Październik
01

Klauzule informacyjne na gruncie RODO – zakres i przykładowa treść klauzuli

01.10.2018 12:57
fot. fizkes/shutterstock.com

Jednym z najważniejszych obowiązków każdego administratora danych osobowych jest obowiązek informacyjny. Klauzule informujące osoby, których dane osobowe były zbierane, o tożsamości administratora danych czy celu przetwarzania tych danych były wymagane już na gruncie dotychczasowej ustawy o ochronie danych osobowych. Jednak zakres obowiązku informacyjnego uległ znacznemu rozszerzeniu na gruncie stosowanych od 25 maja 2018 r. przepisów […]

Jednym z najważniejszych obowiązków każdego administratora danych osobowych jest obowiązek informacyjny. Klauzule informujące osoby, których dane osobowe były zbierane, o tożsamości administratora danych czy celu przetwarzania tych danych były wymagane już na gruncie dotychczasowej ustawy o ochronie danych osobowych. Jednak zakres obowiązku informacyjnego uległ znacznemu rozszerzeniu na gruncie stosowanych od 25 maja 2018 r. przepisów Rozporządzenie RODO. W jakich sytuacjach i o czym dokładnie powinni informować administratorzy danych osobowych w aktualnym stanie prawnym?

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (tzw. RODO) najwięcej zmieniło właśnie w odniesieniu do obowiązków informacyjnych administratorów danych osobowych. Ponieważ w rozumieniu RODO administratorem danych osobowych jest każdy, kto samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych, to obowiązki informacyjne ciążą na naprawdę wielu podmiotach. Takim administratorem jest na przykład zawodowy fotograf, który wykonując zdjęcia zbiera dane osobowe w postaci wizerunku, a następnie decyduje, czy zdjęcie to zapisać na dysku komputera i w jakim celu je wykorzystać. Kiedy więc i o czym powinni informować klientów fotografowie?

Nowe przepisy dość dokładnie określają moment, w którym należy dopełnić obowiązku informacyjnego. Dla ustalenia tego momentu istotne jest dokonanie rozróżnienia między pierwotnym i wtórnym gromadzeniem danych osobowych. Do pierwotnego gromadzenia danych osobowych dochodzi wtedy, gdy dane zostały zebrane bezpośrednio od osoby, której dotyczą. Przykładowo, będzie to miało miejsce wtedy, gdy klient umawiając się z fotografem na wykonanie sesji sam poda mu swoje imię, nazwisko i numer telefonu, a następnie pozwoli utrwalić swój wizerunek na zdjęciu. Za pierwotne gromadzenie danych osobowych uważa się również sytuację, gdy klientem będzie rodzic dziecka, które będzie fotografowane, choć w istocie dane dziecka fotograf otrzymał od rodzica, a nie od samego dziecka, którego dane osobowe dotyczą. Wtórne gromadzenie danych osobowych polega właśnie na pozyskiwaniu ich ze źródeł innych niż osoba, której dotyczą (np. poprzez zakup bazy marketingowej czy zdjęcia ze stocku).

Jeśli dochodzi do tzw. pierwotnego gromadzenia danych osobowych, to zgodnie z RODO administrator danych osobowych powinien spełnić obowiązek informacyjny już w momencie gromadzenia danych. W praktyce obowiązek ten jest najczęściej realizowany w ten sposób, że przy wprowadzaniu przez klienta danych do formularza internetowego, jednocześnie musi on zapoznać się z klauzulą informacyjną i fakt ten potwierdzić klikając w odpowiedni check box. Administrator danych musi bowiem być w stanie wykazać, że dopełnił obowiązków informacyjnych. Taką klauzulę można też zamieścić w stopce maila lub – jeśli klient przychodzi bezpośrednio „z ulicy” – jej wydruk wręczyć za pokwitowaniem jeszcze przed wykonaniem usługi.

Z kolei w razie wtórnego gromadzenia danych osobowych moment, kiedy należy poinformować o przetwarzaniu danych osobowych, zależy od tego, w jakim celu dane zostały pozyskane. Co do zasady, obowiązek informacyjny powinien zostać wykonany „w rozsądnym terminie”, ale nie później niż w ciągu miesiąca od pozyskania danych osobowych. Jeśli dane osobowe będą stosowane w komunikacji z osobą, której dotyczą, to obowiązku należy dopełnić najpóźniej przy pierwszym kontakcie z taką osobą. Natomiast w przypadku, gdy dane będą ujawniane innemu odbiorcy (np. baza danych zostanie sprzedana dalej) – najpóźniej przy pierwszym ich ujawnieniu.

Co bardzo istotne, zmiana informacji, które zostały przekazane, pociąga za sobą konieczność ich aktualizacji. Zawsze więc, gdy administrator danych planuje przetwarzać dane osobowe w celu innym niż ten, w którym zostały zgromadzone, to przed dokonaniem dalszego przetwarzania należy o tym poinformować osobę, której dane dotyczą.

Przepisy RODO znacznie rozszerzyły zakres informacji, jakie administrator danych osobowych powinien przekazać osobie, której dane dotyczą. Ma to oczywiście wpływ na długość stosowanych klauzul informacyjnych. Ponieważ w przypadku fotografów najczęściej mamy do czynienia z pierwotnym gromadzeniem danych osobowych, to dalej skupimy się tylko na takim przypadku gromadzenia danych. I tak, na gruncie art. 13 ust. 1 i 2 RODO należy przekazać następujące dane osobie, której one dotyczą:

1) tożsamość i dane kontaktowe administratora;

2) gdy ma to zastosowanie – tożsamość i dane kontaktowe przedstawiciela administratora oraz inspektora ochrony danych;

3) cele przetwarzania danych osobowych;

4) podstawy prawne przetwarzania;

5) jeżeli przetwarzanie odbywa się na podstawie prawnie uzasadnionych interesów administratora lub strony trzeciej – te realizowane interesy;

6) informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, o ile istnieją;

7) gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz warunkach tego przekazania;

8) okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;

9) informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;

10) jeżeli przetwarzanie odbywa się na podstawie zgody, informacje o prawie do jej cofnięcia w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na jej podstawie jej cofnięciem;

11) informacje o prawie wniesienia skargi do organu nadzorczego;

12) informacje czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;

13) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu.

Wiele z powyższym informacji musi być udostępnione tylko wówczas, gdy spełnione są pewne dodatkowe warunki. I tak, administrator danych osobowych nie musi informować – przykładowo – o tożsamości i danych swojego przedstawiciela czy inspektora danych osobowych, jeśli takowego przedstawiciela czy inspektora nie powołał. Jednak nawet po usunięciu z powyższej listy obowiązków warunkowych, wciąż jest ona bardzo obszerna. Dlatego dla ułatwienia poniżej przedstawiona została przykładowa, podstawowa klauzula informacyjna, która będzie miała najczęstsze zastosowanie w przypadku zawodowych fotografów.

 

Informacja o przetwarzaniu danych

Administratorem Pani/a danych osobowych jest [—] z siedzibą w [—], e-mail: [—]. Dane osobowe przetwarzane będą w celu realizacji umowy zlecenia sesji fotograficznej wraz z obróbką na podstawie art. 6 ust. 1 pkt b Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE i przechowywane do momentu wykonania ww. celu przetwarzania. Podanie danych osobowych jest dobrowolne, jednakże ich niepodanie uniemożliwi wykonanie umowy.

Ma Pan/i prawo dostępu do swoich danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, do wniesienia sprzeciwu wobec dalszego przetwarzania oraz prawo do przenoszenia danych. Przysługuje Pani/u również prawo wniesienia skargi do organu nadzorczego.

Pani/a dane osobowe nie będą uczestniczyły w procesie zautomatyzowanego podejmowania decyzji, w tym profilowania.

 

Magdalena Stasiak

prawnik

kontakt: magdalena_stasiak@outlook.com

Dodaj komentarz