Praktycznie o ochronie danych osobowych

Klauzule RODO. Wzory klauzul z praktycznym komentarzem

 

  • Książka została przygotowana z myślą o podmiotach, które nie dokonały jeszcze wdrożenia RODO
    (Rozporządzenie o ochronie danych osobowych) i potrzebują gotowych rozwiązań lub
    chcą zweryfikować  poprawność lub ergonomikę stosowanych przez siebie rozwiązań dotyczących
    spełniania  obowiązków informacyjnych, stosowanych podstaw prawnych i konieczności pozyskiwania
    zgody.
  • W książce Autorka daje Czytelnikowi gotowe do stosowania klauzule informacyjne zawierające wykaz
    celów przetwarzania wraz z podstawą prawną oraz okresem retencji dla każdego z celów
    .
  • Publikacja zawiera m.in.: gotowe wzory klauzul informacyjnych oraz klauzul zgód z różnych
    obszarów przetwarzania do zastosowania przez przedsiębiorców, propozycje różnych modeli
    stosowania podstaw prawnych do przetwarzania danych osobowych, 
    wskazówki, na co zwrócić szczególną uwagę przy dostosowywaniu wzorów klauzul do
    indywidualnych potrzeb przedsiębiorcy, praktyczny komentarz do każdego wzoru z informacjami dotyczącymi
    zastosowanych rozwiązań w zakresie stosowania RODO.

 

 

Fragment tekstu z poradnika:

 

Rozdział I. Obowiązek informacyjny

1. Cel wprowadzenia obowiązku informacyjnego

 

W momencie pozyskiwania danych osobowych administrator jest obowiązany spełnić obowiązek informacyjny, czyli poinformować osobę, której dane dotyczą, o tym, kim jest, w jakich celach będzie przetwarzał pozyskane dane, na jakich podstawach prawnych oraz o szeregu innych informacji związanych z przetwarzaniem tych danych.

 

Obowiązek informacyjny ma na celu umożliwienie osobie, której dane dotyczą, realizację jej praw, w szczególności kontrolę nad przetwarzaniem jej danych osobowych oraz możliwość zweryfikowania, czy administrator danych pozyskał je z legalnego źródła oraz czy dysponuje ważną podstawą prawną do przetwarzania tych danych, jaki zakres danych przetwarza oraz w jakich celach, jak również zweryfikowania wszelkich innych okoliczności przetwarzania.

 

Często osoba, której dane dotyczą, nie ma zastrzeżeń co do samego faktu przetwarzania jej danych osobowych, ale może kwestionować zakres tych danych, twierdząc, że jest on zbyt szeroki w odniesieniu do celów, które wskazał administrator (tj. zakres niezgodny z zasadą minimalizacji danych), lub że okres retencji tych danych jest zbyt długi. Osoba może też weryfikować, czy administrator przetwarza jej dane osobowe wyłącznie w celach wskazanych przez administratora w obowiązku informacyjnym, czy może jednak przetwarza dane w innych celach, o których osoba ta nie została poinformowana lub które będzie kwestionować.



2. Termin realizacji obowiązku informacyjnego

 

Obowiązek informacyjny aktualizuje się w momencie rozpoczęcia przetwarzania danych osobowych, niezależnie od tego, czy dane osobowe zostały pozyskane bezpośrednio od tej osoby, od innej osoby, firmy, podmiotu, czy zostały pozyskane z informacji ogólnodostępnych. Dla samego obowiązku informacyjnego nie ma znaczenia, na jakiej podstawie prawnej następuje przetwarzanie tych danych, w tym, czy dane osobowe są przetwarzane w celu realizacji obowiązku wynikającego z przepisów prawa lub czy administrator pozyskuje zgodę na ich przetwarzanie. Nawet w sytuacji, gdy administrator przetwarza dane osobowe, ponieważ jest do tego zobligowany – i nie ulega wątpliwości, że ma prawo, a nawet obowiązek te dane przetwarzać – co do zasady jest obowiązany spełnić obowiązek informacyjny.

 

Rozporządzenie 2016/679 wskazuje termin do spełnienia obowiązku informacyjnego przez administratora. Obowiązek informacyjny powinien zostać spełniony:

1) w przypadku pozyskiwania danych osobowych od osoby, której dane dotyczą – w momencie pozyskiwania tych danych (art. 13 ust. 1 RODO);

2) w przypadku pozyskiwania danych z innych źródeł niż osoba, której dane dotyczą – w rozsądnym terminie, jednak nie później niż w ciągu miesiąca od ich pozyskania (art. 14 ust. 3 lit. a RODO). Jeżeli jednak pozyskane dane mają być stosowane do komunikacji z osobą, której dotyczą – nie później niż przy pierwszym kontakcie, a jeżeli dane mają być ujawniane innym odbiorcom – najpóźniej przy ich pierwszym ujawnieniu (art. 14 ust. 3 lit. b, c RODO);

3) w przypadku zmiany lub dodania celów przetwarzania – przed rozpoczęciem przetwarzania w nowych celach (art. 14 ust. 4 RODO).

 

Czasami za obowiązek informacyjny jest uznawane prawo dostępu do informacji, realizowane na wniosek osoby, której dane dotyczą, na podstawie art. 15 RODO. W niniejszym opracowaniu obowiązki informacyjne oraz prawo dostępu do informacji zostały jednak uznane za różne obowiązki, mimo że w zakresie udzielanych informacji są zbieżne.

 

Kluczowe jest źródło powstania obowiązku: przy obowiązku informacyjnym źródłem jego powstania jest fakt rozpoczęcia przetwarzania danych osobowych, i administrator jest obowiązany dopełnić tego obowiązku z własnej inicjatywy, a przy prawie dostępu do informacji o przetwarzaniu źródłem obowiązku jest wniosek osoby, której dane dotyczą.

 

W przypadku wniosku osoby, której dane dotyczą, administrator jest obowiązany do udzielenia informacji bez zbędnej zwłoki, ale nie później niż w ciągu miesiąca od otrzymania wniosku, przy czym RODO przewiduje możliwość przedłużenia tego terminu do trzech miesięcy, jeżeli zachodzą okoliczności do wydłużenia terminu realizacji wniosku osoby, czyli ze względu na:

1) skomplikowany charakter żądania,

2) liczbę żądań.

 

Administrator może również odmówić realizacji wniosku osoby, której dane dotyczą, lub pobrać rozsądną opłatę uwzględniającą administracyjne koszty udzielenia informacji, prowadzenia komunikacji lub podjęcia żądanych działań, jeżeli żądanie jest ewidentnie nieuzasadnione lub nadmierne, w szczególności ze względu na swój ustawiczny charakter. Obowiązek wykazania, że zaszedł warunek do odmowy realizacji wniosku lub nałożenia opłaty, spoczywa na administratorze. W każdym przypadku niezrealizowania wniosku w terminie miesiąca administrator jest obowiązany poinformować osobę wnioskującą o podejmowanych działaniach, ich przyczynach oraz o prawie do złożenia skargi do PUODO (art. 12 ust. 3–5 RODO).

 

 

Zobacz także:

 


Więcej o ochronie danych osobowych w module Informacja publiczna, bezpieczeństwo publiczne >>




 

Przetestuj System Legalis

 
Zadzwoń:
22 311 22 22
Koszt połączenia wg taryfy operatora.
lub zostaw nam swój numer telefonu
i adres e-mail, a skontaktujemy się z Tobą:

W polu numeru telefonu należy stosować wyłącznie cyfry (min. 9).


Wyślij

Wydawnictwo C.H.Beck
ul. Bonifraterska 17
00-203 Warszawa
Tel: 22 311 22 22
E-mail: legalis@beck.pl
NIP: 522-010-50-28, KRS: 0000155734
Sąd Rejonowy dla miasta stołecznego Warszawy
w Warszawie Kapitał Spółki: 88 000 zł