Klauzule informacyjne administratora danych to bardzo ważny element systemu ochrony danych osobowych. Tak było również w czasach „przed RODO”.

Jednak dopiero w RODO przewidziano konkretną sankcję za brak właściwej realizacji obowiązku informacyjnego. Ma ona postać administracyjnej kary pieniężnej. O tym, że nakładanie kar nie jest uprawnieniem Prezesa Urzędu Ochrony Danych Osobowych tylko w teorii, ale także w praktyce, przekonała się ostatnio jedna ze spółek, która ma zapłacić blisko 1 mln złotych.

Poniżej zamieszczam listę 5 najczęściej spotykanych błędów / złych praktyk w klauzulach informacyjnych. Została ona sporządzona na podstawie analizy treści klauzul spotykanych w obrocie oraz stanowisk i wytycznych organów ochrony danych.

Mam nadzieję, że okaże się ona pomocna dla Twojej firmy.

Moja lista najczęściej spotykanych błędów przedstawia się następująco:

1. Zbyt ogólnikowe cele przetwarzania.
2. Niewskazanie podstaw prawnych wynikających z prawa krajowego (podstawa z art. 6 lub 9 RODO często nie jest samoistna).
3. Brak dokładnego (lata, miesiące, tygodnie) okresu przechowywania danych.
4. Katalog żądań podmiotów danych nieadekwatny do prowadzonych operacji przetwarzania.
5. Odbiorcy danych wskazani zbyt ogólnie – tylko kategorie odbiorców zamiast nazw podmiotów, znanych ADO już w momencie zbierania danych.

Poniżej krótki komentarz do każdego z punktów.

Ad. 1. Zbyt ogólnikowe cele przetwarzania

Zgodnie z RODO, dane osobowe mogą być przetwarzane dane osobowe tylko w konkretnych, wyraźnych i prawnie uzasadnionych celach. Firma, która chce przetwarzać dane osobowe w ramach swojej działalności, ma obowiązek zidentyfikować te cele i podać je do wiadomości osób, których dane przetwarza / będzie przetwarzać.

Niby proste. Ale czy na pewno?

W praktyce właściwe sformułowanie celu może być pewnym wyzwaniem. Z jednej strony RODO wymaga dokładności w oznaczaniu celów, z drugiej zbytnia szczegółowość może być dla administratora uciążliwa i skutkować niejasnością samej klauzuli.

Pewną wskazówką jest rozpatrywanie celu w kontekście podstawy prawnej przetwarzania. Ostatecznie pomiędzy celem a podstawą prawną przetwarzania występuje funkcjonalny związek. Jeżeli chcemy przetwarzać dane osobowe na podstawie zgody, pamiętajmy, że zgoda musi być wyrażona oddzielnie dla każdego celu przetwarzania.

Zbyt ogólnie opisane cele przetwarzania danych osobowych już zostały wzięte pod lupę przez niektóre zagraniczne organy nadzorcze. Przykładowo, był to jeden z zarzutów sformułowanych pod adresem Google przez CNIL (francuski urząd ochrony danych osobowych), który nałożył na amerykańską firmę karę pieniężną w wysokości aż 50 mln euro.

W szczególności przetwarzanie danych w celu profilowania i dla celów marketingowych wymaga przekazania osobie, której dane dotyczą, niezbędnych informacji na ten temat.

Ad. 2. Niewskazanie podstaw prawnych wynikających z prawa krajowego

RODO określa podstawy prawne przetwarzania danych osobowych, osobno dla danych „zwykłych” i szczególnie chronionych (potocznie zwanych „wrażliwymi”). Mogą one stanowić samodzielną podstawę prawną przetwarzania danych osobowych, ale nie zawsze tak będzie.

W wielu przypadkach właściwy przepis rozporządzenia nie jest jedyną ani samoistną podstawą prawną przetwarzania danych osobowych. Przykładowo, podstawa prawna z art. 6 ust. 1 lit c RODO odsyła do obowiązku prawnego ciążącego na administratorze. Najczęściej obowiązek taki jest określony w przepisach prawa krajowego, które ustanawiają ramy prawne dla prowadzenia danej działalności gospodarczej.

W takich przypadkach, dobrą praktyką jest wskazywanie w ramach podstawy prawnej nie tylko RODO, ale także właściwego aktu / aktów prawnych prawa polskiego. W niektórych przypadkach zasadne może być odwołanie się do innych przepisów rangi unijnej.

Ad. 3. Brak dokładnego (lata, miesiące, tygodnie) okresu przechowywania danych

Zgodnie z RODO, administrator może nie wskazywać dokładnego okresu przechowywania danych osobowych (nazywany też okresem retencji) zasadniczo tylko w jednym przypadku – gdy nie jest możliwe jego ustalenie. Typowym przykładem jest świadczenie usługi o charakterze ciągłym, np. wysyłka newslettera do osób znajdujących się w bazie marketingowej. W takim przypadku przetwarzanie danych będzie trwać przez nieoznaczony z góry okres, np. wycofania zgody lub wniesienia sprzeciwu przez osobę, której dane dotyczą. W ramach klauzuli informacyjnej można ograniczyć się do wskazania kryteriów ustalania tego okresu.

Nieprawidłowe jest zawarcie w odpowiedzi na żądanie usunięcia danych takiego zdania:

„Pana dane osobowe zostaną usunięte z systemów Spółki, w których ustanie cel ich przetwarzania”

Nie wyjaśnia ona, w jakich celach przetwarzane są dane osobowe w poszczególnych systemach Spółki, ani przez jak długi okres.

Ad. 4. Katalog żądań podmiotów danych nieadekwatny do prowadzonych operacji przetwarzania

RODO wymaga poinformowania osób, których dane dotyczą o ich prawach wynikających z rozporządzenia. Konkretnie, chodzi tutaj o żądania wskazane w art. 15-22 RODO.

Warto jednak wiedzieć, że nie w każdym przypadku dane żądanie przysługuje.

Przykładowo, prawo do przenoszenia danych może mieć zastosowanie tylko w przypadku, gdy przetwarzanie odbywa się na podstawie zgody lub umowy oraz w sposób zautomatyzowany, czyli w środowisku IT. Informowanie w ramach klauzuli o przysługującym danej osobie prawie w sytuacji, gdy żądanie takie zgodnie z RODO nie przysługuje, może wprowadzać w błąd i skutkować zgłaszaniem bezprzedmiotowych żądań.

Oczywiście, należy to odróżnić od oceny żądania pod względem merytorycznym. Analiza taka może prowadzić do ustalenia, że zachodzi wyjątek od obowiązku realizacji żądania, np. dane nie mogą usunięte, bo obowiązek ich przechowywania wynika z przepisu ustawy.

Ad. 5. Odbiorcy danych wskazani zbyt ogólnie

Zasada przejrzystości (jedna z najważniejszych w RODO) wymaga, aby osoba, której dane dotyczą, wiedziała, komu jej dane osobowe mogą zostać ujawnione.

W ramach klauzuli informacyjnej należy zatem określić odbiorców lub kategorie odbiorców danych. Odbiorcą danych jest podmiot, któremu administrator ujawnia dane osobowe, przy czym może to być zarówno podmiot przetwarzający dane (na zlecenie ADO), jak i niezależny administrator. W tym drugim przypadku, musi istnieć podstawa prawna przekazania danych osobowych do innego administratora. Udostępnianie danych jest także ich przetwarzaniem i wymaga istnienia ważnej podstawy.

Potężnie rozbudowana klauzula nie jest jeszcze gwarancją, że obowiązek informacyjny został wykonany prawidłowo. Większe znaczenie ma dobór zawartych tam informacji oraz sposób ich przekazania. Powinny być one podane jasnym i zrozumiałym językiem.

Wykonanie obowiązku informacyjnego we właściwej formie ma obecnie duże znaczenie z punktu widzenia oceny ryzyka prowadzenia działań biznesowych z wykorzystaniem danych osobowych.