Co to jest klauzula informacyjna?

Klauzula informacyjna RODO: Jak ją napisać?

05/01/2022

Rating: 4.82 (3550 votes)

W dzisiejszych czasach, ochrona danych osobowych stała się zagadnieniem kluczowym dla każdej organizacji, niezależnie od jej wielkości czy branży. Wraz z wejściem w życie Ogólnego Rozporządzenia o Ochronie Danych (RODO), przedsiębiorstwa stanęły przed wyzwaniem dostosowania swoich praktyk do nowych regulacji. Jednym z fundamentów RODO jest obowiązek informacyjny, którego realizacją jest właśnie klauzula informacyjna. Ten dokument, choć często niedoceniany, stanowi podstawę transparentności i budowania zaufania między organizacją a osobami, których dane są przetwarzane.

Co musi być w klauzuli informacyjnej?
13 RODO), klauzula musi zawierać : tożsamość administratora danych i dane kontaktowe (czyli nazwę, adres, mail, telefon); dane kontaktowe Inspektora Ochrony Danych (jeśli jest powołany – imię i nazwisko oraz adres poczty elektronicznej lub nr telefonu https://uodo.gov.pl/pl/223/1783 );
Spis treści

Czym jest klauzula informacyjna?

Klauzula informacyjna to zwięzły, przejrzysty i łatwo dostępny dokument, którego celem jest poinformowanie osób, których dane dotyczą, o zasadach przetwarzania ich danych osobowych. Jest to realizacja obowiązku informacyjnego spoczywającego na administratorze danych, czyli podmiocie, który decyduje o celach i sposobach przetwarzania danych osobowych. Można ją porównać do drogowskazu – ma jasno wskazywać kierunek i zasady, w tym przypadku zasady postępowania z danymi osobowymi.

Dlaczego klauzula informacyjna jest tak ważna?

Znaczenie klauzuli informacyjnej wynika bezpośrednio z RODO. Rozporządzenie to kładzie nacisk na transparentność przetwarzania danych osobowych. Ludzie mają prawo wiedzieć, co dzieje się z ich danymi, kto je przetwarza, w jakim celu i jak długo. Spełnienie obowiązku informacyjnego poprzez klauzulę informacyjną jest nie tylko wymogiem prawnym, ale również wyrazem szacunku dla osób, których dane dotyczą. Ponadto, dobrze napisana i łatwo dostępna klauzula informacyjna buduje zaufanie i pozytywny wizerunek organizacji.

Konsekwencje braku klauzuli informacyjnej lub jej nieprawidłowości

Niewywiązanie się z obowiązku informacyjnego lub sporządzenie klauzuli informacyjnej w sposób nieprawidłowy może skutkować poważnymi konsekwencjami. Urząd Ochrony Danych Osobowych (UODO) ma prawo nałożyć na administratora danych kary finansowe, które w skrajnych przypadkach mogą sięgać milionów euro. Ponadto, brak transparentności w przetwarzaniu danych może prowadzić do utraty zaufania klientów, kontrahentów czy pracowników, co w dłuższej perspektywie może negatywnie wpłynąć na działalność organizacji.

Kto musi sporządzić klauzulę informacyjną?

Obowiązek sporządzenia klauzuli informacyjnej spoczywa na każdym administratorze danych osobowych. Administratorem danych jest każdy podmiot (osoba fizyczna, prawna, jednostka organizacyjna), który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Oznacza to, że praktycznie każda firma, organizacja, instytucja publiczna, a nawet osoba prowadząca jednoosobową działalność gospodarczą, która przetwarza dane osobowe (np. klientów, pracowników, użytkowników strony internetowej), jest zobowiązana do sporządzenia i udostępnienia klauzuli informacyjnej.

Co powinna zawierać klauzula informacyjna?

Artykuł 13 i 14 RODO szczegółowo określa, jakie informacje powinny znaleźć się w klauzuli informacyjnej. Zakres informacji różni się nieco w zależności od tego, czy dane osobowe są pozyskiwane bezpośrednio od osoby, której dotyczą (art. 13 RODO), czy z innego źródła (art. 14 RODO).

Co napisać w CV przykłady?
W sekcji dotyczącej stricte doświadczenia zawodowego możesz wpisać do CV wszystkie staże, wolontariaty i praktyki, które zdobyłeś. Jeśli brakuje Ci doświadczenia, powinieneś w CV również wpisać wszystkie kursy, certyfikaty i szkolenia, które odbyłeś.

Klauzula informacyjna – dane pozyskiwane bezpośrednio (art. 13 RODO)

Jeśli dane osobowe pozyskujemy bezpośrednio od osoby, której dotyczą, klauzula informacyjna powinna zawierać następujące elementy:

  1. Tożsamość i dane kontaktowe administratora danych: Należy podać pełną nazwę administratora, adres siedziby, adres e-mail, numer telefonu (opcjonalnie).
  2. Dane kontaktowe Inspektora Ochrony Danych (IOD): Jeśli administrator wyznaczył IOD, należy podać jego imię i nazwisko oraz dane kontaktowe (np. adres e-mail, numer telefonu). Informacja o IOD nie jest obowiązkowa, jeśli nie został wyznaczony, nie trzeba tego pisać w klauzuli.
  3. Cele przetwarzania danych osobowych oraz podstawa prawna przetwarzania: Należy jasno określić, w jakim celu dane osobowe będą przetwarzane (np. realizacja umowy, marketing, rekrutacja). Trzeba również wskazać podstawę prawną przetwarzania danych (np. zgoda, umowa, obowiązek prawny, prawnie uzasadniony interes administratora).
  4. Prawnie uzasadnione interesy administratora (jeśli dotyczy): Jeżeli podstawą prawną przetwarzania jest prawnie uzasadniony interes administratora, należy go konkretnie opisać (np. marketing bezpośredni, zapobieganie oszustwom).
  5. Odbiorcy danych osobowych lub kategorie odbiorców: Należy wskazać, komu dane osobowe mogą być przekazywane (np. firmy kurierskie, dostawcy usług IT, biuro rachunkowe).
  6. Zamiar przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej: Jeśli dane osobowe mają być przekazywane poza Europejski Obszar Gospodarczy, należy o tym poinformować i wskazać odpowiednie zabezpieczenia.
  7. Okres przechowywania danych osobowych: Należy określić, jak długo dane osobowe będą przechowywane. Można podać konkretny okres (np. 5 lat) lub kryteria ustalania tego okresu (np. do czasu wycofania zgody, przez czas trwania umowy plus okres przedawnienia roszczeń).
  8. Prawa osób, których dane dotyczą: Należy poinformować o prawach przysługujących osobom, których dane dotyczą, w tym m.in.:
    • Prawo dostępu do danych
    • Prawo do sprostowania danych
    • Prawo do usunięcia danych („prawo do bycia zapomnianym”)
    • Prawo do ograniczenia przetwarzania danych
    • Prawo do przenoszenia danych
    • Prawo do sprzeciwu wobec przetwarzania danych
    • Prawo do wniesienia skargi do organu nadzorczego (Prezesa UODO)
  9. Informacja o prawie do cofnięcia zgody (jeśli podstawą przetwarzania jest zgoda): Należy poinformować o prawie do wycofania zgody w dowolnym momencie, bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem.
  10. Informacja, czy podanie danych osobowych jest wymogiem ustawowym lub umownym, czy jest obowiązkiem, oraz jakie są ewentualne konsekwencje niepodania danych: Należy wyjaśnić, czy podanie danych jest obowiązkowe, dobrowolne, i co się stanie, jeśli danych się nie poda (np. brak możliwości realizacji usługi).
  11. Informacja o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu (jeśli dotyczy): Jeśli dane osobowe są wykorzystywane do zautomatyzowanego podejmowania decyzji, w tym profilowania, należy o tym poinformować i podać istotne informacje o zasadach podejmowania decyzji, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Klauzula informacyjna – dane pozyskiwane z innych źródeł (art. 14 RODO)

Jeśli dane osobowe pozyskujemy z innego źródła niż od osoby, której dotyczą (np. z bazy danych zakupionej od innego podmiotu, z publicznie dostępnych rejestrów), klauzula informacyjna powinna zawierać wszystkie elementy wymienione dla art. 13 RODO, a dodatkowo:

  1. Źródło pochodzenia danych osobowych: Należy podać, skąd pozyskano dane osobowe (np. nazwa podmiotu, publicznie dostępny rejestr).
  2. Kategorie danych osobowych: Należy wskazać kategorie przetwarzanych danych (np. dane identyfikacyjne, dane kontaktowe, dane dotyczące lokalizacji).

Jak napisać dobrą klauzulę informacyjną?

Dobrze napisana klauzula informacyjna powinna być przede wszystkim zrozumiała i przejrzysta dla odbiorcy. Należy unikać języka prawniczego, skomplikowanych sformułowań i żargonu. Tekst powinien być zwięzły, jasny i konkretny. Warto zastosować podział na sekcje, wypunktowania, pogrubienia, aby ułatwić czytanie i zrozumienie kluczowych informacji.

Praktyczne wskazówki dotyczące tworzenia klauzuli informacyjnej:

  • Prosty język: Używaj prostego, zrozumiałego języka, unikaj terminologii prawniczej.
  • Zwięzłość: Staraj się, aby klauzula informacyjna była jak najkrótsza, ale jednocześnie wyczerpująca. Skoncentruj się na najważniejszych informacjach.
  • Przejrzystość: Zadbaj o czytelny układ tekstu, użyj nagłówków, wypunktowań, tabel.
  • Dostępność: Upewnij się, że klauzula informacyjna jest łatwo dostępna dla osób, których dane dotyczą (np. na stronie internetowej, w siedzibie firmy, przy formularzach).
  • Dostosowanie do odbiorcy: Dostosuj język i poziom szczegółowości klauzuli informacyjnej do grupy odbiorców, do których jest skierowana.
  • Aktualność: Regularnie aktualizuj klauzulę informacyjną, aby odzwierciedlała aktualne praktyki przetwarzania danych.

Czego unikać w klauzuli informacyjnej?

  • Zbyt ogólnikowych sformułowań: Unikaj ogólników i niejasnych stwierdzeń. Informacje powinny być konkretne i precyzyjne.
  • Nadmiaru informacji: Nie umieszczaj w klauzuli informacyjnej informacji zbędnych, które mogą zaciemnić obraz i utrudnić zrozumienie kluczowych kwestii.
  • Żargonu prawniczego i technicznego: Unikaj skomplikowanego języka, który może być niezrozumiały dla przeciętnego odbiorcy.
  • Brak aktualizacji: Nie zapominaj o regularnej aktualizacji klauzuli informacyjnej. Przestarzała klauzula informacyjna może wprowadzać w błąd i nie spełniać wymogów RODO.
  • Wymagania podpisu pod klauzulą: RODO nie wymaga uzyskiwania podpisu pod klauzulą informacyjną. Wystarczy, że osoba ma możliwość zapoznania się z jej treścią.

Jak udostępnić klauzulę informacyjną?

Sposób udostępnienia klauzuli informacyjnej zależy od kontekstu i kanału komunikacji z osobami, których dane dotyczą. Najważniejsze jest, aby klauzula informacyjna była łatwo dostępna i aby osoba miała możliwość zapoznania się z nią przed lub w momencie pozyskiwania danych osobowych.

Przykładowe sposoby udostępnienia klauzuli informacyjnej:

  • Strona internetowa: Umieszczenie klauzuli informacyjnej w widocznym miejscu na stronie internetowej (np. w stopce, w zakładce „Polityka Prywatności”).
  • Formularze online i papierowe: Dodanie klauzuli informacyjnej bezpośrednio pod formularzem zbierającym dane osobowe.
  • E-mail: Przesłanie klauzuli informacyjnej w e-mailu (np. w wiadomości powitalnej, w odpowiedzi na zapytanie).
  • Komunikacja ustna: W przypadku kontaktu telefonicznego lub osobistego, ustne przekazanie kluczowych informacji z klauzuli informacyjnej i wskazanie miejsca, gdzie można zapoznać się z pełną treścią (np. strona internetowa, dokument w siedzibie firmy).
  • Siedziba firmy/punkt obsługi klienta: Wywieszenie klauzuli informacyjnej w widocznym miejscu w siedzibie firmy lub punkcie obsługi klienta.

Jak udowodnić, że obowiązek informacyjny został spełniony?

Zgodnie z zasadą rozliczalności RODO, administrator danych musi być w stanie udowodnić, że obowiązek informacyjny został spełniony. W praktyce oznacza to, że należy zachować dowody na to, że klauzula informacyjna została udostępniona osobom, których dane dotyczą i że miały one możliwość zapoznania się z jej treścią.

Przykładowe sposoby dokumentowania spełnienia obowiązku informacyjnego:

  • Zrzuty ekranu strony internetowej: Wykonanie zrzutów ekranu strony internetowej z widoczną klauzulą informacyjną.
  • Logi serwera: Analiza logów serwera, potwierdzająca dostęp użytkowników do strony z klauzulą informacyjną.
  • Archiwizacja e-maili: Zachowanie kopii e-maili zawierających klauzulę informacyjną.
  • Potwierdzenia odbioru formularzy papierowych: Uzyskanie potwierdzenia odbioru formularzy papierowych z dołączoną klauzulą informacyjną.
  • Procedury wewnętrzne: Wdrożenie wewnętrznych procedur dokumentujących sposób udostępniania klauzuli informacyjnej i monitorowanie ich przestrzegania.

Najczęściej zadawane pytania (FAQ)

Czy muszę aktualizować klauzulę informacyjną?
Tak, klauzula informacyjna powinna być regularnie aktualizowana, aby odzwierciedlała aktualne praktyki przetwarzania danych. Zmiany w celach przetwarzania, kategoriach odbiorców, okresie przechowywania danych, czy prawach osób, których dane dotyczą, powinny być odzwierciedlone w aktualnej klauzuli informacyjnej.
Czy muszę mieć oddzielną klauzulę informacyjną dla każdej czynności przetwarzania danych?
Niekoniecznie. Można stworzyć jedną klauzulę informacyjną, która obejmuje różne czynności przetwarzania danych, pod warunkiem, że jest ona przejrzysta i zrozumiała dla odbiorców. Jednak w niektórych przypadkach, gdy przetwarzanie danych jest bardzo zróżnicowane lub dotyczy różnych grup osób, może być zasadne stworzenie kilku klauzul informacyjnych, dostosowanych do konkretnych sytuacji.
Czy mogę powołać się na obie podstawy prawne z art. 13 i art. 14 RODO w jednej klauzuli?
Nie, artykuł 13 i 14 RODO odnoszą się do różnych sytuacji – pozyskiwania danych bezpośrednio od osoby, której dotyczą (art. 13) i pozyskiwania danych z innych źródeł (art. 14). Klauzula informacyjna powinna być dostosowana do konkretnej sytuacji i opierać się na właściwym artykule RODO.
Czy muszę podawać numer telefonu Inspektora Ochrony Danych w klauzuli?
Nie, podanie numeru telefonu Inspektora Ochrony Danych nie jest obowiązkowe. Wystarczy podać adres e-mail, adres pocztowy lub inny sposób kontaktu, który umożliwi osobom, których dane dotyczą, skontaktowanie się z IOD.
Czy muszę podpisywać klauzulę informacyjną?
Nie, RODO nie wymaga podpisywania klauzuli informacyjnej przez administratora danych ani osobę, której dane dotyczą. Ważne jest, aby klauzula informacyjna była dostępna i aby administrator mógł udowodnić, że obowiązek informacyjny został spełniony.

Podsumowanie

Klauzula informacyjna to kluczowy element systemu ochrony danych osobowych w każdej organizacji. Jest to nie tylko wymóg prawny, ale również wyraz transparentności i odpowiedzialności administratora danych. Dobrze napisana i łatwo dostępna klauzula informacyjna buduje zaufanie, wzmacnia relacje z klientami, pracownikami i kontrahentami, oraz pomaga uniknąć problemów prawnych i finansowych. Pamiętajmy, że obowiązek informacyjny to fundament RODO, a klauzula informacyjna to narzędzie, które pozwala go skutecznie realizować.

Jeśli chcesz poznać inne artykuły podobne do Klauzula informacyjna RODO: Jak ją napisać?, możesz odwiedzić kategorię Rachunkowość.

Go up