Klauzule RODO – przykładowa treść

01.10.2018
fot. fizkes:shutterstock.com
Udostępnij:

Jednym z najważniejszych obowiązków każdego administratora danych osobowych jest obowiązek informacyjny. Chodzi o informowanie osób, których dane osobowe były zbierane, o tożsamości administratora danych czy celu przetwarzania tych danych. Klauzul takich wymagano już na gruncie dotychczasowej ustawy o ochronie danych osobowych. Jednak zakres obowiązku informacyjnego na gruncie stosowanych od 25 maja 2018 r. przepisów Rozporządzenie RODO znacznie rozszerzono o tzw. klauzule RODO. W jakich sytuacjach i o czym dokładnie powinni informować administratorzy danych osobowych w aktualnym stanie prawnym?

Fotograf administratorem danych

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (tzw. RODO) najwięcej zmieniło właśnie w odniesieniu do obowiązków informacyjnych administratorów danych osobowych. W rozumieniu RODO administratorem danych osobowych jest każdy, kto samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Obowiązki informacyjne ciążą więc na naprawdę wielu podmiotach. Takim administratorem jest na przykład zawodowy fotograf, który wykonując zdjęcia zbiera dane osobowe w postaci wizerunku. Następnie decyduje on, czy zdjęcie to zapisać na dysku komputera i w jakim celu je wykorzystać. Kiedy więc i o czym powinni informować klientów fotografowie? Które klauzule RODO ich obowiązują?

Nowe przepisy dość dokładnie określają moment, w którym należy dopełnić obowiązku informacyjnego. Trzeba jednak rozgraniczyć pierwotne i wtórne gromadzenie danych osobowych, aby dobrze ustalić ten moment. Pierwotne gromadzenie danych osobowych występuje wtedy, gdy dane zebrano bezpośrednio od osoby, której dotyczą. Przykładowo wtedy, gdy klient umawia się z fotografem na wykonanie sesji. I sam poda mu swoje imię, nazwisko i numer telefonu, a następnie pozwoli utrwalić swój wizerunek na zdjęciu. Pierwotne gromadzenie danych osobowych to również sytuacja, gdy klientem jest rodzic fotografowanego dziecka. Mimo, iż dane dziecka fotograf otrzymał od rodzica, a nie od samego dziecka, którego dane osobowe dotyczą. Wtórne gromadzenie danych osobowych polega właśnie na pozyskiwaniu ich ze źródeł innych niż osoba, której dotyczą. Przykładowo źródłem danych może być zakup bazy marketingowej czy zdjęcia ze stocku.

Pierwotne gromadzenie danych

Jeśli dochodzi do pierwotnego gromadzenia danych osobowych, to administrator powinien spełnić obowiązek informacyjny już w momencie gromadzenia danych. W praktyce obowiązek ten jest najczęściej realizowany w ten sposób, że przy wprowadzaniu przez klienta danych do formularza internetowego, jednocześnie musi on zapoznać się z klauzulą informacyjną i fakt ten potwierdzić klikając w odpowiedni check box. Administrator danych musi bowiem wykazać, że dopełnił obowiązków informacyjnych. Klauzule RODO można też zamieścić w stopce maila. Jeśli klient przychodzi bezpośrednio „z ulicy” jej wydruk można wręczyć za pokwitowaniem jeszcze przed wykonaniem usługi.

Wtórne gromadzenie danych osobowych

W razie wtórnego gromadzenia danych moment, kiedy należy poinformować o przetwarzaniu zależy od tego, w jakim celu pozyskujemy dane. Co do zasady, obowiązek informacyjny należy wykonać „w rozsądnym terminie”. Nie później jednak niż w ciągu miesiąca od pozyskania. Jeśli danych używamy do komunikacji z osobą, której dotyczą, to obowiązku należy dopełnić najpóźniej przy pierwszym kontakcie. Natomiast w przypadku, gdy dane ujawniamy innemu odbiorcy (np. baza danych zostanie sprzedana dalej) – najpóźniej przy pierwszym ich ujawnieniu.

Co bardzo istotne, zmiana przekazanych informacji pociąga za sobą konieczność ich aktualizacji. Zawsze więc, gdy administrator planuje przetwarzać dane osobowe w celu innym niż ten, w którym je zgromadzono, to przed dokonaniem dalszego przetwarzania należy o tym poinformować osobę, której dane dotyczą.

Przepisy RODO znacznie rozszerzyły zakres informacji, jakie administrator danych osobowych powinien przekazać osobie, której dane dotyczą. Ma to oczywiście wpływ na długość stosowanych klauzul informacyjnych. Ponieważ fotografowie najczęściej pierwotnie gromadzą dane osobowe, to dalej skupimy się tylko na takim przypadku. Poniżej zamieszczamy klauzule RODO, które należy przekazać następujące dane osobie, której one dotyczą, na gruncie art. 13 ust. 1 i 2 RODO.

Lista klauzul RODO

  1. tożsamość i dane kontaktowe administratora
  2. gdy ma to zastosowanie – tożsamość i dane kontaktowe przedstawiciela administratora oraz inspektora ochrony danych
  3. cele przetwarzania danych osobowych
  4. podstawy prawne przetwarzania
  5. jeżeli przetwarzanie odbywa się na podstawie prawnie uzasadnionych interesów administratora lub strony trzeciej – te realizowane interesy
  6. informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, o ile istnieją
  7. informacje czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych
  8. okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu
  9. informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych
  10. jeżeli przetwarzanie odbywa się na podstawie zgody, informacje o prawie do jej cofnięcia w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania
  11. informacje o prawie wniesienia skargi do organu nadzorczego
  12. gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz warunkach tego przekazania
  13. informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu.

Wiele z tych informacji udostępnia się tylko, gdy spełnione są pewne dodatkowe warunki. I tak, administrator nie musi informować o tożsamości i danych swojego przedstawiciela czy inspektora danych osobowych, jeśli takowego nie powołał. Jednak nawet po usunięciu z powyższej listy obowiązków warunkowych, wciąż jest ona bardzo obszerna. Dlatego dla ułatwienia poniżej przedstawiamy podstawową klauzulę informacyjną, która będzie miała najczęstsze zastosowanie w przypadku zawodowych fotografów.

Informacja o przetwarzaniu danych – wzór

Administratorem Pani/a danych osobowych jest [—] z siedzibą w [—], e-mail: [—]. Dane osobowe przetwarzane będą w celu realizacji umowy zlecenia sesji fotograficznej wraz z obróbką na podstawie art. 6 ust. 1 pkt b Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE i przechowywane do momentu wykonania ww. celu przetwarzania. Podanie danych osobowych jest dobrowolne, jednakże ich niepodanie uniemożliwi wykonanie umowy.

Ma Pan/i prawo dostępu do swoich danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, do wniesienia sprzeciwu wobec dalszego przetwarzania oraz prawo do przenoszenia danych. Przysługuje Pani/u również prawo wniesienia skargi do organu nadzorczego.

Pani/a dane osobowe nie będą uczestniczyły w procesie zautomatyzowanego podejmowania decyzji, w tym profilowania.


Autor tekstu: Magdalena Stasiak, prawnik
kontakt: magdalena_stasiak@outlook.com

Czytaj też

Nie RODO fotograf żyje

fot. Zapp2Photo:shutterstock.com

Odkąd w maju 2018 roku stosowane zaczęły być przepisy Rozporządzenia RODO, uwaga wszystkich skupiła się na tym,...

W czasach RODO – kiedy fotograf musi mieć zgodę?

fot. fizkes:shutterstock.com

Mające zastosowanie od dnia 25 maja 2018 roku rozporządzenie o ochronie danych osobowych wywołało mnóstwo wątpliwości wśród...

/ / / /

Obowiązki administratorów danych według RODO – nowe?

14.06.2018
fot. vchal:shutterstock.com

Administratorem danych osobowych jest każdy podmiot, który ustala cele i sposoby przetwarzania danych osobowych. Tak szeroka definicja...

Dodaj komentarz