Klauzula informacyjna RODO to jeden z podstawowych obowiązków administratora danych — i jeden z najczęściej realizowanych w sposób nieprawidłowy. Skopiowana z internetu klauzula, która nie odpowiada rzeczywistemu przetwarzaniu w danej organizacji, nie spełnia wymagań RODO. Kontrolujący UODO sprawdza nie to, czy klauzula istnieje, ale czy jest zgodna z prawdą i czy faktycznie dociera do osób, których danych dotyczy.
Czym jest klauzula informacyjna
Klauzula informacyjna to realizacja obowiązku informacyjnego, który na administratorze danych ciąży na mocy art. 13 i art. 14 RODO. Jej cel jest jasny: osoba, której dane są zbierane i przetwarzane, ma prawo wiedzieć kto przetwarza jej dane, w jakim celu, na jakiej podstawie prawnej i jak długo — jeszcze przed lub w momencie podania tych danych.
Obowiązek informacyjny nie jest wymogiem formalnym — jest warunkiem przejrzystości, która stanowi jedną z podstawowych zasad RODO (art. 5 ust. 1 lit. a).
Art. 13 a art. 14 RODO — dwa różne przypadki
RODO rozróżnia dwa scenariusze zbierania danych, które generują odmienne obowiązki informacyjne.
Art. 13 RODO — dane zbierane bezpośrednio od osoby, której dotyczą. Najczęstsze przypadki: formularz kontaktowy na stronie www, formularz zapisu na newsletter, ankieta, umowa z klientem, formularz rekrutacyjny. Informacje z art. 13 należy przekazać w momencie zbierania danych — zanim osoba poda swoje dane lub najpóźniej w tym samym momencie.
Art. 14 RODO — dane pozyskane z innego źródła niż od osoby, której dotyczą. Przykłady: dane pozyskane od kontrahenta (np. lista pracowników do umowy), dane z publicznych rejestrów, dane zakupione lub przekazane przez podmiot trzeci. Informacje z art. 14 należy przekazać w ciągu jednego miesiąca od pozyskania danych lub — jeśli dane są wykorzystywane do komunikacji z osobą — najpóźniej przy pierwszym kontakcie.
Co musi zawierać klauzula informacyjna z art. 13 RODO
Poniżej pełny katalog elementów wymaganych przez art. 13 ust. 1 i 2 RODO:
Tożsamość i dane kontaktowe administratora — pełna nazwa, adres, e-mail lub telefon. Musi to być podmiot rzeczywiście podejmujący decyzje o celach i sposobach przetwarzania.
Dane kontaktowe inspektora ochrony danych (IOD) — jeżeli administrator wyznaczył IOD. Jeżeli nie ma obowiązku wyznaczenia IOD i IOD nie został wyznaczony — informacji tej nie ma potrzeby zamieszczać.
Cel przetwarzania — konkretny cel, nie ogólne sformułowanie. „Marketing” to za mało — powinno być: „wysyłka newslettera informującego o produktach i usługach firmy”.
Podstawa prawna przetwarzania — wskazanie konkretnego przepisu art. 6 ust. 1 RODO (lub art. 9 ust. 2 dla danych szczególnych kategorii). Samo napisanie „na podstawie RODO” nie wystarczy.
Uzasadniony interes administratora lub osoby trzeciej — wyłącznie gdy podstawą przetwarzania jest art. 6 ust. 1 lit. f RODO. Należy opisać na czym polega ten interes.
Odbiorcy lub kategorie odbiorców — podmioty, którym dane będą lub mogą być przekazywane. Obejmuje to podmioty przetwarzające (processorzy), organy publiczne i partnerów biznesowych.
Przekazywanie danych do państw trzecich — jeżeli dane są lub mogą być przekazywane poza EOG, konieczne jest wskazanie tego faktu i mechanizmu zabezpieczającego (standardowe klauzule umowne, decyzja o adekwatności, BCR).
Okres przechowywania danych — konkretny okres lub kryteria jego ustalenia. „Do czasu cofnięcia zgody”, „przez okres obowiązywania umowy i 5 lat po jej zakończeniu”, „do czasu zakończenia postępowania” — to właściwe sformułowania. „Przez czas niezbędny do realizacji celów” bez żadnego uszczegółowienia jest niewystarczające.
Prawa osoby, której dane dotyczą — prawo dostępu, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia danych, wniesienia sprzeciwu.
Prawo do cofnięcia zgody — wyłącznie gdy przetwarzanie opiera się na zgodzie; informacja że cofnięcie zgody nie wpływa na zgodność z prawem przetwarzania, które miało miejsce przed cofnięciem.
Prawo do skargi do organu nadzorczego — UODO (Urząd Ochrony Danych Osobowych), ul. Stawki 2, 00-193 Warszawa.
Wymóg podania danych — czy podanie danych jest wymogiem ustawowym lub umownym, czy warunkiem zawarcia umowy, czy podanie jest obowiązkowe i jakie są konsekwencje ich niepodania.
Zautomatyzowane podejmowanie decyzji i profilowanie — jeżeli administrator stosuje profilowanie lub zautomatyzowane decyzje — informacja o tym fakcie, logice i skutkach.
Art. 13 a art. 14 — różnice w wymaganych elementach
Art. 14 zawiera kilka dodatkowych elementów w stosunku do art. 13:
- źródło danych — skąd administrator pozyskał dane osoby (z jakiego rejestru, od jakiego podmiotu),
- kategorie danych — jakie rodzaje danych osobowych są przetwarzane.
Jednocześnie art. 14 nie wymaga informacji o „wymogu podania danych” (bo dane nie były podawane bezpośrednio przez osobę).
Forma i moment przekazania klauzuli
RODO nie narzuca konkretnej formy klauzuli informacyjnej — może być papierowa, elektroniczna, werbalna (choć ta ostatnia trudna do udowodnienia). Kluczowe jest żeby była:
Zrozumiała — napisana prostym językiem, bez żargonu prawnego, dostosowana do odbiorcy (szczególnie gdy odbiorcami mogą być dzieci).
Łatwo dostępna — umieszczona w miejscu lub momencie w którym zbierane są dane, nie ukryta w regulaminie.
Kompletna — zawierająca wszystkie wymagane elementy.
Aktualna — odzwierciedlająca rzeczywiste przetwarzanie, a nie ogólny szablon.
Dopuszczalne jest stosowanie warstwowego obowiązku informacyjnego — krótka, skrócona wersja przy zbieraniu danych (zawierająca najważniejsze elementy) z odesłaniem do pełnej klauzuli w polityce prywatności. Warunkiem jest że skrócona wersja faktycznie zawiera kluczowe informacje — cel, administrator, podstawa prawna — a nie tylko link do pełnego dokumentu.
Najczęstsze błędy w klauzulach informacyjnych
Klauzula skopiowana z internetu, niedopasowana do organizacji. Klauzula musi opisywać rzeczywiste przetwarzanie danych przez konkretnego administratora. Kopiowanie cudzych klauzul bez dostosowania to jedno z najczęstszych naruszeń wykrywanych przez UODO.
Nieokreślony lub zbyt ogólny cel przetwarzania. „Realizacja celów statutowych”, „obsługa klientów”, „cele marketingowe” — bez uszczegółowienia nie spełniają wymogu konkretności.
Brak podstawy prawnej lub błędna podstawa. Wskazanie „na podstawie RODO” bez podania konkretnego przepisu art. 6, albo wskazanie zgody jako podstawy gdy faktycznie stosuje się uzasadniony interes — lub odwrotnie.
Nieokreślony okres przechowywania danych. „Dane będą przechowywane przez czas niezbędny” bez żadnego doprecyzowania nie spełnia wymogu RODO.
Brak informacji o przekazywaniu danych do systemów SaaS działających poza EOG. Korzystanie z systemów CRM, e-mail marketing, HR lub chmurowych hostowanych przez podmioty spoza EOG (np. USA) wymaga wskazania tego w klauzuli informacyjnej.
Brak informacji o profilowaniu. Jeżeli administrator profiluje odbiorców (np. segmentacja klientów, scoring kredytowy, personalizacja treści) — musi to wskazać w klauzuli.
Realizacja obowiązku informacyjnego wyłącznie przez link do polityki prywatności. Sam link do polityki prywatności bez przekazania choćby podstawowych informacji w momencie zbierania danych może być niewystarczający.
Klauzula informacyjna a rejestr czynności przetwarzania
Klauzula informacyjna powinna być spójna z rejestrem czynności przetwarzania. Jeżeli w rejestrze wskazano jako podstawę prawną uzasadniony interes, a klauzula informacyjna wskazuje zgodę — jest to niespójność, która podczas kontroli UODO będzie traktowana jako naruszenie zasady rozliczalności. Rejestr i klauzule powinny wzajemnie się potwierdzać.
Podsumowanie
Klauzula informacyjna RODO to nie formalność — to dokument który musi rzetelnie opisywać rzeczywiste przetwarzanie danych przez konkretnego administratora. Powinna być kompletna, zrozumiała i aktualna. Wzór pobrany z internetu, niedostosowany do specyfiki organizacji, nie spełnia wymogów RODO i nie chroni administratora podczas kontroli.
Kluczowe zasady: art. 13 stosuje się gdy dane zbierane są od osoby, art. 14 gdy z innych źródeł; klauzula musi zawierać wszystkie elementy z art. 13/14; cel przetwarzania musi być konkretny; okres przechowywania musi być określony; klauzula musi być spójna z rejestrem czynności przetwarzania.
FAQ
Nie — to dwa odrębne dokumenty realizujące różne funkcje. Klauzula informacyjna realizuje obowiązek przejrzystości (art. 13/14 RODO) i musi być przekazana niezależnie od podstawy prawnej przetwarzania. Zgoda to odrębna podstawa prawna przetwarzania — wymagana wyłącznie gdy administrator ją stosuje.
Przy zbieraniu danych bezpośrednio od osoby (art. 13) — w momencie zbierania danych lub jeszcze przed. Przy danych pozyskanych z innych źródeł (art. 14) — w ciągu miesiąca od pozyskania lub przy pierwszym kontakcie.
Polityka prywatności może być nośnikiem klauzuli informacyjnej dla użytkowników strony. Jednak przy każdym formularzu zbierania danych należy aktywnie poinformować o przetwarzaniu — samo umieszczenie polityki na stronie i oczekiwanie że użytkownik ją przeczyta może być niewystarczające.
Nie — przepisy nie wymagają podpisu. Administrator musi jednak być w stanie wykazać że klauzula faktycznie dotarła do osoby (zasada rozliczalności). Potwierdzenie wysłania e-mailem, zaznaczenie checkboxa „zapoznałem się z klauzulą informacyjną” lub podpis na dokumencie papierowym — to przykłady dokumentowania przekazania informacji.
Zaktualizować ją i ponownie przekazać osobom, których dane są przetwarzane — jeżeli zmiana jest istotna (np. nowy cel przetwarzania, nowy odbiorca danych, zmiana okresu retencji). Aktualizacja wyłącznie dokumentu bez poinformowania osób nie jest wystarczająca.
Prowadź spójną dokumentację RODO — klauzule informacyjne zgodne z rejestrem czynności
iGDPR łączy rejestr czynności przetwarzania z dokumentacją organizacyjną — dzięki czemu klauzule informacyjne, podstawy prawne i okresy retencji są zawsze spójne. Sprawdź jak to działa w praktyce.
Testuj teraz — 21 dni bezpłatnie
