Klauzule RODO – udostępniamy wzory

W polskiej praktyce pod pojęciem „klauzuli RODO” najczęściej rozumie się klauzulę informacyjną, czyli obowiązkowy komunikat przekazywany osobom, których dane są przetwarzane.

W zależności od sposobu pozyskania danych, obowiązek ten realizuje się na podstawie art. 13 RODO (dane pozyskiwane bezpośrednio) albo art. 14 RODO (dane pozyskiwane z innych źródeł). Termin ten bywa również stosowany w odniesieniu do klauzul zgody, które stanowią jedną z podstaw prawnych przetwarzania danych osobowych.

W niniejszym opracowaniu:

• wyjaśniamy, czym różnią się klauzule z art. 13 i art. 14 RODO,
• wskazujemy jak prawidłowo je konstruować, zgodnie z aktualnymi wytycznymi i orzecznictwem,
• oraz udostępniamy praktyczne wzory klauzul RODO, które można dostosować do konkretnych procesów przetwarzania danych.

Tekst ma charakter praktycznego przewodnika – bez zbędnej teorii, za to z naciskiem na poprawność prawną, przejrzystość komunikacji i realne oczekiwania organu nadzorczego.

Klauzula informacyjna RODO

Klauzula informacyjna RODO to zwięzły dokument, który zgodnie z założeniem ma być łatwy w odbiorze – przejrzysty, napisany jasnym i prostym językiem. Jest przekazywany osobie, której dane dotyczą:

• przy zbieraniu danych bezpośrednio od tej osoby (art. 13 RODO),
• przy pozyskiwaniu danych z innych źródeł niż ta osoba (art. 14 RODO).

Zakres obowiązkowych informacji, jakie muszą zostać w przekazane w klauzuli, zależy właśnie od tego, w jaki sposób administrator pozyskuje dane – czy bezpośrednio od osoby, której te dane dotyczą, czy z innych źródeł. Klauzula informacyjna RODO buduje zaufanie: wyjaśnia zasady i cele przetwarzania danych, wskazuje odbiorców oraz uprzedza, jak długo dane będą wykorzystywane.

Klauzula z art. 13 RODO

Klauzula z art. 13 RODO to obowiązkowy zestaw informacji, które administrator danych musi przekazać osobie, od której zbiera dane, bezpośrednio przy ich pozyskiwaniu. Informacje te powinny mieć zwięzłą i przystępną formę, tak by osoba ta wiedziała, co będzie się działo z jej danymi i jakie prawa jej przysługują.

Klauzula z art. 13 RODO musi zawierać następujące informacje:

• tożsamość i dane kontaktowe administratora (np. nazwę firmy, adres, e-mail, telefon), a gdy ma to zastosowanie – także tożsamość i dane kontaktowe przedstawiciela administratora (dotyczy to wyłącznie administratorów niemających jednostki organizacyjnej w Unii Europejskiej),
• dane kontaktowe inspektora ochrony danych – jeśli jest wyznaczony (np. adres e-mail),
• cele i podstawę prawną przetwarzania (np. wykonanie umowy zawartej z podmiotem danych – zgodnie z art. 6 ust. 1 lit. b RODO),
• prawnie uzasadniony interes – jeśli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f RODO, czyli prawnie uzasadnionego interesu (administrator powinien skonkretyzować swój prawnie uzasadniony interes, np. dochodzenie roszczeń i obrona przed roszczeniami),
• okres przechowywania danych lub kryteria ustalenia tego okresu (np. dane pozyskane w ramach rekrutacji będą przechowywane do 3 miesięcy od zakończenia postępowania rekrutacyjnego),
• odbiorcy lub kategorie odbiorców danych (np. agencje i serwisy rekrutacyjne, dostawcy usług IT, systemów teleinformatycznych, usług hostingu),
• transfer danych do państw trzecich – gdy ma to zastosowanie (informacja powinna pozwolić ustalić, czy dane będą przekazywane poza Europejski Obszar Gospodarczy, a jeśli tak – to na podstawie jakich mechanizmów),
• prawa osób, których dane dotyczą – w tym prawo żądania dostępu do danych, sprostowania, usunięcia (prawo do bycia zapomnianym), ograniczenia przetwarzania, przenoszenia danych oraz sprzeciwu,​
• prawo do cofnięcia zgody w dowolnym momencie – jeśli przetwarzanie odbywa się na podstawie zgody (należy wskazać, że cofnięcie zgody nie wpływa na zgodność z prawem przetwarzania dokonanego przed jej wycofaniem),
• prawo wniesienia skargi do organu nadzorczego,
• informację o tym, czy podanie danych jest obowiązkowe – czy jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do podania tych danych i jakie są ewentualne konsekwencje ich niepodania, 
• informacje o zautomatyzowanym podejmowaniu decyzji, w tym profilowaniu, wywołującym skutki prawne lub podobnie istotnie wpływającym na osobę – jeśli przetwarzanie odbywa się w sposób zautomatyzowany (w takim przypadku należy także wyjaśnić logikę i konsekwencje takiego przetwarzania).

Klauzula z art. 13 RODO – wzór ogólny

Klauzula tego rodzaju powinna być dostarczona podmiotowi danych podczas pozyskiwania danych. Poniżej przedstawiamy ogólny wzór klauzuli informacyjnej z art. 13 RODO:

Zgodnie z art. 13 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, dalej: „RODO”) informujemy, że:

1. Administratorem Twoich danych osobowych jest …… [nazwa administratora] z siedzibą w …… [adres].
2. W sprawach związanych z ochroną danych osobowych można kontaktować się z naszym inspektorem ochrony danych …… [wskazać adres e-mail lub inne dane kontaktowe] oraz na adres siedziby administratora.
3. Twoje dane osobowe będą przetwarzane w celu …… [podać cel przetwarzania] na podstawie …… [podać podstawę prawną przetwarzania, np. art. 6 ust. 1 lit. f RODO; przy wskazaniu podstawy z art. 6 ust. 1 lit. f RODO dodatkowo wskazać uzasadniony interes administratora lub strony trzeciej].
4. Odbiorcami Twoich danych osobowych będą: …… [wskazać kategorie odbiorców albo konkretne podmioty].
5. Twoje dane osobowe będą przechowywane przez okres …… [jeśli nie ma możliwości wskazania konkretnego okresu – podać kryterium ustalania tego okresu, np. do czasu zakończenia rekrutacji].
6. W granicach wyznaczonych przez RODO przysługuje Ci prawo:

1. dostępu do swoich danych osobowych,
2. sprostowania swoich danych osobowych,
3. usunięcia swoich danych osobowych,
4. ograniczenia przetwarzania swoich danych osobowych,
5. cofnięcia w dowolnym momencie zgody na przetwarzanie danych osobowych przez …… [jeśli to możliwe – wskazać sposób, w jaki można cofnąć zgodę, przy czym cofnięcie zgody powinno być równie łatwe jak jej wyrażenie] – jeżeli przetwarzanie Twoich danych odbywa się na jej podstawie,
6. przenoszenia swoich danych osobowych.

7. W granicach wyznaczonych przez RODO przysługuje Ci także prawo wniesienia sprzeciwu wobec przetwarzania Twoich danych osobowych.
8. Jeśli uznasz, że przetwarzanie Twoich danych osobowych narusza przepisy RODO, przysługuje Ci prawo wniesienia skargi do organu nadzorczego, tj. Prezesa Urzędu Ochrony Danych Osobowych.
9. Podanie danych osobowych jest …… [wybrać odpowiednio: dobrowolne, wymogiem ustawowym, warunkiem wynikającym z zawartej umowy lub warunkiem zawarcia umowy]. W przypadku niepodania przez Ciebie danych osobowych …… [jeśli osoba, której dane dotyczą, jest zobowiązana do ich podania – wskazać ewentualne konsekwencje niepodania danych].
10. Twoje dane osobowe nie będą przekazywane poza terytorium Europejskiego Obszaru Gospodarczego ani do organizacji międzynarodowej.

[lub]

Twoje dane osobowe będą przekazywane poza terytorium Europejskiego Obszaru Gospodarczego lub do organizacji międzynarodowej [do wyboru]:

• na podstawie decyzji Komisji Europejskiej stwierdzającej odpowiedni stopień ochrony …… [wskazać odpowiednią decyzję].

[lub]

• mimo braku decyzji Komisji Europejskiej stwierdzającej odpowiedni stopień ochrony, przy czym dane będą odpowiednio zabezpieczone za pomocą …… [wskazać zabezpieczenia oraz informacje o sposobach uzyskania kopii zabezpieczeń lub o miejscu ich udostępnienia].

11. Twoje dane osobowe nie będą przetwarzane w sposób zautomatyzowany, w tym w formie profilowania, prowadzący do podjęcia decyzji wywołującej skutki prawne lub w podobny sposób istotnie wpływający na Twoją sytuację.

[lub]

Twoje dane będą przetwarzane w sposób zautomatyzowany, w tym również w formie profilowania. Zautomatyzowane podejmowanie decyzji będzie odbywało się na zasadach …… [podać zasady zautomatyzowanego podejmowania decyzji], a konsekwencją takiego przetwarzania będzie …… [wskazać istotne informacje o zasadach zautomatyzowanego podejmowania decyzji oraz o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą].

Klauzula z art. 14 RODO

Jeśli administrator pozyskuje dane osobowe z innych źródeł niż osoba, której dane dotyczą, klauzulę informacyjną formułuje się na podstawie art. 14 RODO. W odróżnieniu od sytuacji z art. 13 RODO obowiązek informacyjny, o którym mowa w art. 14 RODO, z oczywistych względów może być zrealizowany później, tj.:

• w rozsądnym terminie po pozyskaniu danych osobowych – najpóźniej w ciągu miesiąca,
• jeśli dane osobowe mają być wykorzystywane do komunikacji z osobą, której dotyczą – najpóźniej przy pierwszej takiej komunikacji,
• jeśli dane osobowe mają zostać ujawnione innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu.

Praktyczny kurs IOD
potwierdzi Twoje wysokie kompetencje

Przygotuj się do pełnienia funkcji inspektora ochrony danych. Zapraszamy!

WYBIERZ TERMIN

• kategorie odnośnych danych osobowych, czyli informację, jakie dane dotyczące podmiotu danych zostały pozyskane (np. „Dane, jakie pozyskaliśmy, to Twoje imię, nazwisko, stanowisko, służbowy adres e-mail, służbowy numer telefonu”),
• źródło pochodzenia danych osobowych, a gdy ma to zastosowanie – także informację, czy dane pochodzą ze źródeł publicznie dostępnych (np. „Twoje dane pozyskaliśmy od Twojego pracodawcy, a naszego kontrahenta, który udostępnił je nam na potrzeby bieżącej realizacji zawartej z nim umowy”).

Najważniejsze zasady tworzenia poprawnych klauzul informacyjnych

1. Przejrzystość i prosty język – informacje muszą być zwięzłe, przejrzyste, zrozumiałe i łatwo dostępne, a także sformułowane jasnym i prostym językiem,
2. Pełny zakres wymaganych informacji z art. 13 lub art. 14 RODO – klauzula musi obejmować wszystkie elementy wskazane w art. 13 lub art. 14 RODO, w tym m.in. tożsamość i dane kontaktowe administratora, cele i podstawy prawne przetwarzania, odbiorców danych, okres przechowywania, pouczenie o prawach.
3. Struktura warstwowa i dostosowanie kanału komunikacji – wytyczne Grupy Roboczej Art. 29 w sprawie przejrzystości dopuszczają podejście warstwowe w realizacji obowiązku informacyjnego. Oznacza to, że w pierwszej warstwie przekazuje się najważniejsze informacje (np. o administratorze, celach przetwarzania i prawach osoby, której dane dotyczą), a w kolejnych – pełną treść, np. po kliknięciu w „więcej”. Forma i kanał przekazania informacji (dokument papierowy, e‑mail, strona WWW, aplikacja mobilna) powinny być dostosowane do sytuacji, tak aby osoba realnie mogła mieć do nich dostęp w momencie pozyskania danych lub przed rozpoczęciem przetwarzania.
4. Aktualność i spójność ze stanem rzeczywistym – klauzula informacyjna musi odzwierciedlać faktyczne operacje przetwarzania. Administrator powinien jasno przekazywać wymagane informacje, zamiast powielać ogólne formułki nieprzystające do konkretnego procesu przetwarzania.

Przykłady decyzji Prezesa UODO dotyczące klauzul informacyjnych

• Decyzja ZSPR.421.3.2018 – jedna z pierwszych i najczęściej omawianych decyzji Prezesa UODO, w której nałożono administracyjną karę pieniężną m.in. za niewypełnienie obowiązku informacyjnego z art. 14 RODO wobec osób, których dane pozyskano z rejestrów publicznych (np. CEIDG).
• Decyzja DKE.523.18.2021 – w której nakazano uzupełnienie obowiązku informacyjnego w pełnym zakresie wynikającym z art. 14 RODO.
• Decyzja ZSPU.421.2.2018 – w której podkreślono konieczność zidentyfikowania i ujęcia w klauzuli informacji o wszystkich odbiorcach danych osobowych, a także konieczność jasnego określenia planowanego okresu przechowywania (lub kryteriów jego ustalenia) i sformułowania klauzuli prostym, zrozumiałym językiem – zgodnie z art. 12 RODO.

Klauzula zgody

Określenie „klauzula RODO” bywa utożsamiane z klauzulą zgody. Zgodnie z motywem 42 RODO, aby wyrażenie zgody było świadome, osoba, której dane dotyczą, powinna znać przynajmniej tożsamość administratora oraz zamierzone cele przetwarzania danych osobowych. Dlatego te elementy najlepiej zawrzeć wprost w treści zgody – tak jak w poniższych przykładach.

Zgoda na przyszłe rekrutacje

Wyrażam zgodę na przetwarzanie przez …… [nazwa i siedziba administratora] moich danych osobowych zawartych w CV oraz w dokumentach rekrutacyjnych w celu wykorzystania ich w przyszłych procesach rekrutacyjnych prowadzonych przez …… [nazwa administratora] przez okres …… [np. 12 miesięcy] od dnia wyrażenia zgody. Mam świadomość, że mogę wycofać tę zgodę w każdym momencie, co nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem.

 Zgoda na wykorzystywanie prywatnego numeru telefonu

Wyrażam zgodę na przetwarzanie przez mojego pracodawcę …… [nazwa i siedziba administratora] moich danych kontaktowych w postaci prywatnego numeru telefonu …… [numer telefonu] w celu kontaktowania się ze mną w sprawach służbowych. Mam świadomość, że mogę wycofać tę zgodę w każdym momencie, co nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem.

Aby taka zgoda spełniała warunki wynikające z RODO, musi być dobrowolna, czyli udzielona w sposób niewymuszony i bez manipulacji, w warunkach swobody decyzyjnej. Oznacza to, że pracownik może odmówić jej udzielenia bez żadnych negatywnych konsekwencji.

Uwaga! W relacji pracowniczej dobrowolność zgody bywa problematyczna ze względu na zależność pracownika od pracodawcy i nierównowagę sił. Pracownik zwykle nie ma pełnej swobody odmowy, ponieważ może obawiać się negatywnych konsekwencji. Zgoda na wykorzystywanie przez pracodawcę prywatnego numeru telefonu pracownika do kontaktu z nim w sprawach służbowych może stanowić podstawę przetwarzania tylko wtedy, gdy taki sposób kontaktu jest rzeczywiście opcjonalny, a brak zgody w żaden sposób nie wpływa na zatrudnienie ani na warunki pracy.

Najważniejsze zasady udzielania zgody

1. Dobrowolność – zgoda jest ważna tylko wtedy, gdy osoba, której dane dotyczą, ma realny wybór i może odmówić jej udzielenia lub ją wycofać bez groźby negatywnych konsekwencji.
2. Konkretność i jednoznaczność – zgoda musi być powiązana z jasno określonym celem i sformułowana tak, aby nie budziła wątpliwości, na co faktycznie osoba, której dane dotyczą, się zgodziła.
3. Świadomość – przed wyrażeniem zgody osoba, której dane dotyczą, musi znać co najmniej tożsamość administratora i konkretne cele przetwarzania danych.
4. Informacje o prawie do wycofania zgody (dostępne przed jej udzieleniem) – osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę, przy czym wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. O tej zasadzie należy poinformować osobę, zanim wyrazi zgodę.
5. Wycofanie zgody równie łatwe jak jej wyrażenie – w praktyce oznacza to konieczność stworzenia takich mechanizmów, które umożliwią bezproblemowe i bezwarunkowe „wypisanie się” z tych procesów przetwarzania danych, na które wcześniej wyrażono zgodę.
6. Archiwizacja zgody – administrator musi być w stanie wykazać, że zgoda została skutecznie udzielona. Wytyczne EROD 05/2020 wskazują, że administrator może w tym celu prowadzić rejestr uzyskanych oświadczeń o wyrażeniu zgody, tak aby móc wykazać, kiedy i w jaki sposób uzyskano zgodę oraz jakie informacje przekazano osobie, której dane dotyczą, w momencie uzyskania zgody.