Klauzule zgodne z RODO - czyli dlaczego bezmyślne kopiowanie może przysporzyć więcej kłopotów niż pożytku.
Wejście w życie RODO (Ogólne rozporządzenie o ochronie danych osobowych) nałożyło nie tylko nowe obowiązki w zakresie ochrony danych osobowych, ale też zapoczątkowało wyższy poziom świadomości osób dotyczący między innymi tego kto i na jakiej podstawie zgromadził dane osobowe.
Rzadko kiedy, jeżeli nie nigdy nie zadajemy sobie pytania "komu faktycznie udzieliłem zgodę na przetwarzanie moich danych?" W maju 2018 roku większość z nas w swojej skrzynce mailowej znalazła wiadomości zawierające długie komunikaty na temat ochrony danych osobowych od przedsiębiorców, o których czasem już zdążyliśmy zapomnieć, a oni dalej przetwarzali nasze dane osobowe.
Wejście w życie RODO (Ogólne rozporządzenie o ochronie danych osobowych) nałożyło nie tylko nowe obowiązki w zakresie ochrony danych osobowych, ale też zapoczątkowało wyższy poziom świadomości osób dotyczący między innymi tego kto i na jakiej podstawie zgromadził dane osobowe.
Jednym z najważniejszych obowiązków administratorów danych wynikających z przetwarzania danych osobowych osób fizycznych jest realizacja obowiązku informacyjnego. Niestety w naszej praktyce często spotykamy się z podejściem "skopiuję i wkleję", co powoduje, że osoby których dane dotyczą otrzymują informacje o nieprawidłowych podstawach prawnych przetwarzania danych osobowych, o nieistniejącym inspektorze ochrony danych, bądź o braku transferu jej danych poza EOG, gdzie w rzeczywistości taki transfer odbywa się do kilku krajów poza tą strefą.
Co zatem powinna zawierać klauzula informacyjna?
Zanim przejdziemy do omawiania elementów klauzuli, chcemy podkreślić raz jeszcze - nie da się wdrożyć samych klauzul bez wdrożenia RODO (Ogólne rozporządzenie o ochronie danych osobowych) w organizacji. Co za tym idzie -kopiując treść klauzuli narażamy się na ryzyko podania nieprawdziwych informacji bez znajomości zasad przetwarzania w naszej organizacji.
Co musimy wiedzieć przed podejściem do tworzenia obowiązku informacyjnego?
1) czy w naszej organizacji zachodzi obowiązek powołania IOD?
2) skąd mamy dane - czy pozyskaliśmy je zgodnie z prawem, bezpośrednio od podmiotu danych czy od innego administratora danych?
3) w jakim celu będziemy je przetwarzać ( nie przetwarzamy danych "na zapas", liczy się konkretny cel)?
4) w ramach tego celu jaki zakres danych jest niezbędny, żeby cel zrealizować (nie przetwarzamy więcej danych niż niezbędne do realizacji celu, np. zapis na newsletter nie będzie wymagał podania naszego wieku, jeśli od tej informacji nie uzależniamy treści przekazywanej subskrybentom)?
5) jak długo będziemy przetwarzać dane (czy istnieje jakaś podstawa by móc przetwarzać je po realizacji celu w ramach którego zostały zebrane)?
6) kto jeszcze będzie odbiorcom tych danych (np. dostawca narzędzia do wysyłki newslettera)?
7) czy korzystamy z partnerów biznesowych, lub aplikacji w ramach których dane mogą być przekazane poza EOG (sztandarowy przykład to wykorzystywanie Google Analytics - mają prawie wszyscy ale mało kto uważa, że przetwarza tam dane osobowe i przekazuje poza EOG)?
8) czy mamy zamiar profilować dane i czy będzie to profilowanie kwalifikowane?
Klauzula CV – zgoda na przetwarzanie danych w rekrutacji
Jak widać, powyższa lista wymaga świadomości procesów związanych z przetwarzaniem danych osobowych przez administratora. Każdy Administrator może układać je nie tylko w granicach prawa ale też w granicach własnych potrzeb związanych z narzędziami, wg możliwości finansowych.
Klauzula nie może działać w próżni. To znaczy, że jeśli deklarujemy w niej czas przetwarzania danych, to cała organizacja powinna być świadoma jak zaplanowane jest proces usunięcia danych, kiedy ten czas minie. Z jakich zasobów, kto za to odpowiada, kto powinien to sprawdzić.
Deklarując adres email, pod którym podmiot danych może zgłosić swoje żądania - musimy być gotowi prawidłowo je odebrać i obsłużyć. Klauzula to nie tylko ściana tekstu. To manifest tego jak Administrator podchodzi do poszanowania praw osób fizycznych.
Co zatem oprócz odpowiedzi na powyższe pytania powinna zawierać klauzula informacyjna?
Informację na temat tożsamości administratora danych, dane kontaktowe inspektora ochrony danych jeśli został powołany, podstawę prawną adekwatnie dobraną do celów przetwarzania danych osobowych (jeśli jedną z podstaw prawnych będzie uzasadniony interes administratora danych z art. 6 ust 1 lit f RODO - należy wskazać czym on dokładnie jest a w przypadku oparcia przetwarzania danych w oparciu o zgodę (- informacje o prawie do cofnięcia zgody), informacje o prawach jakie przysługują podmiotom danych ( w tym prawo skargi do organu) oraz czy podanie danych osobowych jest wymogiem ustawowym lub umownym albo warunkiem zawarcia umowy a także jakie są ewentualne konsekwencje niepodania danych.
Sporo prawda? Jak ująć te informacje w praktyczny sposób, prezentujemy w klauzulach jakimi na codzień posługujemy się wobec różnych podmiotów, których dane przetwarzamy w LexDigital:
- Kandydaci do pracy
- Pracownicy
- Osoby współpracujące
- Kontrahenci
- Klienci
- Pracownicy Kontrahentów
- Uczestnicy szkoleń
- Osoby korespondujące
Mogą one posłużyć za inspirację, zachęcamy do korzystania z nich jednak zawsze mając na uwadze nasze wcześniejsze rady.
Kiedy należy spełnić obowiązek informacyjny?
W przypadku, kiedy administrator pozyskuje dane od osoby, której dane dotyczą, powinien zrealizować obowiązek już w momencie zbierania danych. Najlepiej jednak zrealizować go przed rozpoczęciem zbierania danych, co pozwoli podmiotowi danych na świadomą decyzję czy chce aby w posiadanie jego danych wszedł konkretny administrator danych.
Jeśli administrator pozyskuje dane osobowe od innego podmiotu niż "właściciel" danych, czas na realizację obowiązku jest nieco dłuższy i wynosi miesiąc od momentu pozyskania danych.
Wyjątek stanowi sytuacja kiedy dane wykorzystywane są do kontaktu z daną osobą (wtedy obowiązek powinno zrealizować się najpóźniej podczas tego kontaktu) lub jeśli dane ujawniane są jeszcze innemu odbiorcy (wtedy obowiązek informacyjny powinien być realizowany najpóźniej przy pierwszym ujawnieniu).
Sprawdź nasz artykuł: Aktualna klauzula RODO do CV 2024. Jak poprawnie sformułować zgodę?
Kiedy NIE trzeba spełniać obowiązku informacyjnego?
Na podstawie art. 13 ust. 4 i art. 14 ust. 5 lit. a) RODO, jeśli osoba wie, kto jest administratorem jej danych osobowych, w jakim celu i na jakiej podstawie prawnej jej dane będą przetwarzane, jak długo itd., nie ma konieczności spełnienia obowiązku informacyjnego.
Może zdarzyć się, że udzielenie informacji podmiotom danych będzie niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku - np. brakuje nam danych kontaktowych.
Istnieje też przesłanka zwalniająca z obowiązku informacyjnego różne urzędy i organy administracyjne, wykonujące zadania w ramach prowadzonych postępowań. Okoliczności, w których administrator nie musi przekazywać informacji o przetwarzaniu danych, są też związane z tajemnicą zawodową, np. radców prawnych.
Jak spełnić obowiązek informacyjny?
Tak by móc wykazać w sposób rozliczany, że został spełniony. Klauzula informacyjna nie wymaga checkboxów, podpisów osoby potwierdzających z zapoznaniem. Ważne, żeby administrator danych przekazał ją w na tyle przystępny osób, aby osoba której dane dotycząc nie musiała poszukiwać jej a utrudniony sposób.
Co grozi za brak spełnienia obowiązku informacyjnego?
Kara administracyjna. Pierwsza informacja o nałożonej przez UODO karze pieniężnej po wejściu w życie RODO (Rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE dotyczyła właśnie braku spełnienia obowiązku informacyjnego).
Klauzula to nie zgoda na przetwarzanie danych
Na koniec jeszcze parę słów od nas w związku z częsty myleniem klauzuli od zgody na przetwarzanie danych.
Najczęściej błąd ten spotykamy w ogłoszeniach rekrutacyjnych. Klauzula w CV, do której byliśmy przyzwyczajeni jeszcze ustawą z z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, wklejana właśnie w stopkę CV przez kandydata, oznaczała nic innego jak właśnie zgodę na udział w rekrutacji. Dzisiaj zgodnie z RODO, taką zgodę możemy rozumieć jako świadome działanie kandydata np. polegające na załączeniu CV w formularzu rekrutacyjnym. Jednak już na etapie, kiedy kandydat decyduje nam się przekazać swoje dane - powinien zostać poinformowany o zasadach przetwarzania danych osobowych dla potrzeb niniejszej rekrutacji. Temu właśnie służy klauzula informacyjna.
Kandydat nie musi akceptować faktu zapoznania się z obowiązkiem informacyjnym.
Warto również pamiętać, że nawet jeśli w klauzuli wskażemy jako podstawę prawną art 6 ust 1 lit a - czyli zgodę na przetwarzanie danych kandydata na poczet przyszłych rekrutacji - to należy odrębnym oświadczeniem taką zgodę pozyskać. Samo poinformowanie nie jest jednoznaczne z wykazaniem, że posiadamy podstawę prawną, którą wskazujemy w klauzuli informacyjnej.
Masz wątpliwości dotyczące ochrony danych osobowych w Twojej firmie? Chcesz omówić kwestię zgody na przetwarzanie danych, swobodnego przepływu takich danych? Nie wiesz która klauzula w CV będzie prawidłowa?