Spełniłeś już obowiązek informacyjny?

Obowiązek informacyjny to w skrócie zestaw informacji, jakie musimy przekazać wszystkim osobom, których dane posiadamy, niezależnie od tego czy przetwarzamy ich dane na podstawie dobrowolnej zgody, czy na podstawie prawa.

Kiedy musimy spełniać obowiązek informacyjny?

Zaczynając od zgód, które już posiadamy. Jesteśmy już po audycie, a więc mamy kontakt np. mailowy z wszystkimi osobami, których dane przetwarzamy. Wtedy obowiązek informacyjny wysyłamy im mailowo. Do każdego z osobna, wyjaśniając sytuację. Proponuję skorzystać z narzędzi mailingowych albo funkcji UDW, ale pamiętaj, żeby przypadkiem nie udostępnić publicznie swojej bazy adresów! Jeśli nie posiadamy adresów e-mail, tylko numer telefonu, mamy dwie opcje. Dzwonimy i uzyskujemy adresy e-mail, lub wysyłamy obowiązek pocztą tradycyjną.

Pozostałe osoby informujemy podczas zbierania zgód, najlepiej w treści zgody.

Co musi zawierać obowiązek informacyjny?

  • tożsamość i dane kontaktowe administratora;
  • gdy ma to zastosowanie – tożsamość i dane kontaktowe przedstawiciela administratora;
  • gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
  • cel przetwarzania danych osobowych;
  • podstawy prawne przetwarzania;
  • jeżeli przetwarzanie odbywa się na podstawie prawnie uzasadnionych interesów administratora lub strony trzeciej, te realizowane interesy;
  • informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
  • gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz warunkach tego przekazania;
  • okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
  • informacje o prawach przysługujących osobie, której dane dotyczą;
  • jeżeli przetwarzanie odbywa się na podstawie zgody, informacje o prawie do jej cofnięcia; w dowolnym momencie, bez wpływu na zgodność z prawem przetwarzania, którego dokonano na jej podstawie przed cofnięciem zgody;
  • informacje o prawie wniesienia skargi do organu nadzorczego;
  • informacje, czy podanie danych osobowych jest wymogiem ustawowym lub umownym, lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
  • informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu;

Jest tego zdecydowanie dużo, ale spróbujmy sobie to omówić na przykładzie, wtedy sprawa się znacznie uprości. Przyjmijmy, że układamy obowiązek informacyjny dla dużej firmy, posiadającej IOD, przetwarzającej dane osobowe do celów rekrutacji do pracy.

Oświadczam, że zostałem poinformowany o tym, że:

  1. Adminstratorem danych osobowych jest spółka X, adres Y, kontakt ado@spolkaX.pl
  2. Spółka powołała Inspektora Ochrony Danych osobowych, kontakt iod@spolkaX.pl
  3. Dane są przetwarzane w celu rekrutacji na stanowisko.|Bardzo ważne jeden cel – jedna zgoda!
  4. Podstawą prawną przetwarzania jest dobrowolna zgoda.|Oczywiście musimy posiadać tę zgodę.
  5. Dane nie są przekazywane poza spółkę. |W przypadku przekazywania danych np. firmie rekrutacyjnej, musimy to tutaj zaznaczyć.
  6. Dane będą przechowywane przez okres 12 miesięcy, po czym zostaną bezzwłocznie usunięte. |To jest okres czasu, który musimy ustalić sami. Jednak wydaje mi się, że 12 miesięcy na cele rekrutacyjne jest wystarczające, szczególnie, że takie dane szybko się przedawniają.
  7. Przysługuje mi prawo dostępu do moich danych osobowych, ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do przenoszenia danych, prawo do wniesienia sprzeciwu wobec przetwarzania, wycofania zgody w dowolnym momencie, przy czym nie wpływa to na wcześniejszą zgodność z prawem przetwarzania danych. | Wszystkie z praw właściciela danych określone przez RODO.
  8. Przysługuje mi również prawo do wniesienia skargi do organu nadzorczego Urzędu Ochrony Danych Osobowych.
  9. Dane nie są przekazywane do państw trzecich. |Państwa trzecie to wszystkie niebędące w Unii Europejskiej.

Znacznie prościej, prawda? Pamiętajcie, że RODO jest całkiem logiczne. Warto tylko pamiętać podstawowe zasady, jakie musimy spełniać. Taka raz przygotowana maszyna będzie już działać, wystarczy jej czasem doglądać.

Jeśli chcesz zrozumieć dokładnie wszystkie te zagadnienia, zapraszam do lektury kolejnych artykułów na blogu😉

Masz jakieś uwagi, lub przemyślenia? Koniecznie napisz w komentarzu!

W razie pytań zachęcam do kontaktu, nieważne czy masz jakieś pytania, chcesz się spotkać, czy po prostu blog Ci w czymś pomógł, pisz do mnie na maila: maciej.grabowski@op.pl, na 100% odpowiem!

Napisane posty 24

Zerknij na dyskusje o :

  1. Dzień dobry,
    Proszę o radę: Co musi zawierać Obowiązek Informacyjny w przypadku pracowni projektowej zatrudniającej kilkunastu pracowników ?
    I gdzie go umieścić ?
    Czy pracownicy powinni podpisać jakieś zobowiązania ?

  2. Dzień dobry,
    Prowadzę małą pracownię krawiecką, pracuję w niej sama (nie zatrudniam pracowników). Dysponuję danymi kontaktowymi swoich klientów: jest to z reguły imię, nazwisko, nr telefonu, czasem adres zamieszkania (prowadzę usługi z dojazdem do klienta). Czy ciąży na mnie obowiązek informacyjny w stosunku do klientów i jaką drogę wybrać, skoro nie dysponuję ich adresami mailowymi, a w niektórych przypadkach nawet danymi pocztowymi o miejscu zamieszkania. Mam do wszystkich nr telefonu.

    1. Dzień dobry,
      Kluczowe pytanie to ilość tych kontaktów, czy warto fatygować się smsami? Można się powołać na artykuł 14 ust. 5a. Mówi on o tym, że obowiązku informaycjnego nie trzeba spełnić jeśli wymagało by to niewspółmiernie dużego wysiłku. Posiada pani swoją stronę internetową? Może sms z informacją i przekierowaniem do strony z obowiązkiem informacyjnym rozwiązałby sprawę.

      1. Właściwie nie ma tych kontaktów na tyle dużo, żeby trudnością było wysłanie sms-a i jeśli taka droga jest prawnie dozwolona, to najchętniej wybrałabym właśnie tą formę. Posiadam stronę informacyjną o działalności na Facebooku a nie wiem, czy na tym portalu obowiązuje RODO i umieszczanie takich informacji. Jeśli tak, to z tej drogi również skorzystam. Innej witryny nie mam. Zdarza się również, że wystawiam faktury firmom za usługę szycia, więc pewnie w tym przypadku muszę stworzyć dokument dla księgowej?
        Dziękuję za poprzednią informację i pozdrawiam, Dagmara

  3. Panie Macieju, a jak Pan myśli jak mam wprowadzić RODO gdy sprzedaję przez allegro? Czy dane dotyczące RODO mam umieścić w regulaminie czy na stronie z informacją o sprzedawanym przedmiocie? Czy jak wystawiam fakturę to też muszę mieć zgodę na przetwarzanie danych? Jak wysyłam paczkę po telefonicznym zamówieniu to też zgoda? Z góry dziękuję za odpowiedz i serdecznie pozdrawiam. Aneta

    1. Zgodę napewno nie, ponieważ jest to konieczne do wykonania umowy. Musi Pani spełnić obowiązek informacyjny. Myślę że regulamin jest okej, z tym że wskazałbym jasno, że takie informacje można tam znaleźć

  4. Witam
    Pytanie nr 1
    Szkoła ma stronę www na której są druki do pobrania (chodzi o karty zgłoszenia, rekrutacji itp). Czy na tych drukach tak jak do tej pory musi być informacja „że zgadzam się na przetwarzanie moich danych …. itd ? czy wystarczy teraz informacja na stronie www zawierająca cały obowiązek informacyjny ? i czy wtedy druki będą już bez tej informacji o zgodzie na przetwarzanie danych ?

    Pytanie nr 2
    A jeżeli placówka nie ma strony www to gdzie taki obowiązek informacyjny umieścić ? W gablocie ? Na stronie BIP ?

    1. Dzień dobry,
      Sugerowałbym umieszczenie obowiązku w kartach rekrutacyjnych. Proszę pamiętać, żeby obowiązek był napisany prostszym językiem, tak, aby dzieci były w stanie go zrozumieć.
      Jeśli chodzi o poinformaowanie aktualnych uczniów myślę, że można tę „misje” polecić wychowawcom, aby zapoznały z nim uczniów

  5. Witam.
    Mam pytanie odnośnie momentu pojawienia się obowiązku informacyjnego.
    Sytuacja pierwsza: dzwoni do firmy klient który chciałby uzyskać jakąś informację, niektórzy przez grzeczność przedstawiają się, niektórzy nie – rozmowa nie doprowadza do żadnego podjęcia umowy – klient mówi do widzenia i kończy rozmowę. Czy tutaj zachodzi konieczność obowiązku informacyjnego – firma nie zapisała jego danych i w żaden sposób ich nie przetwarza. Uważam że nie powinno tutaj być tego obowiązku – czy dobrze myślę?
    Sytuacja druga: tak samo jak wyżej tylko zmienia się narzędzie – nie kontakt telefoniczny a mailowy – klient przysyła do firmy zapytanie, niektórzy przez grzeczność się podpisują ale firma nie robi z tym nic więcej jak udziela odpowiedzi – tutaj jest nieco inaczej bo firma może mieć już czyjeś dane typu imię nazwisko i e-mail (choć będą chaotycznie porozrzucane po różnych mailach w poczcie) – jak będzie tutaj wyglądał obowiązek informacyjny. Czy jak po udzieleniu odpowiedzi (lub powiedzmy że w rozsądnym czasie) usunę maila – czyli nie mam czyiś danych to w tym momencie nie dotyczy mnie ochrona (bo i czego). Jak będzie wyglądała kwestia że ewentualne dane które się pojawiają to nie są dane które firma w jakikolwiek sposób zbiera ale ktoś sam je podał a firma ich nie potrzebuje i teoretycznie powinna je usunąć – bo nie ma celu ich przetwarzania.
    Sytuacja trzecia: kontakt pracowników firm – kowalski z firmy A dzwoni (lub pisze e-maila) do malinowskiego z firmy B – czy tutaj pojawia się w ogóle rodo – numer tel jest firmowy, adres e-mail jest firmowy, osoba jest pracownikiem – rodo to ochrona danych zwykłego kowalskiego przez firmy a tutaj pojawiają się po obu stronach firmy.
    Pytania może banalne ale każdy ma inne zdanie.

Dodaj komentarz

Twój adres email nie zostanie opublikowany.

Polecane artykuły

Tutaj napisz, czego szukasz... Jeśli chcesz zakończyć, kliknij ESC

Do góry