O czym należy poinformować przed przetwarzaniem danych osobowych zgodnie z RODO?
W niniejszym artykule odpowiemy na pytania dotyczące tego, kiedy mogą być przetwarzane dane osobowe oraz jakie obowiązki informacyjne spoczywają na osobie, która ma zamiar przetwarzać dane osobowe.
Dane osobowe mogą być przetwarzane, jeśli zostanie spełniony co najmniej jeden z warunków, o których mowa w rozporządzeniu. Legalne przetwarzanie danych będzie możliwe, gdy jest niezbędne do wykonania umowy, której stroną jest osoba, której te dane dotyczą.
To właśnie w związku z wykonaniem umów przedsiębiorcy najczęściej przetwarzają dane osobowe swoich klientów bądź pracowników. Oczywiście zanim zaczniemy przetwarzać takie dane w jakikolwiek sposób musimy uzyskać zgodę ich posiadacza. Zgoda musi być wyrażona bezpośrednio i dobrowolnie. Może być wyrażona w dowolnej formie np. ustnie, pisemnie bądź elektronicznie. Warto jednak pamiętać, że administrator danych musi posiadać dowód wyrażenia takiej zgody. Zatem najwygodniejszym sposobem przechowywania tych zgód będzie forma elektroniczna lub pisemna.
W razie kontroli ze strony Generalnego Inspektora Ochrony Danych Osobowych bądź roszczeń osób związanych z bezprawnym przetwarzaniem danych osobowych, udowodnienie wyrażenia zgody może decydować o pociągnięciu przedsiębiorcy do odpowiedzialności, co może skutkować nałożeniem wysokiej kary pieniężnej.
Szczególną uwagę zwrócić należy na samą treść wyrażonej zgody. Podkreślić należy, że zgoda co do poszczególnej części oświadczenia musi być wyrażona osobno. Osoba, która wyraża zgodę nie może zatem złożyć oświadczenia zbiorczego obejmującego wszystkie elementy. W przypadku wyrażenia takiej ogólnej zgody, będzie ona nieważna. Nieważne więc będzie na przykład jedno wyrażenie zgody na przetwarzanie danych osobowych w celach marketingowych i w celach związanych z procesem rekrutacji.
Pamiętajmy, że osoba, która wyraziła zgodę na przetwarzanie danych osobowych może w każdym momencie taka zgodę cofnąć, co musimy jej umożliwić w każdym czasie. Co więcej, cofnięcie zgody powinno być równie proste jak jej wyrażenie.
RODO w porównaniu do polskiej ustawy o ochronie danych osobowych ma dużo bardziej rozwinięty obowiązek informacyjny. O czym musimy więc poinformować osobę zanim wyrazi ona zgodę na przetwarzanie przez nas danych osobowych?
Zgodnie z obecnie obowiązującą ustawą administrator przetwarzający dane osobowe musi podać nazwę administratora, czyli firmę przedsiębiorcy wraz z danymi kontaktowymi, cel przetwarzania, np. na cele rekrutacji oraz informacje o prawach, jakie posiada osoba wyrażająca zgodę na przetwarzanie danych.
Od 26 maja tego roku katalog informacji, o jakich musimy poinformować osobę, której dane będziemy przetwarzać, jest znacznie dłuższy.
Zgodnie z RODO w każdej klauzuli dotyczącej przetwarzania danych osobowych powinno znaleźć się:
- dane administratora danych osobowych, czyli nazwa firmy, siedziba oraz dane kontaktowe;
- wskazanie przedstawiciela administratora danych osobowych;
- dane kontaktowe do inspektora danych, jeśli jesteśmy zobowiązani do jego powołania;
- wskazanie celu przetwarzania danych osobowych;
- okres przechowywania danych osobowych;
- informacja o prawie dostępu do danych osobowych, ich poprawienia, a także o prawie ich usunięcia;
- informacja o prawie wniesienia skargi do organu nadzorczego w przypadku naruszenia danych;
- informacja o tym, kto będzie odbiorcą danych, jeśli dotyczy;
- informacja, czy dane będą przekazywane do państwa trzeciego;
- informacja, czy dane będą przetwarzane w sposób zautomatyzowany – tzw. profilowanie danych osobowych.
Pomimo dużej ilości informacji, jakie musimy przekazać osobie, której dane osobowe będziemy przetwarzać, musimy pamiętać, że RODO wymaga od nas, aby informacje te były przekazane w sposób przystępny, a więc prostym i zrozumiałym językiem.
Z powyższymi informacjami należy zaznajomić osobę w momencie, w którym pozyskujemy jej dane osobowe.
Przekazanie w sposób przejrzysty i zrozumiały takiej ilości informacji może być nie małym wyzwaniem, szczególnie jeżeli chodzi o długość formularza. Zatem stworzenie dobrej klauzuli, która będzie częścią umów bądź formularzy, pozwoli przedsiębiorcy uniknąć problemów związanych z niewłaściwym przetwarzaniem danych osobowych.