RODO to ogólne rozporządzenie o ochronie danych osobowych, regulujące ich ochronę na terenie całej Unii Europejskiej. Dokładna nazwa tego aktu prawnego to Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r., przyjęte 24 maja 2016 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu danych osobowych danych oraz uchylenia dyrektywy 95/46/WE).
W Polsce zostało przyjęte 27 kwietnia 2016 r., a weszło w życie 25 maja 2018 r. Przedstawiamy, o czym warto pamiętać, wysyłając maile firmowe w zgodzie z RODO.
Klauzula informacyjna RODO w stopce maila
Zgodnie z rozporządzeniem administrator danych osobowych musi wywiązać się ze spełniania obowiązku informacyjnego RODO także w korespondencji e-mail. W takim przypadku dochodzi nie do pozyskania danych, ale ich wykorzystania. Oznacza to, że przedsiębiorca wysyłający wiadomość musi spełnić obowiązek informacyjny wobec nadawcy, ale przepisy prawa nie określają, w jaki konkretny sposób ma to zrobić. Umieszczanie informacji RODO w mailu to dobra praktyka stosowana w wielu przypadkach. Klauzula może zostać umieszczona w następującej formie:
- pełnej, zawierającej wszystkie cele przetwarzania danych osobowych,
- skróconej, zawierającej tylko najważniejsze informacje i odsyłającej do strony, gdzie znajduje się pełna wersja,
- linka z odnośnikiem do miejsca, w którym znajduje się klauzula,
- załącznika z klauzulą informacyjną,
- autorespondera wysyłającego klauzulę informacyjną.
Najczęściej wykorzystuje się dwa pierwsze rozwiązania.
Informacja o RODO w mailu – jakie elementy musi zawierać?
Klauzula informacyjna w wiadomości e-mail powinna zawierać następujące elementy:
- tożsamość i dane kontaktowe podmiotu przetwarzającego dane osobowe,
- dane kontaktowe Inspektora Ochrony Danych (jeśli został wyznaczony),
- cele przetwarzania danych (jeśli są one różne, to należy wskazać wszystkie),
- podstawy prawne przetwarzania danych osobowych,
- informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej (o ile dotyczy),
- okres, przez który dane będą przechowywane,
- prawa przysługujące podmiotom danych:
- żądania dostępu do swoich danych osobowych,
- żądania sprostowania swoich danych osobowych,
- żądania usunięcia lub ograniczenia przetwarzania swoich danych osobowych,
- wniesienia sprzeciwu co do przetwarzania Twoich danych,
- wniesienia skargi do organu nadzorczego, którym w Polsce jest Prezes Urzędu Ochrony Danych Osobowych.
- informacje o zautomatyzowanym podejmowaniu decyzji.
- informacje o odbiorcach danych lub kategoriach odbiorców.
W ostatnim punkcie należy zawrzeć informację, kto ma dostęp do danych. Są to przede wszystkim przedsiębiorstwa dostarczające i obsługujące wybrane systemy i rozwiązania informatyczne, dostawcy usług księgowych, prawnych, pocztowych i kurierskich.
W sytuacji, gdy przetwarzanie danych osobowych odbywa się na podstawie art. 6 ust. 1 lit. f) RODO to w klauzuli muszą także znaleźć się informacje o prawnie uzasadnionym interesie realizowanym przez administratora lub przez stronę trzecią. Z kolei w przypadku, gdy przetwarzanie odbywa się na podstawie zgody uzyskanej od osoby, której dane dotyczą, niezbędne jest uwzględnienie informacji o prawie do cofnięcia zgody w dowolnym momencie, bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem.
Masz wątpliwości czy dobrze przygotowano klauzulę załączaną do firmowych wiadomości e-mail? Doradca prawny online pomoże to zweryfikować.
Jakie dane osobowe podlegają ochronie zgodnie z rozporządzeniem RODO?
Rozporządzenie RODO nie określa konkretnych danych, które podlegają obowiązkowi informacyjnemu, a jedynie wskazuje na to, że pozwalają one na identyfikację konkretnej osoby. Oznacza to, że zalicza się do nich takie informacje jak:
- imię i nazwisko,
- numery identyfikacyjne (PESEL, NIP, numer paszportu itd.),
- adres zamieszkania,
- dane biometryczne,
- dane genetyczne,
- dane związane z poglądami politycznymi, religijnymi itd.
- adres IP komputera,
- dane o stanie zdrowia.
Warto wiedzieć, że za dane osobowe, które należy chronić, uznaje się także adresy mailowe zawierające imię i nazwisko w połączeniu z nazwą firmy. Natomiast ochroną nie są objęte te, które mają podane albo wyłącznie imię i nazwisko lub tylko nazwę firmy. RODO nie dotyczy także danych anonimowych czy numeru KRS.
Podmioty odpowiedzialne za bezpieczeństwo danych to ich administrator lub przetwarzający. Należy pamiętać, że ich przetwarzanie jest możliwe wyłącznie wtedy, gdy istnieje podstawa prawna, która to reguluje (np. osoba, której dane są przetwarzane wyraziła na to zgodę). Nasza kancelaria adwokacka we Wrocławiu oferuje pomoc prawną dla przedsiębiorców w tym zakresie.