Tylko osoba, która została należycie poinformowana, może skutecznie podejmować decyzje dotyczące przetwarzania jej danych osobowych. Z tego względu obowiązek informacyjny jest jedną z podstawowych powinności administratora danych osobowych.
Odpowiedź na pytania, kiedy i w jaki sposób należy spełnić obowiązek informacyjny jest jednym z kluczowych zagadnień dla administratorów danych osobowych.
Kiedy należy udzielić informacji o procesie przetwarzania?
Obowiązek informacyjny polega na zobligowaniu administratora do przekazania informacji o przetwarzaniu danych osobie, której dane dotyczą.
RODO przewiduje trzy takie sytuacje:
-
przy zbieraniu danych bezpośrednio od osoby, której te dane dotyczą (np. przy zbieraniu danych przez formularz kontaktowy/rejestracyjny na stronie, landing pages, papierowe formularze);
-
przy zbieraniu danych ze źródeł innych niż osoba, której te dane dotyczą (np. od naszych partnerów biznesowych, z internetu- olx, allegro, ale również pracuj,pl);
-
gdy zmienia się cel przetwarzanych danych (np. sprzedaż naszych produktów naszym pracownikom, która dokumentowane jest fakturą).
Zbieranie danych bezpośrednio od osoby, której dane dotyczą
W pierwszym z podanych przypadków administrator danych osobowych powinien spełnić obowiązek informacyjny przed tym, gdy podmiot udostępni mu jeszcze swoje dane osobowe. Ma to bowiem umożliwić temu podmiotowi właściwą ocenę sytuacji i pomóc w podjęciu decyzji o udostępnieniu lub odmowie udostępnienia swoich danych osobowych.
Zgodnie z art. 13 RODO firma jest zobowiązana do poinformowania o:
-
swojej tożsamości i danych kontaktowych;
-
tożsamości i danych kontaktowych swojego przedstawiciela (gdy ma to zastosowanie);
-
danych kontaktowych inspektora ochrony danych (gdy ma to zastosowanie);
-
celu przetwarzania danych osobowych oraz podstawie prawnej przetwarzania;
-
prawnie uzasadnionym interesie realizowanym przez administratora lub przez stronę trzecią (jeżeli takowe występują);
-
odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
-
zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej (gdy ma to zastosowanie);
-
okresie, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteriach ustalania tego okresu;
-
prawach, które przysługują danej osobie;
-
prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem (jeżeli przetwarzanie odbywa się na podstawie wcześniej udzielonej zgody);
-
prawie wniesienia skargi do organu nadzorczego;
-
tym, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
-
zautomatyzowanym podejmowaniu decyzji, w tym profilowaniu.
Podmiot danych powinien zostać poinformowany nie tylko o procesie przetwarzania jego danych, ale także o przysługujących mu uprawnieniach oraz skutkach, jakie niesie dla niego to przetwarzanie lub jego odmowa.
Zbieranie danych z innych źródeł niż osoba, której dane dotyczą
W przypadku, gdy dane nie są zbierane bezpośrednio od osoby, której dotyczą, oprócz informacji wskazanych wyżej, należy również poinformować o:
-
kategoriach posiadanych danych (oznacza to wskazanie typów i rodzajów lub zakresu zbieranych danych);
-
źródłach pochodzenia danych osobowych.
Źródło pochodzenia danych powinno być określone w sposób maksymalnie dokładny. Jeżeli administrator nie może przedstawić danych w sposób precyzyjny (ponieważ pochodzą np. z różnych źródeł), informacje te mogą być podane w sposób ogólny.
W przypadku, gdy pozyskujemy dane ze źródła innego niż, osoba której te dane dotyczą, wówczas zgodnie z art. 14 ust 3 RODO i motywem 61 Preambuły RODO, obowiązek informacyjny powinien być spełniony w rozsądnym terminie. Termin ten nie może przekroczyć miesiąca. Jeżeli jednak dane osobowe mają być wykorzystywane do komunikacji z osobą, której dane dotyczą, wówczas obowiązek informacyjny należy spełnić najpóźniej przy pierwszej komunikacji z tą osobą. W sytuacji w której administrator planuje ujawnić dane osobowe innemu odbiorcy, obowiązek informacyjny należy zrealizować najpóźniej przy ich pierwszym ujawnieniu.
Obowiązek informacyjny, gdy zmienia się cel przetwarzania
W przypadku zmiany celu przetwarzania danych osobowych, administrator zobowiązany jest do udzielenia informacji przed rozpoczęciem nowego procesu przetwarzania. Dotyczy to sytuacji, gdy zebrał te dane bezpośrednio od podmiotu uprawnionego, jak i z innych źródeł. Wówczas należy podać informacje o:
-
okresie, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteriach ustalania tego okresu;
-
fakcie zautomatyzowanego podejmowania decyzji, w tym profilowania i jego konsekwencjach dla osoby, której dane dotyczą;
-
przysługujących podmiotowi prawach (dostępu do danych, sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu wobec przetwarzania, przenoszenia danych);
-
prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem, jeżeli przetwarzanie miało miejsce na podstawie zgody na przetwarzanie danych zwykłych (art. 6 ust. 1 lit. a RODO) lub szczególnej kategorii (art. 9 ust. 2 lit. a RODO);
-
prawie do wniesienia skargi do organu nadzorczego.
Należy zwrócić również uwagę, że w każdej z omówionych sytuacji motyw 60 RODO zobowiązuje administratora do podania osobie uprawnionej wszelkich innych informacji niezbędnych do zapewnienia rzetelności i przejrzystości przetwarzania, uwzględniając konkretne okoliczności i kontekst przetwarzania danych osobowych.
Kiedy obowiązek informacyjny nie powstaje?
Istnieją pewne szczególne sytuacje, gdy ADO nie ma obowiązku udzielenia informacji o przetwarzaniu danych. Można do nich zaliczyć okoliczności, w ramach których:
-
osoba, od której dane są zbierane, już dysponuje tymi informacjami;
-
udzielenie wymienionych wyżej informacji jest niemożliwe lub wymaga niewspółmiernego wysiłku;
-
udzielenie takich informacji może uniemożliwić lub poważnie utrudnić realizację celu przetwarzania;
-
pozyskanie danych jest regulowane przepisami prawa;
-
konieczne jest zachowanie tajemnicy zawodowej.
W jakiej formie należy spełnić obowiązek informacyjny?
ADO ma obowiązek podjąć wszelkie środki, by komunikować się i przekazywać informacje w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem – w szczególności, gdy informacje są kierowane do dziecka (art. 12 ust. 1 RODO).
Dodatkowo motyw 58 Preambuły wskazuje, że gdy jest to konieczne, informację należy przedstawić także w sposób graficzny. W sytuacji, gdy przetwarzane są dane dziecka, treść obowiązku należy przekazać w taki sposób, by mogło ją ono zrozumieć.
Ponadto RODO stanowi, że obowiązek informacyjny można spełnić na piśmie lub w inny sposób (art. 12 ust. 1 RODO). Oznacza to, że katalog możliwych opcji jest otwarty. W rozporządzeniu zostały wymienione także dwie inne metody: elektroniczna i ustna.
Przykładowymi miejscami gdzie możemy umieścić obowiązki informacyjne są:
-
polityki prywatności, w szczególności, gdy zbieramy dane w sposób elektroniczny (np. formularze rejestracyjne) lub miejsca pod formularzami;
-
Stopki formularzy papierowych lub na odrębnych od nich kartkach;
Podsumowanie
Reasumując, można stwierdzić, że przepisy RODO ustanowiły szeroki katalog informacji, które ADO ma obowiązek przekazać podmiotowi danych. Zakres tego obowiązku jest zależny od sposobu, w który administrator uzyskał dane. Informacje te mają umożliwić podmiotowi danych samodzielną decyzję odnośnie przetwarzania jego danych osobowych oraz umożliwić mu kontrolę nad tym procesem.