pracownika do odbioru produktu. W tym przypadku mamy do czynienia z pobraniem danych z innego źródła niż osoba której dane dotyczą. W związku z tym musimy spełnić obowiązek informacyjny z art. 14 RODO. Pozornie mogłoby się wydawać że skoro klientem jest firma to RODO nie ma zastosowania, jednak będziemy przetwarzali dane osobowe jej pracowników. Warto również zaznaczyć że w tym przypadku spełniamy obowiązek informacyjny niezwłocznie po utrwaleniu danych a najpóźniej przy pierwszym kontakcie z osobą której dane dotyczą.

Kiedy informować?

Co robić z danymi tych wszystkich osób, których dane są już w naszych zasobach i po 25 maja nie spełniliśmy wobec nich obowiązku informacyjnego. Jak się okazuje wobec osób, których dane zostały zarchiwizowane, czyli np. kupiły coś od nas raz i są one przechowywane ze względu na obowiązujące przepisy podatkowe nie musimy spełnić obowiązku informacyjnego indywidualnie wobec każdej z tych a wystarczy publiczne poinformowanie o tym fakcie. Część organizacji nie skorzystała z tej możliwości i informowała indywidualnie każdego byłego klienta. Dlatego po 25 maja byliśmy zasypywani mailami zawierającymi obowiązek informacyjny od podmiotów o których już dawno zapomnieliśmy. Jeszcze ciekawsze jest to że jeżeli podmioty te w międzyczasie zmieniły nazwę i są następcami prawnymi podmiotów które pobrały od nas dane one spełniły obowiązek informacyjny. Nagle dowiedzieliśmy się że jakiś podmiot o którym nigdy nie słyszeliśmy jest administratorem naszych danych.

Strona internetowa, mail czy poczta tradycyjna.

Najlepszą metodą spełnienia obowiązku informacyjnego jest opublikowanie jego treści w polityce prywatności na stronie internetowej. Warto umieścić politykę prywatności w stopce każdej strony i podstrony, która umożliwia podanie danych osobowych jak i na stronie głównej. Jednak nie zawsze klient składa zamówienia za jej pośrednictwem wtedy powinniśmy uwzględnić, a np. tylko mailowo. W tym przypadku powinniśmy umieścić odniesienie do polityki prywatności np. w stopce mailowej wysyłając potwierdzenie złożonego zamówienia. Kolejnym kanałem komunikacji, którym kilent może złożyć zamówienie jest telefon. Tu powinniśmy również stworzyć odniesienie do polityki prywatności np. w formie nagrania odtwarzanego przed uzyskaniem połączenia. Ostatecznie klient może do nas przyjść osobiście i podać dane. W takim przypadku możemy umieścić informacje w gablocie w naszym sklepie lub gdy korzystamy z formularzy zamówień w treści formularza odnośnik do polityki prywatności np. “Prosimy o zapoznanie się z polityką prywatności na stronie …”

Przykład realizacji obowiązku informacyjnego przez bank PKO BP

Jak sformułować komunikat informujący.

Obowiązek informacyjny powinien być zrozumiały dla odbiorców. W praktyce musimy ocenić poziom percepcji naszego przeciętnego klienta i tak ukształtować informację bo była dla niego zrozumiała. Warto zaznaczyć że cytowanie RODO na niewiele się zda gdyż większość osób go nie przeczyta, a jak nawet przeczyta to i tak nie zrozumie. W zakresie treści obowiązku informacyjnego najważniejsze wątpliwości budzi to czy np. informujemy o wszystkich prawach osób wynikających z RODO czy tylko o tych które mają zastosowanie. Przykładowo jeżeli dane nie są przetwarzane w systemie informatycznym to czy powinniśmy informować osobę o prawie do przeniesienia danych, jeżeli nie będzie ono miało zastosowania. Osobiście uważam, że tak gdyż w przyszłości możemy przenieść dane do systemów informatycznych i wtedy musielibyśmy spełnić obowiązek informacyjny ponownie w brakującym zakresie.
Kolejnym obszarem kontrowersyjnym jest okres przechowywania danych. Czy musimy podawać konkretne lata po których dane zostaną usunięte? Zgodnie z RODO wystarczy, że podamy warunek po spełnieniu, którego dane zostaną usunięte. Innymi słowy powinniśmy unikać kategorycznych terminów usunięcia danych, gdyż może to wprowadzać w błąd. Szczególnie gdy nie określimy dnia, od którego liczony jest okres po którym dane zostaną usunięte.

żródło: https://infowire.pl/generic/release/376799/rodo-jak-wywiazac-sie-z-obowiazku-informacyjnego/

Podsumowanie.

Realizacja obowiązku informacyjnego jest jedynym z najważniejszych obowiązków każdej organizacji przetwarzającej dane osobowe w celach zawodowych, zarobkowych lub statutowych. Należy pamiętać że również w tym obszarze obowiązuje zasada rozliczalności, co oznacza że musimy być w stanie udowodnić że obowiązek informacyjny został zrealizowany wobec osób, których dane dotyczą. Jeżeli macie ciekawe doświadczenia w realizacji obowiązku informacyjnego lub przykłady dodajcie komentarz.