Klauzule RODO

erodoDnia 24 maja 2016 r. weszło w życie Rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej „ogólne rozporządzenie o ochronie danych”). Będzie ono jednak miało zastosowanie bezpośrednio we wszystkich państwach członkowskich dopiero od 25 maja 2018 r.

Dlaczego ustawodawca postanowił o 2 letnim vacatio legis ogólnego rozporządzenia o ochronie danych? Nowe przepisy zmienią bowiem w sposób znaczący dotychczasowe podejście do ochrony danych. Ustawodawca zdecydował się dać organizacjom przetwarzającym dane osobowe 2 lata na dostosowanie i wdrożenie wytycznych unijnego rozporządzenia. Już teraz mówi się o reformie przepisów ochrony danych osobowych. Organizacje będą bowiem musiały przedefiniować podejście do bezpieczeństwa informacji.

W szczególności będą one zobligowane do oszacowania ryzyka naruszenia praw lub wolności osób, których dane dotyczą w kontekście dokonywanych operacji przetwarzania. W zależności od wartości ryzyka będą zobligowane dostosowywać odpowiednie zabezpieczenia bądź godzić się z ewentualnością nałożenia na takie podmioty administracyjnej kary pieniężnej. Nowe zadania czekają także administratora bezpieczeństwa informacji, który na kanwie nowych przepisów będzie tytułowany inspektorem ochrony danych. Nowe prawa zostały przyznane także osobom, których dane dotyczą. Nadto nałożono nowe oraz rozszerzono dotychczasowe obowiązki administratorów danych. Jednym z takich obowiązków jest tzw. obowiązek informacyjny, który został znacznie rozbudowany. Obowiązek ten stanowi, iż każdy administrator danych osobowych, który zbiera dane osobowe jest zobligowany do podania osobie, której dane dotyczą szeregu informacji wskazanych w przepisach.  

Poniżej zostały zaprezentowane treści przykładowych klauzul zgody na przetwarzanie danych osobowych w kontekście Towarzystwa Ubezpieczeń, które zawierają informacje jakie administrator jest aktualnie zobligowany podać podczas pozyskiwania danych osobowych. O ile bowiem treści zgód, co do zasady nie powinny ulec zmianie o tyle klauzule informacyjne (w zależności od organizacji) mogą przybrać na objętości. Wzór ostatniej z klauzul informacyjnych uwzględnia wszystkie zmiany jakie zajdą po wejściu w życie unijnego rozporządzenia.

Klauzula zgody na przetwarzanie danych osobowych dla przykładowego Towarzystwa Ubezpieczeń Wzajemnych OBECNIE (druk zgłoszenia szkody):

„Wyrażam zgodę na przetwarzanie przez Towarzystwo Ubezpieczeń Wzajemnych ABC z siedzibą w Warszawie, ul. ABC 2, 00-001 Warszawa, moich danych osobowych zawartych w formularzu zgłoszenia szkody w celu i zakresie niezbędnym do likwidacji tej szkody.”

Klauzula zgody na przetwarzanie danych osobowych dla przykładowego Towarzystwa Ubezpieczeń Wzajemnych po 25 maja 2018 r.:  (druk zgłoszenia szkody):

„Wyrażam zgodę na przetwarzanie przez Towarzystwo Ubezpieczeń Wzajemnych ABC z siedzibą w Warszawie, ul. ABC 2, 00-001 Warszawa, moich danych osobowych zawartych w formularzu zgłoszenia szkody w celu i zakresie niezbędnym do likwidacji tej szkody.”

Klauzula informacyjna dla przykładowego Towarzystwa Ubezpieczeń OBECNIE (druk zgłoszenia szkody):

„Towarzystwo Ubezpieczeń ABC z siedzibą w Warszawie ul. ABC 2, 00-001 Warszawa, jako administrator danych osobowych, informują Pana/ Panią, iż:

  • podanie danych jest dobrowolne ale niezbędne w celu likwidacji szkody;
  • przysługuje Panu/Pani prawo wglądu do treści swoich danych osobowych i ich poprawiania ;
  • dane mogą być udostępniane przez Towarzystwo podmiotom upoważnionym  do uzyskania informacji na podstawie przepisów ustawy z dnia 11 września 2015 r. (Dz.U. z 2015 r. poz. 1844) o działalności ubezpieczeniowej i reasekuracyjnej „

Przejęcie funkcji IOD

Klauzula informacyjna dla przykładowego Towarzystwa Ubezpieczeń po 25 maja 2018 r.:

„Towarzystwo Ubezpieczeń ABC z siedziba w Warszawie ul. ABC 2, 00-001 Warszaw, jako administrator danych osobowych, informują Pana/ Panią, iż:

  • podanie danych jest dobrowolne ale niezbędne w celu likwidacji szkody;
  • posiada Pani/Pan prawo dostępu do treści swoich danych i ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do przenoszenia danych, prawo do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania;
  • dane mogą być udostępniane przez Towarzystwo podmiotom upoważnionym  do uzyskania informacji na podstawie przepisów ustawy z dnia 11 września 2015 r. (Dz.U. z 2015 r. poz. 1844) o działalności ubezpieczeniowej i reasekuracyjnej;
  • podane dane będą przetwarzane na podstawie art. 6 ust. 1 pkt a) i zgodnie z treścią ogólnego rozporządzenia o ochronie danych.;
  • inspektorem ochrony danych w Towarzystwie jest Pan Jan Kowalski adres e-mail j.kowalski@abc-ubezpieczenia.pl;
  • dane osobowe będą przechowywane przez okres niezbędny do zakończenia postepowania likwidacyjnego;
  • ma Pan/Pani prawo wniesienia skargi do GIODO gdy uzna Pani/Pan, iż przetwarzanie danych osobowych Pani/Pana dotyczących narusza przepisy ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 r.;”

KLAUZULA INFORMACYJNA – WZÓR OGÓLNY

Zgodnie z art. 13 ust. 1 i ust. 2 ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 r. informuję, iż:

1) administratorem Pani/Pana danych osobowych jest … (*nazwa ADO) z siedzibą w … (*adres) (*dodatkowo należy podać dane przedstawiciela jeżeli istnieje);

2) inspektorem ochrony danych w … (*nazwa ADO) jest Pan/Pani (*imię i nazwisko inspektora) … (*e-mail lub inne dane kontaktowe) … ;

3) Pani/Pana dane osobowe przetwarzane będą w celu … (*należy podać cel przetwarzania) na podstawie … (*należy podać podstawę prawną przetwarzania np. art. 6 ust 1 pkt a/b/c/d/e/f. *Przy podpunkcie f należy wskazać uzasadniony interes ADO lub strony trzeciej);

4) odbiorcą Pani/Pana danych osobowych będą … (*można wymienić kategorię odbiorców o ile istnieją);

5) Pani/Pana dane osobowe będą przekazywane do państwa trzeciego/organizacji międzynarodowej na podstawie:

*wybrać odpowiednią podstawę:

  1. Na podstawie decyzji Komisji Europejskie stwierdzającej odpowiedni stopień ochrony … (*wskazać odpowiednią decyzję)
  2. W tym zakresie nie został stwierdzony przez Komisję Europejską odpowiedni stopień ochrony w drodze decyzji niemniej dane będą odpowiednio zabezpieczone za pomocą:
a) prawnie wiążącego i egzekwowalnego instrumentu między organami lub podmiotami publicznymi w postaci …(*wskazać jakiego);
b) wiążących reguł korporacyjnych … (*wskazać jakie) zatwierdzonych przez GIODO;
c) standardowych klauzul ochrony danych przyjętych przez Komisję Europejską … (*wskazać jakie);
d) standardowych klauzul ochrony danych przyjętych przez GIODO i zatwierdzonych przez Komisję Europejską (* wskazać jakie);
e) zatwierdzonego przez GIODO kodeksu postępowania (*wskazać jakiego);
f) certyfikatu ochrony danych osobowych (*wskazać jakiego);
g) zezwolenia GIODO na klauzule umowne … (*klauzule umowne między ADO lub procesorem a ADO, procesorem lub odbiorcą danych w państwie trzecim lub organizacji międzynarodowej);
h) zezwolenia GIODO na postanowienia administracyjne między organami lub podmiotami publicznymi.

Strefa RODO

Może Pan/ Pani uzyskać kopię danych osobowych przekazywanych do państwa trzeciego … (*wskazać sposób uzyskania kopii danych lub miejsce udostępnienia danych)

6) Pani/Pana dane osobowe będą przechowywane przez okres … (*jeżeli nie ma możliwości wskazania okresu przechowywania należy podać kryterium ustalania tego okresu np. do czasu wyłonienia zwycięscy konkursu, do czasu zakończenia rekrutacji itd.);

7) posiada Pani/Pan prawo dostępu do treści swoich danych oraz prawo ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do przenoszenia danych, prawo wniesienia sprzeciwu, prawo do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania (*jeżeli przetwarzanie odbywa się na podstawie zgody), którego dokonano na podstawie zgody przed jej cofnięciem;

8) ma Pan/Pani prawo wniesienia skargi do GIODO gdy uzna Pani/Pan, iż przetwarzanie danych osobowych Pani/Pana dotyczących narusza przepisy ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 r.;

9) podanie przez Pana/Panią danych osobowych jest … (*wybrać odpowiednio: wymogiem ustawowym/warunkiem umownym/warunkiem zawarcia umowy). Jest Pan/Pani zobowiązana do ich podania a konsekwencją niepodania danych osobowych będzie … (* jeżeli osoba, której dane dotyczą, jest zobowiązana do ich podania należy wskazać ewentualne konsekwencje niepodania danych);

10) Pani/Pana dane będą przetwarzane w sposób zautomatyzowany w tym również w formie profilowania. Zautomatyzowane podejmowanie decyzji będzie odbywało się na zasadach … , konsekwencją takiego przetwarzania będzie … (*należy wskazać istotne informacje o zasadach zautomatyzowanego podejmowania decyzji oraz informacje o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą. Np. w jaki sposób będą oceniane czynniki osobowe osoby fizycznej, natomiast przykładową konsekwencją takiego przetwarzania może być automatyczne odrzucenie elektronicznego wniosku kredytowego czy elektroniczne metody rekrutacji bez interwencji ludzkiej).


Najpopularniejsze

Najnowsze


Adw. Anna Dmochowska
14 października 2016
Biuletyn
informacyjny
Biuletyn ODO 24

Raz w miesiącu wysyłamy subiektywny przegląd najważniejszych informacji i wydarzeń oraz naszych promocji i nowości. Wystarczy poniżej podać swój adres e-mail.

Zobacz poprzednie wydanie.