fbpx

Kiedy i jak – zgodnie z RODO – należy spełnić obowiązek informacyjny?

Biuro DLS
Biuro DLS

Tylko osoba, która została należycie poinformowana, może skutecznie podejmować decyzje dotyczące przetwarzania jej danych osobowych. Z tego względu obowiązek informacyjny jest jedną z podstawowych powinności administratora danych osobowych.

Odpowiedź na pytania, kiedy i w jaki sposób należy spełnić obowiązek informacyjny jest jednym z kluczowych zagadnień dla administratorów danych osobowych. 

Kiedy należy udzielić informacji o procesie przetwarzania?

Obowiązek informacyjny polega na zobligowaniu administratora do przekazania informacji o przetwarzaniu danych osobie, której dane dotyczą.

RODO przewiduje trzy takie sytuacje:

  • przy zbieraniu danych bezpośrednio od osoby, której te dane dotyczą (np. przy zbieraniu danych przez formularz kontaktowy/rejestracyjny na stronie, landing pages, papierowe formularze);

  • przy zbieraniu danych ze źródeł innych niż osoba, której te dane dotyczą (np. od naszych partnerów biznesowych, z internetu- olx, allegro, ale również pracuj,pl);

  • gdy zmienia się cel przetwarzanych danych (np. sprzedaż naszych produktów naszym pracownikom, która dokumentowane jest fakturą).

Zbieranie danych bezpośrednio od osoby, której dane dotyczą

W pierwszym z podanych przypadków administrator danych osobowych powinien spełnić obowiązek informacyjny przed tym, gdy podmiot udostępni mu jeszcze swoje dane osobowe. Ma to bowiem umożliwić temu podmiotowi właściwą ocenę sytuacji i pomóc w podjęciu decyzji o udostępnieniu lub odmowie udostępnienia swoich danych osobowych.

Zgodnie z art. 13 RODO firma jest zobowiązana do poinformowania o:

  1. swojej tożsamości i danych kontaktowych;

  2. tożsamości i danych kontaktowych swojego przedstawiciela (gdy ma to zastosowanie);

  3. danych kontaktowych inspektora ochrony danych (gdy ma to zastosowanie);

  4. celu przetwarzania danych osobowych oraz podstawie prawnej przetwarzania;

  5. prawnie uzasadnionym interesie realizowanym przez administratora lub przez stronę trzecią (jeżeli takowe występują);

  6. odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;

  7. zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej (gdy ma to zastosowanie);

  8. okresie, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteriach ustalania tego okresu;

  9. prawach, które przysługują danej osobie;

  10. prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem (jeżeli przetwarzanie odbywa się na podstawie wcześniej udzielonej zgody);

  11. prawie wniesienia skargi do organu nadzorczego;

  12. tym, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;

  13. zautomatyzowanym podejmowaniu decyzji, w tym profilowaniu.

Podmiot danych powinien zostać poinformowany nie tylko o procesie przetwarzania jego danych, ale także o przysługujących mu uprawnieniach oraz skutkach, jakie niesie dla niego to przetwarzanie lub jego odmowa.

Zbieranie danych z innych źródeł niż osoba, której dane dotyczą

W przypadku, gdy dane nie są zbierane bezpośrednio od osoby, której dotyczą, oprócz informacji wskazanych wyżej, należy również poinformować o:

  1. kategoriach posiadanych danych (oznacza to wskazanie typów i rodzajów lub zakresu zbieranych danych);

  2. źródłach pochodzenia danych osobowych.

Źródło pochodzenia danych powinno być określone w sposób maksymalnie dokładny. Jeżeli administrator nie może przedstawić danych w sposób precyzyjny (ponieważ pochodzą np. z różnych źródeł), informacje te mogą być podane w sposób ogólny. 

W przypadku, gdy pozyskujemy dane ze źródła innego niż, osoba której te dane dotyczą, wówczas zgodnie z art. 14 ust 3 RODO i motywem 61 Preambuły RODO, obowiązek informacyjny powinien być spełniony w rozsądnym terminie. Termin ten nie może przekroczyć miesiąca. Jeżeli jednak dane osobowe mają być wykorzystywane do komunikacji z osobą, której dane dotyczą, wówczas obowiązek informacyjny należy spełnić najpóźniej przy pierwszej komunikacji z tą osobą. W sytuacji w której administrator planuje ujawnić dane osobowe innemu odbiorcy, obowiązek informacyjny należy zrealizować najpóźniej przy ich pierwszym ujawnieniu.

Obowiązek informacyjny, gdy zmienia się cel przetwarzania

W przypadku zmiany celu przetwarzania danych osobowych, administrator zobowiązany jest do udzielenia informacji przed rozpoczęciem nowego procesu przetwarzania. Dotyczy to sytuacji, gdy zebrał te dane bezpośrednio od podmiotu uprawnionego, jak i z innych źródeł. Wówczas należy podać informacje o:

  1. okresie, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteriach ustalania tego okresu;

  2. fakcie zautomatyzowanego podejmowania decyzji, w tym profilowania i jego konsekwencjach dla osoby, której dane dotyczą;

  3. przysługujących podmiotowi prawach (dostępu do danych, sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu wobec przetwarzania, przenoszenia danych);

  4. prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem, jeżeli przetwarzanie miało miejsce na podstawie zgody na przetwarzanie danych zwykłych (art. 6 ust. 1 lit. a RODO) lub szczególnej kategorii (art. 9 ust. 2 lit. a RODO);

  5. prawie do wniesienia skargi do organu nadzorczego.

Należy zwrócić również uwagę, że w każdej z omówionych sytuacji motyw 60 RODO zobowiązuje administratora do podania osobie uprawnionej wszelkich innych informacji niezbędnych do zapewnienia rzetelności i przejrzystości przetwarzania, uwzględniając konkretne okoliczności i kontekst przetwarzania danych osobowych.

Kiedy obowiązek informacyjny nie powstaje?

Istnieją pewne szczególne sytuacje, gdy ADO nie ma obowiązku udzielenia informacji o przetwarzaniu danych. Można do nich zaliczyć okoliczności, w ramach których: 

  1. osoba, od której dane są zbierane, już dysponuje tymi informacjami;

  2. udzielenie wymienionych wyżej informacji jest niemożliwe lub wymaga niewspółmiernego wysiłku;

  3. udzielenie takich informacji może uniemożliwić lub poważnie utrudnić realizację celu przetwarzania;

  4. pozyskanie danych jest regulowane przepisami prawa;

  5. konieczne jest zachowanie tajemnicy zawodowej.

W jakiej formie należy spełnić obowiązek informacyjny? 

ADO ma obowiązek podjąć wszelkie środki, by komunikować się i przekazywać informacje w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem – w szczególności, gdy informacje są kierowane do dziecka (art. 12 ust. 1 RODO).

Dodatkowo motyw 58 Preambuły wskazuje, że gdy jest to konieczne, informację należy przedstawić także w sposób graficzny. W sytuacji, gdy przetwarzane są dane dziecka, treść obowiązku należy przekazać w taki sposób, by mogło ją ono zrozumieć. 

Ponadto RODO stanowi, że obowiązek informacyjny można spełnić na piśmie lub w inny sposób (art. 12 ust. 1 RODO). Oznacza to, że katalog możliwych opcji jest otwarty. W rozporządzeniu zostały wymienione także dwie inne metody: elektroniczna i ustna.

Przykładowymi miejscami gdzie możemy umieścić obowiązki informacyjne są:

  • polityki prywatności, w szczególności, gdy zbieramy dane w sposób elektroniczny (np. formularze rejestracyjne) lub miejsca pod formularzami;

  • Stopki formularzy papierowych lub na odrębnych od nich kartkach;

Podsumowanie

Reasumując, można stwierdzić, że przepisy RODO ustanowiły szeroki katalog informacji, które ADO ma obowiązek przekazać podmiotowi danych. Zakres tego obowiązku jest zależny od sposobu, w który administrator uzyskał dane. Informacje te mają umożliwić podmiotowi danych samodzielną decyzję odnośnie przetwarzania jego danych osobowych oraz umożliwić mu kontrolę nad tym procesem.