24 maja 2016 roku weszło w życie unijne rozporządzenie o ochronie danych osobowych zwane potocznie RODO. Zastąpiło ono dotychczas obowiązującą krajową ustawę o ochronie danych i jednocześnie nałożyło na administratorów tych danych nowe obowiązki. Jednym z nich jest obowiązek informacyjny, który każdy Administrator danych osobowych musi wykonać już w momencie ich pozyskiwania. Co więcej, obowiązek informacyjny musi zostać spełniony zarówno wtedy, gdy administrator pozyskuje dane osobowe bezpośrednio od osoby, które one dotyczą, jak i z innych źródeł.

 Jakie informacje powinna zawierać klauzula informacyjna?

W świetle przepisów RODO, administrator danych osobowych zobowiązany jest do podania szeregu informacji osobie, od której pozyskuje dane osobowe. Obowiązek ten wynika z art.14 RODO. Do informacji, które należy podać pozyskując dane osobowe należą:

- tożsamość administratora oraz jego dane kontaktowe;

- cel i podstawę prawną przetwarzania danych;

- informacje dotyczące odbiorców danych;

- okresie ich przechowywania.

W sytuacji, gdy dane osobowe będą przekazywane do państw trzecich, administrator także musi o tym fakcie powiadomić osobę, której dane dotyczą. Ponadto w sytuacji, gdy administrator nie zbiera danych bezpośrednio od osoby, której one dotyczą, zobowiązany jest do poinformowania jej o tym, że ma ona prawo zażądać zaprzestania ich zbierania.

W jakiej formie należy przekazywać informacje?

Klauzula informacyjna może mieć zarówno formę elektroniczną, jak i papierową – wszystko zależy od tego, jaka jest forma zbierania danych osobowych. Na żądanie osoby, od której dane osobowe są zbierane, niezbędne informacje mogą zostać przekazane ustnie, w tej jednak sytuacji administrator zobowiązany jest potwierdzić jej tożsamość w sposób, który nie budzi żadnych, nawet najmniejszych wątpliwości. Niezależnie jednak od formy zbierania, wszelkie informacje zawarte w klauzurze informacyjnej muszą zostać przekazane w sposób przejrzysty, zwięzły i zrozumiały – wykluczone jest używanie specjalistycznych określeń. Klauzulę należy napisać językiem prostym i jasnym – musi ona być zrozumiała dla każdej osoby niezależnie od tego, w jakim jest ona wieku i jakie posiada wykształcenie. Ponadto osoba, której dane są zbierane musi mieć możliwość łatwego zapoznania się z klauzulą informacyjną.

Zgodnie z intencją ustawodawcy, obowiązek informacyjny administrator powinien wypełnić w rozsądnym terminie – musi to zrobić najpóźniej w przeciągu miesiąca od dnia, w którym pozyskał dane osobowe. Jest jednak wyjątek – jeżeli zebrane dane osobowe mają zostać wykorzystane do komunikacji, administrator musi wypełnić obowiązek administracyjny już przy pierwszym kontakcie.

Monika Zygmunt-Jakuć (Inspektor ochrony danych)