O ogólnym unijnym rozporządzeniu o ochronie danych, tzw. RODO, słyszymy w ostatnim czasie praktycznie bez przerwy. Są to głównie informacje o przypadkach nadinterpretacji postanowień rozporządzenia prowadzących do absurdalnych sytuacji lub po prostu narzekania na zbytnią biurokrację. Zakres informacji, jakie administrator danych musi przekazać osobie, której dane przetwarza został rozszerzony względem poprzednich regulacji. Aby stworzyć poprawną klauzulę informacyjną, należy dokładnie zapoznać się z art. 13 tego osławionego rozporządzenia.

Przede wszystkim należy zacząć od ujawnienia tożsamości administratora danych. Trzeba podać pełną nazwę administratora wraz z jego adresem i innymi danymi kontaktowymi. Jeśli administrator działa przez przedstawiciela, taką informację także należy podać. Jeżeli powołano Inspektora Ochrony Danych Osobowych, jego dane należy ujawnić w klauzuli. Choć nie wynika to bezpośrednio z przepisu, aby w pełni uczynić zadość obowiązkowi informacyjnemu, dobrze jest podać, jakie konkretnie dane będą przetwarzane. Kolejnym wymogiem jest podanie celu przetwarzania danych np. wykonanie umowy, cel marketingowy. To jest najprostsza część – dalsze informacje są już bardziej szczegółowe. Kolejny punkt to podstawa prawna przetwarzania danych. Najlepiej odwołać się tutaj bezpośrednio do treści przepisu i zajrzeć do art. 6 RODO, gdzie podstawy zostały wymienione, a następnie wybrać odpowiednią. Może to być sytuacja, kiedy przetwarzanie jest niezbędne do wykonania umowy, wypełnienia obowiązku prawnego ciążącego na administratorze, oraz kiedy jest niezbędne do ochrony interesów osoby, której dotyczą lub wykonania zadania realizowanego w interesie publicznym.  Często podstawą przetwarzana będzie art. 6 lit. a) – osoba, której dane dotyczą wyraziła na to zgodę. Dalej jest jeszcze trudniej, gdyż należy wskazać odbiorcę danych osobowych oraz podać informacje, czy dane osobowe będą przekazywane do państwa trzeciego lub organizacji międzynarodowej. Odbiorcą danych osobowych w świetle rozporządzenia jest osoba fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Mówiąc prościej, w tym miejscu należy wskazać informacje o przekazaniu danych innym administratorom lub pomiotom przetwarzającym (mogą to być np.  partnerzy biznesowi, podwykonawcy czy firmy przetwarzające dane na zlecenie).  Jeżeli dane mogą być przekazywane upoważnionym organom władzy publicznej takim jak sądy czy Policja, to ta informacja powinna się znaleźć właśnie w tym miejscu. Państwem trzecim jest zaś państwo nienależące do Europejskiego Obszaru Gospodarczego. Najczęściej jednak takie przekazywanie nie ma zastosowania i wystarczy poinformować o tym, że dane nie są przekazywane. Kolejnym, bardzo istotnym punktem klauzuli jest informacja o okresie przez jaki dane będą przechowane przez administratora. Jeśli podanie konkretnej daty jest niemożliwe, należy wskazać zasady jej ustalania np. okres potrzebny do wykonania umowy, wynikający z przepisów prawnych, niezbędny do zakończenia rekrutacji. Oprócz powyższego, RODO nakłada na administratora obowiązek  informowania czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych. Warto przy tym zaznaczyć, podanie których danych jest dobrowolne, ale konieczne np. aby móc otrzymywać informacje handlowe.  RODO wymaga także od administratora dostarczania podmiotowi danych wiadomości o automatycznym podejmowaniu decyzji, opartych wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu. Profilowanie (w dużym uproszczeniu) polega na analizie plików cookie, które gromadzą dane na temat naszej aktywności na stronie, dzięki czemu np. na stronie internetowej sklepu widzimy sekcję: „może Cię zainteresować”. W tym miejscu należy więc umieścić informację czy dane są przetwarzane w sposób zautomatyzowany i czy są profilowane. Ostatni i najobszerniejszy (ale za to najprostszy do sformułowania) jest punkt dotyczący praw, jakie przysługują osobie, której dane są przetwarzane. Są to: prawo dostępu do danych osobowych, w tym prawo do uzyskania ich kopii, prawo do żądania sprostowania (poprawiania) danych osobowych,  prawo do żądania usunięcia danych osobowych, prawo do żądania ograniczenia przetwarzania danych osobowych, prawo do przenoszenia danych, prawo sprzeciwu wobec przetwarzania danych. Trzeba dodać jeszcze zapis o prawie do cofnięcia zgody oraz opisać procedurę jej cofnięcia (ważne, aby była możliwe najprostsza np. kliknięcie linku lub wysłanie e-maila) -  gdy przetwarzanie danych osobowych odbywa się na podstawie zgody oraz o możliwości wniesienia skargi do Prezesa UODO.

To tyle i aż tyle. Warto poświecić czas na przygotowanie dobrej klauzuli informacyjnej. Na pewno oszczędzi to administratorom wielu pytań oraz nieporozumień