Jak udokumentować spełnienie obowiązku informacyjnego?

Obowiązek informacyjny nałożony na administratorów danych jest jednym z podstawowych obowiązków, jakie wynikają z RODO. W momencie pozyskania danych osobowych administrator danych powinien przekazać osobie, której dane dotyczą, szczegółowe informacje o celach zbierania i wykorzystania danych osobowych, a także szereg innych informacji określonych w art. 13 i 14 RODO.

Dokumentowanie spełniania obowiązku informacyjnego zależy przede wszystkim od sposobu i formy zbierania danych osobowych. Ma to znaczenie w szczególności, gdy dane są zbieranie elektronicznie, za pośrednictwem strony internetowej lub aplikacji mobilnej. W takiej sytuacji konieczne jest dokładne informowanie użytkowników o stosowanych sposobach zbierania i przetwarzania danych osobowych. Informacje takie powinny być zawarte w polityce prywatności, z którą użytkownik powinien móc się zapoznać przed podaniem swoich danych. Admi­nistrator danych powinien zadbać o to, żeby pod formularzem, za pomocą którego użytkownik podaje swoje dane osobowe, znalazł się link do polityki prywatności lub klauzuli informacyjnej.
 

Wskazówka

Dokumentowanie spełnienia obowiązku informacyjnego, w przypadku zbierania danych osobowych w „tradycyjny” sposób, może przybrać różne formy.

Klauzulę informacyjną można:

  • wywiesić przed wejściem do budynku (np. pod znakiem informującym, że teren czy budynek jest monitorowany), na drzwiach wejściowych lub w recepcji,
  • możną ją załączać do formularzy podpisywanych przez klienta (to rozwiązanie sprawdza się zwłaszcza w sytuacjach, gdy przekazując dane, klient musi wypełnić dodatkowe formularze, np. w podmiotach leczniczych),
  • klauzula informacyjna może być też załącznikiem do umowy zawieranej z osobą, której dane dotyczą.

Bez względu na wybór formy przekazania klauzuli informacyjnej konieczne jest jednak potwierdzenie, że obowiązek informacyjny rzeczywiście został spełniony.

Nie trzeba żądać podpisania klauzuli informacyjnej przez osobę, od której zbieramy dane, ale można np. opisać w procedurach lub polityce ochrony danych, że klauzula informacyjna jest wywieszona w recepcji albo że klient otrzymuje „do ręki” taką klauzulę.

Udokumentowaniem spełnienia obowiązku informacyjnego jest też potwierdzenie wysłania pocztą tej klauzuli w wersji papierowej lub mailem.