W związku ze zmianą adresu siedziby Prezesa Urzędu Ochrony Danych Osobowych (PUODO), wśród administratorów danych znów pojawiło się pytanie: czy należy aktualizować klauzule informacyjne z art. 13 i 14 RODO, w których wskazuje się możliwość złożenia skargi do organu nadzorczego?
Odpowiedź brzmi: to zależy.
- Jeżeli w swojej klauzuli informacyjnej podałeś adres siedziby PUODO – musisz go zaktualizować. Przejrzystość i rzetelność wymagają, aby podawane dane były aktualne.
- Jeżeli nie wskazywałeś adresu, a jedynie nazwę organu i możliwość złożenia skargi – nie musisz wprowadzać żadnych zmian. I dalej nie podawaj adresu.
Potwierdza to również komunikat zamieszczony przez sam UODO, dostępny tutaj.
Warto więc pamiętać, że RODO nie nakłada obowiązku podawania adresu organu nadzorczego w treści klauzuli informacyjnej. Kluczowe jest jedynie poinformowanie o prawie wniesienia skargi do PUODO – bez konieczności zamieszczania pełnych danych teleadresowych.
Nadgorliwość w stosowaniu RODO – inne przykłady
Zmiana adresu PUODO to tylko jeden z przykładów, jak często przepisy RODO są stosowane nadmiernie, niepotrzebnie komplikując procesy. Oto kilka innych przykładów:
- Pobieranie zgody tam, gdzie nie jest ona wymagana – wiele organizacji wciąż zbiera zgody na przetwarzanie danych osobowych nawet tam, gdzie przetwarzanie jest oparte na innej podstawie prawnej (np. wykonanie umowy, obowiązek prawny czy uzasadniony interes jakim jest np. udzielenie odpowiedzi na przesłane formularzem kontaktowym zapytanie) co niepotrzebnie komplikuje proces i może narazić organizację na dodatkowe ryzyko prawne (np. wycofanie zgody i konieczność zaprzestania przetwarzania).
- Kserowanie dowodów osobistych „na wszelki wypadek” – są jeszcze firmy, które kopiują dowody osobiste klientów bez konkretnej podstawy prawnej, np. przy wydawaniu kart dostępowych, wypożyczaniu sprzętu podczas urlopu czy umowach najmu krótkoterminowego. Taki proceder powoduje przechowywanie nadmiarowych danych, do których organizacja nie jest upoważniona, a w razie wycieku mogą skutkować poważnymi konsekwencjami.
- Publikowanie zbyt rozbudowanych polityk prywatności – polityki prywatności, które mają kilkadziesiąt stron i są napisane językiem prawniczym, często są dla użytkowników kompletnie niezrozumiałe co powoduje brak przejrzystości, czyli dokładnie odwrotnie niż wymaga tego art. 12 RODO.
- Wydłużanie obowiązku informacyjnego bez potrzeby – Niektórzy administratorzy przy okazji kontaktu z klientem wysyłają gigantyczne klauzule informacyjne obejmujące wszystkie możliwe cele przetwarzania danych „na wszelki wypadek”. Może to powodować dezinformację odbiorców i ryzyko, że nie spełni się wymogu udzielenia informacji w sposób „zwięzły i przejrzysty”.
RODO nie wymaga „więcej”, tylko „w sam raz”. Minimalizacja danych, adekwatność i przejrzystość to kluczowe zasady, które powinny kierować działaniami administratorów danych. RODO, wbrew pozorom :-), nie jest o komplikowaniu życia – tylko o sensownym i odpowiedzialnym zarządzaniu danymi.
