Klauzula informacyjna - czy konieczna?

Każdy administrator danych osobowych musi spełnić tzw. obowiązek informacyjny w momencie pozyskiwania danych osobowych. Czym jest ten obowiązek i w jaki sposób należy go wykonać?

Obowiązek informacyjny to nic innego jak informacje o przetwarzaniu danych osobowych. RODO określa nam dokładne dane, jakie powinniśmy przekazać. Są to informacje o:

  1. tym, kto przetwarza dane osobowe,
  2. inspektorze ochrony danych (o ile został powołany),
  3. celu przetwarzania i podstawie (m. in. zgoda, umowa, obowiązek prawny),
  4. odbiorcach danych osobowych (podmioty, którym ujawnia się dane osobowe),
  5. okresie przechowywania danych,
  6. prawach wynikających z RODO, tj. dostępu do swoich danych, cofnięcia zgody, wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych, sprostowania danych, usunięcia lub ograniczenia przetwarzania, wniesienia sprzeciwu wobec przetwarzanych danych.

Gdzie je zamieścić?

Klauzula z powyższymi informacjami może zostać zamieszczona w widocznym miejscu w siedzibie, na sekretariacie, przy biurku pracowników obsługujących interesantów, na stronie internetowej w zakładce „Kontakt”, „Ochrona danych osobowych”, „RODO”. Dobrą praktyką jest również dodanie skróconej klauzuli do stopki mailowej – dzięki takiemu zabiegowi administrator ma pewność, że w każdej korespondencji mailowej osoby mogą zapoznać się z podstawowymi informacjami.

Wiele podmiotów zawiera również klauzulę w standardowych wzorach pism interesantów. W związku z tym, że takie działania były już podejmowane, gdy w Polsce obowiązywała ustawa o ochronie danych osobowych z 1997 roku, zalecamy zaktualizowanie i zweryfikowanie klauzul, które mogą być oparte na nieaktualnej podstawie prawnej.

Klauzule sprzed 25 maja 2018 roku

A co ze starymi klauzulami informacyjnymi, czyli tymi, które były podawane do wiadomości przed 25 maja 2018 r.? Czy ponownie należy powiadomić osoby o informacjach wynikających z RODO? Jeżeli, pomimo obowiązywania RODO, dane, które przekazywane były w klauzulach, nie zmieniły się, to nie trzeba ponownie wysyłać informacji, zmieniając tylko podstawę prawną na RODO. Gdyby jednak zaistniały jakieś zmiany (np. powołanie inspektora ochrony danych, zmiana odbiorców danych), to również nie trzeba przedstawiać całej klauzuli, a jedynie dodane/zmienione kwestie.

Książka wejść i wyjść

Większość jednostek nie zdaje sobie sprawy, że prowadząc ewidencję wejść i wyjść interesantów, już przetwarza ich dane osobowe i tym samym ciąży na nich obowiązek przekazania informacji o ich danych osobowych. Takie informacje dla osoby wchodzącej na teren budynku powinny być czytelne – tj. zamieszczone w miejscu podawania danych do ewidencji np. na sekretariacie, recepcji.

Rekrutacja

A jak spełnić ten obowiązek przy rekrutacjach? Klauzule informacyjne powinny znajdować się również razem z ogłoszeniem o naborze na wolne stanowisko, zamieszczonym na stronie internetowej lub serwisie rekrutacyjnym. Na ten aspekt warto zwrócić uwagę nie tylko ze względu na potencjalne skargi kandydatów, ale również fakt, iż przetwarzanie danych w związku z rekrutacją jest jednym z procesów, które mają być kontrolowane przez Urząd Ochrony Danych Osobowych w 2019 roku.

Dagmara Jabłońska

Kancelaria Wyrzykowscy sp. z o.o.