Dziś zaprezentujemy Państwu kolejne praktyczne opracowanie obowiązku informacyjnego RODO. Po ostatnim dotyczącym błędów popełnianych przez nieświadomych lekarzy weterynarii działających, w rzeczywistości w dobrej wierze, przyszedł czas na sieci sklepów.

Poprzedni tekst dotyczył osób, które zapłaciły za usługę ale otrzymały produkt niezgodny z przepisami Ogólnego rozporządzenia. Dzisiejszy artykuł dotyczy jednej z największych sieci sklepów budowlanych. Czemu jest to tak istotne? Ponieważ dotyczy podmiotu operującymi milionami złotych w skali roku. Posiadającego dziesiątki sklepów na terenie kraju. Pomimo tego i tak w dokumentacji RODO zostały popełnione istotne błędy.

Na tzw. „pierwszy rzut oka” wszystko jest prawidłowe. Został wskazany ADO, wymieniony kontakt do IOD. Dodatkowo zdecydowano się na kanały komunikacji w sprawach z zakresu ochrony danych osobowych. Odnaleźć można oczywiście podstawę prawną, okres retencji danych i prawa osoby której dane dotyczą.

Podstawowy zarzut to tytuł dokumentu. Czym on jest? Niestety odbiorca nie uzyskuje takiej informacji. Fraza „Rozporządzenie Ogólne...”, abstrahując od tego, iż sam tytuł Ogólnego rozporządzenie jest błędny, wskazuje na wyciąg z przepisów RODO. Odbiorca musi mieć wprost wskazane, że jest to wykonanie obowiązku wynikającego z art. 13 RODO, czyli obowiązek informacyjny. Tytuł powinien brzmieć „Obowiązek informacyjny RODO”.

W zaprezentowanym dokumencie drugim podstawowym zarzutem jest… jego nieczytelność! Należy pamiętać, że każda informacja z zakresu przetwarzania danych osobowych osób fizycznych musi być dla odbiorcy czytelna. Oznacza to, że ADO lub IOD powinni skonstruować ją w taki sposób aby odbiorca mógł jak najszybciej zapoznać się ze swoimi prawami i podstawami przetwarzania danych osobowych.

Powyższa klauzura posiada wygląd umowy, której przeciętny odbiorca i tak nie przeczyta. Każdy z obowiązkowych punktów powinien zostać oddzielony osobnym akapitem, tekst powinien zostać wyjustowany, a prawa osób fizycznych wymienione w punktach lub myślnikach.

Następnie punkty wskazujące na ADO oraz IOD, w tym możliwość kontaktu zostały sformułowane w sposób prawidłowy. Na pochwałę zasługuje możliwość skorzystania z dwóch kanałów komunikacji z IODem, czyli adres mail oraz formularz kontaktowy na stronie internetowej ADO.

Podstawa przetwarzania danych została wskazana w sposób prawidłowy. W przypadku zakupów jest to zawarcie umowy lub dążenie do niej. Treść obowiązku informacyjnego wskazuje na dobrowolność podania danych, również jest to prawidłowy zapis.

Okres przetwarzania danych wskazuje na konieczność realizacji zamówienia – prawidłowy zapis. Jednak dalej już jest tylko gorzej. „[…] przechowywania do momentu wygaśnięcia ewentualnych roszczeń…”, odbiorca powinien otrzymać jasną informację. Większość ludzi nie posiada wykształcenia prawniczego i nie ma obowiązku wyszukiwania podstawy prawnej zgłaszania roszczeń do sprzedawców. ADO powinien wskazać wprost, że chodzi o pięcioletni okres przetwarzania, ponieważ wynika to z przepisu prawa (Kodeks Cywilny). To samo tyczy się obowiązki archiwizacji. Istnieją przepisy to regulujące.

Prawa osób wskazane prawidłowo, jednak jak powinny zostać wymienione w punktach aby informacja była czytelna.

W zakresie możliwości złożenia skargi nie popełniono błędu, jednak dobrą praktyką jest wskazanie pełnego adresu Prezesa UODO.

Czy jest to konieczne?

Sama treść klauzuli została omówiona, jednak kolejną kwestą pozostaje konieczność jej umiejscowienia i cele przetwarzania danych klientów na terenie sklepu.

Powyższy dokument dotyczy przetwarzania danych osób fizycznych w celu zawarcia umowy. Jednak musimy pamiętać, że nie jest to jedyny cel przetwarzania danych klientów. Sklep zapewne został wyposażony w system kamer monitoringu. Dlaczego więc podstawa prawna wynikająca z art. 6 ust. 1 pkt f RODO, stanowiąca o prawnie uzasadnionym interesie ADO nie została wskazana?

Można domniemać, że klauzura informacyjna dotycząca monitoringu została umieszczona w okolicach wejścia do sklepu. Jest to zasadna praktyka. Jednak takie rozwiązanie prowadzi do powstawania coraz większej ilości dokumentacji przekazywanej osobom, których dane dotyczą. Lepszym rozwiązaniem wydaje się umiejscowienie klauzur informacyjnych np. w polityce prywatności, a w widocznym miejscu przekazanie odbiorcy jedynie wyciągu tekstu.

Kolejna istotna rzecz to, po co w ogóle omawiana klauzura znalazła się przy kasie? Przecież nie każdy klient przekazuje swoje dane podczas dokonywania zakupu. Czynności ta jest realizowana jedynie w sytuacji wystawiania faktur vat lub realizacji dostawy. Powinno to zostać wskazane w klauzuri lub jej treść przekazana jedynie osobom, których to dotyczy. W powyższym rozwiązaniu klient jest wprowadzany w błąd. Może to również powodować zwiększenie pracy dla Inspektora, ponieważ osoby dokonujące „zwykłych” zakupów będą się z nim kontaktowały w sprawie przetwarzania ich danych osobowych.

Należy pamiętać, że tworzenie nadmiarowej dokumentacji może prowadzić do nadmiarowego przetwarzania danych, co jest istotnym naruszeniem przepisów RODO.