REKLAMA

REKLAMA

Kategorie
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Przypomnij hasło
Witaj
Usuń konto
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.

Obowiązek informacyjny na gruncie RODO

Obowiązek informacyjny na gruncie RODO /fot. Shutterstock
Obowiązek informacyjny na gruncie RODO /fot. Shutterstock
fot.Shutterstock

REKLAMA

REKLAMA

15 marca 2019 r. – ta data może zapaść w pamięć każdemu administratorowi, inspektorowi ochrony danych, a także osobom zajmującym się ochroną danych osobowych. W tym dniu bowiem Prezes Urzędu Ochrony Danych Osobowych wydał pierwszą w historii obowiązywania przepisów RODO karę administracyjną. Jak się okazało, podstawowym przewinieniem, za które nałożono blisko milionową karę, był brak realizacji obowiązku informacyjnego. Przypomnijmy zatem najważniejsze kwestie w zakresie jego spełniania przez administratora.

Obowiązek informacyjny - czym jest i dlaczego jest taki ważny

REKLAMA

Każdy podmiot przetwarzający dane osobowe, będący administratorem, jest obarczony licznymi obowiązkami na gruncie RODO. Jednym z nich jest spełnienie tzw. obowiązku informacyjnego. Ze względu na interes osoby, której dane są przetwarzane, jest to jedno z najważniejszych zobowiązań administratora. To właśnie dzięki obowiązkowi informacyjnemu osoba ta może uzyskać podstawowe informacje na temat przetwarzania jej danych osobowych.

REKLAMA

Realizacja omawianego obowiązku polega na podaniu osobie, której dane dotyczą, wszelkich informacji wymaganych przepisami RODO. Grupa Robocza art. 29 (obecnie: Europejska Rada Ochrony Danych) w swoich wytycznych dotyczących przejrzystości słowo „podaje” rozumie jako czynne działania administratora w celu udzielenia wszelkich informacji lub czynne skierowanie tej osoby do miejsca, w którym znajdują się takie informacje. Co istotne, osoba, której dane dotyczą, nie powinna być zmuszona do samodzielnego szukania informacji odpowiadających obowiązkowi informacyjnemu pośród innych treści, np. w ramach obszernych regulaminów.

Polecamy: Kodeks pracy 2019 - komentarz

Treść obowiązku informacyjnego

Kluczowe w tym zakresie są dwa przepisy, tj. art. 13 oraz art. 14 RODO. Wybór jednego z przywołanych przepisów zależy od źródła, z którego administrator pozyskał dane osobowe. Artykuł 13 RODO znajdzie bowiem zastosowanie, gdy administrator pozyskuje dane osobowe bezpośrednio od osoby, której dane dotyczą. W wytycznych dotyczących przejrzystości Grupa Robocza art. 29 wskazuje następujące przykłady takich sytuacji:

  1. osoba, której dane dotyczą, samodzielnie przekazuje administratorowi dane osobowe (np. wypełniając formularz internetowy),
  2. administrator samodzielnie pozyskuje dane od osoby, której one dotyczą, w drodze obserwacji (np. przy zastosowaniu automatycznych rejestratorów, takich jak kamery czy urządzenia sieciowe).

Natomiast art. 14 RODO administrator będzie musiał uwzględnić, jeżeli dane osobowe zostały przez niego pozyskane nie bezpośrednio od osoby, której one dotyczą. Przywołane wytyczne w sprawie przejrzystości wskazują jako przykłady konieczności zastosowania tego przepisu m.in.:

Dalszy ciąg materiału pod wideo
  1. pozyskanie danych osobowych od zewnętrznego administratora danych (np. udostępnienie danych osobowych przez kontrahenta, partnera biznesowego, właściciela bazy danych),
  2. pozyskanie danych osobowych ze źródeł publicznie dostępnych (np. pozyskanie danych z CEIDG, KRS lub GUS),
  3. pozyskanie danych osobowych od innych osób (np. pozyskanie danych dotyczących członków rodzin, podanych przez pracowników).

Jeżeli dane osobowe pozyskujemy bezpośrednio od osoby, której one dotyczą, prawidłowo sformułowany obowiązek informacyjny, stosownie do art. 13 RODO, powinien zawierać:

    1. tożsamość i dane kontaktowe administratora (ewentualnie jego przedstawiciela),
    2. dane kontaktowe inspektora ochrony danych (jeżeli został powołany),
    3. cele przetwarzania danych osobowych oraz podstawę prawną przetwarzania,
    4. wyjaśnienie prawnie uzasadnionego interesu realizowanego przez administratora lub przez stronę trzecią (jeżeli podstawą przetwarzania danych jest art. 6 ust. 1 lit. f RODO),
    5. listę odbiorców danych osobowych lub ich kategorie (jeżeli przetwarzane dane osobowe będą przekazywane np. do podmiotów przetwarzających dane lub innych administratorów danych),
    6. informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz informację o sposobach uzyskania kopii tych zabezpieczeń lub o miejscu ich udostępnienia;
    7. okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe – kryteria ustalania tego okresu,
    8. informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania albo o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych,
    9. informacje o prawie do cofnięcia zgody (jeżeli stanowiła ona podstawę prawną przetwarzania danych),
    10. informacje o prawie wniesienia skargi do organu nadzorczego,
    11. informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym albo warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych,
    12. informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, z uwzględnieniem informacji o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Jeżeli podstawą realizacji obowiązku informacyjnego będzie art. 14 RODO, oprócz wyżej wymienionych informacji administrator jest zobowiązany podać:

    1. kategorie danych, które przetwarza,
    2. źródło pozyskania danych.

Realizacja obowiązku informacyjnego

Jeżeli administrator będzie pozyskiwać dane osobowe bezpośrednio od osoby fizycznej, powinien zrealizować obowiązek informacyjny podczas pozyskiwania tych danych. Realizacja obowiązku informacyjnego powinna zatem nastąpić najpóźniej przed zakończeniem zbierania danych osobowych. Rekomenduje się jednak, aby do spełnienia obowiązku informacyjnego doszło jeszcze przed pozyskaniem danych osobowych. W praktyce będzie się to odnosiło do umożliwienia osobie, której dane dotyczą, zapoznania się treścią klauzuli informacyjnej. Jako przykłady rozwiązań w tym zakresie można wskazać:

    1. umieszczenie klauzuli informacyjnej w treści formularza służącego do pozyskiwania danych osobowych,
    2. spełnienie obowiązku informacyjnego na wstępie rozmowy telefonicznej (dotyczy to np. telefonicznych biur obsługi klienta),
    3. przekazanie podstawowych informacji – takich jak tożsamość administratora danych, cele przetwarzania danych, opis praw przysługujących osobie, do której należą dane osobowe – z jednoczesnym odesłaniem do pełnej treści klauzuli informacyjnej, np. poprzez podany link (tzw. warstwowy obowiązek informacyjny).

Termin na spełnienie obowiązku informacyjnego, w sytuacji gdy dane osobowe administrator pozyskuje nie od osoby, której dane dotyczą, jest dłuższy (art. 14 ust. 3 RODO). W takim scenariuszu administrator ma maksymalnie miesiąc na zrealizowanie tego obowiązku od momentu pozyskania danych osobowych. Termin ten może ulec skróceniu, jeżeli:

    1. dane są wykorzystywane do komunikacji z osobą, której te dane dotyczą – wówczas obowiązek informacyjny powinien zostać spełniony podczas pierwszego kontaktu z tą osobą,
    2. dane mają zostać ujawnione innemu odbiorcy – wówczas administrator powinien zrealizować obowiązek informacyjny najpóźniej przy pierwszym ujawnianiu.

Przy podejmowaniu decyzji odnośnie do terminu przekazania informacji o przetwarzaniu danych osobowych administrator powinien uwzględnić rozsądne oczekiwania osób, których dane są przetwarzane, oraz wpływ tego przetwarzania na te osoby i ich prawa.

Jeżeli administratora dotyczy przypadek wskazany w art. 14 RODO, sposoby realizacji obowiązku informacyjnego mogą być następujące:

  1. przesłanie e-maila lub listu pocztą tradycyjną z klauzulą informacyjną lub odesłaniem do strony WWW, na której znajduje się pełna treść klauzuli,
  2. załączenie klauzuli informacyjnej do pierwszej wiadomości e-mailowej lub do listu przesłanego pocztą tradycyjną,
  3. zawarcie na stałe w stopce e-maila klauzuli informacyjnej lub odesłania do pełnej treści klauzuli.

Omawiając sposób realizacji obowiązku informacyjnego, warto zwrócić uwagę na stanowisko Grupy Roboczej art. 29, zawarte w cytowanych już wytycznych. Zgodnie z nim wszelkie informacje, które zostały przekazane osobie (np. w liście, e-mailu lub formularzu do pozyskiwania danych), powinny być dla niej dostępne niezależnie w innym miejscu lub w ramach innego dokumentu. Takie miejsce lub taki dokument powinny być łatwo dostępne, jeżeli osoba, której dane są przetwarzane, chciałaby zapoznać się ponownie z całością klauzuli informacyjnej (przykładem takich rozwiązań są zakładki pojawiające się na stronach internetowych administratorów, np. „Polityki prywatności”, „Zasady przetwarzania danych osobowych”, „RODO”).

Wyłączenia (teoretyczne) realizacji obowiązku informacyjnego

REKLAMA

Przepisy RODO przewidują kilka sytuacji, w których realizowanie obowiązku informacyjnego może zostać wyłączone (tak stanowi teoria). Przykładem może być taki stan rzecz (wskazany w art. 13 ust. 4 RODO), gdy administrator przetwarza dane osoby, które pozyskał bezpośrednio od niej, i osoba ta dysponuje już wszelkimi informacjami z art. 13 ust. 1, 2 i 3 RODO, wymienionymi w niniejszym artykule w części „Treść obowiązku informacyjnego”.

W przypadku zaś pośredniego pozyskiwania danych osobowych, zgodnie z art. 14 ust. 5 RODO, administrator może nie realizować obowiązku przekazywana informacji na temat przetwarzania danych osobowych, jeżeli:

    1. osoba, której dane dotyczą, dysponuje już informacjami w zakresie przetwarzania jej danych osobowych przez administratora,
    2. udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku; w szczególności w przypadku przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, z zastrzeżeniem warunków i zabezpieczeń, o których mowa w art. 89 ust. 1 RODO,
    3. pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą,
    4. dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy.

Niezależnie od powyższego zwolnieniem z obowiązku informacyjnego z art. 14 ust. 1 i 2 RODO objęto administratorów wykonujących zadania publiczne, jeżeli takie zwolnienie służy realizacji zadania publicznego. Podstawę zwolnienia w tym przypadku stanowi art. 4 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2018 r. poz. 1000 ze zm.). Przywołana ustawa w art. 2 przewiduje również całościowe wyłączenia stosowania art. 13 i art. 14 RODO w przypadku działalności polegającej na redagowaniu, przygotowywaniu, tworzeniu lub publikowaniu materiałów prasowych w rozumieniu ustawy z dnia 26 stycznia 1984 r. – Prawo prasowe (t.j. Dz.U. z 2018 r. poz. 1914. 

Warto w tym miejscu wskazać, że realizacja obowiązku informacyjnego nie będzie wymagana wówczas, gdy administrator danych nie przetwarza danych teleadresowych (np. numer telefonu, adres e-mailowy, adres miejsca zamieszkania/korespondencyjny) osób znajdujących się w jego systemach. Pozyskanie takich danych tylko w celu dokonania obowiązku informacyjnego nie jest konieczne (zważywszy na treść art. 11 ust. 1 RODO), a nawet może zostać uznane za złamanie zasady minimalizacji danych, gdyż nie są one potrzebne administratorowi do realizacji podstawowego celu ich przetwarzania.

Wpływ pierwszej kary za naruszenie RODO na realizację obowiązku informacyjnego - apetyt na ryzyko

Informacja o administracyjnej karze pieniężnej nałożonej przez Prezesa Urzędu Ochrony Danych decyzją z dnia 15 marca 2019 r. (ZSPR.421.3.2018) rozpowszechniła się nie tylko z tego względu, że jest to pierwsze tego typu rozstrzygnięcie polskiego organu nadzorczego. Bardzo istotne dla praktyków zajmujących się prawem ochrony danych osobowych jest podważenie w tej decyzji zasadności skorzystania przez administratora z przepisu wyłączającego konieczność spełnienia obowiązku informacyjnego.

Mając na względzie powyższe, należy podkreślić, że powoływanie się na wymienione wyłączenia będzie musiało być związane z pewnym apetytem na ryzyko. Wynika to w szczególności z faktu, że sam Urząd Ochrony Danych Osobowych nie przedstawia jednolitego stanowiska w prezentowanych przez siebie poglądach. Czytając komentarze przedstawicieli Urzędu Ochrony Danych Osobowych do decyzji z dnia 15 marca 2019 r., można spotkać się ze opinią, że realizacja obowiązku informacyjnego przez przesłanie stosownych informacji listem poleconym to nie jedyne możliwe rozwiązanie. Jest to istotne dla administratorów ze względu na koszty związane realizacją obowiązku informacyjnego w taki sposób, szczególnie jeżeli w grę wchodzi przetwarzanie danych osobowych dotyczących dużej liczby osób.

Nie byłoby w tym poglądzie nic niewłaściwego (zdaniem autora jest on całkowicie słuszny), gdyby nie fakt, że w decyzjach Prezesa Urzędu Ochrony Danych można znaleźć stanowisko podważające jego zasadność. Mowa tutaj o decyzji z dnia 21 grudnia 2018 r. (ZSPR.440.854.2018), w której organ nadzorczy uznał, że samo potwierdzenie nadania listu zwykłego zawierającego treść klauzuli informacyjnej nie jest wystarczającym dowodem na to, że osoba została skutecznie poinformowana o fakcie przetwarzania jej danych osobowych. Z przywołanej decyzji można wysnuć wniosek, że w celach dowodowych administrator powinien dysponować zwrotnym potwierdzeniem odbioru lub innym dokumentem potwierdzającym odbiór korespondencji przez osobę, której dane przetwarza. W tym miejscu trzeba podkreślić, że komentowana decyzja dotyczyła interpretacji art. 105a ust. 3 ustawy z dnia 29 sierpnia 1997 r. – Prawo bankowe (t.j. Dz.U. z 2018 r. poz. 2187 ze zm.), regulującego konieczność poinformowania osoby o przetwarzaniu jej danych osobowych. Jednakże zdaniem autora mocno rzutuje ona również na interpretację słowa „podaje”, użytego w art. 13 i art. 14 RODO.

Efektem przywołanych decyzji Prezesa Urzędu Ochrony Danych będzie zapewne konieczność asekuracyjnego podejścia administratorów do rezygnacji z realizacji obowiązku informacyjnego. Zdaniem autora podjęcie decyzji o skorzystaniu z możliwości nieprzekazywania treści klauzul informacyjnych, przewidzianych w przepisach art. 13 ust. 4 lub art. 14 ust. 5 RODO, będzie musiało być związane z wysokim apetytem na ryzyko, wynikającym z prawdopodobieństwa podważenia prawidłowości przyjętego rozwiązania przez organ nadzorczy.

Podsumowanie

Przed podjęciem decyzji o realizacji obowiązku informacyjnego administrator powinien w pierwszej kolejności poszukać odpowiedzi na pytania:

  1. skąd będą pochodzić dane osobowe (czy bezpośrednio od osoby, której one dotyczą, czy z innego źródła)?
  2. jakie dokładnie dane osobowe administrator będzie przetwarzał?

Pytania te powinny być dla administratora szczególnie istotne przy podejmowaniu decyzji, czy w ogóle będzie realizować obowiązek informacyjny (mając na względzie art. 11 ust. 1 RODO), a jeżeli tak, to w jaki sposób – ten uregulowany w art. 13 czy też w art. 14 RODO. Ustalenia w tym zakresie pozwolą również na precyzyjne określenie terminu, w jakim administrator powinien przekazać klauzulę informacyjną.

Należy podkreślić, że administrator powinien udzielić odpowiedzi na powyższe pytania już na etapie projektowania danego procesu przetwarzania danych. Wówczas niezbędne jest również ustalenie dalszych bardzo ważnych kwestii, mianowicie:

  1. jaki jest cel oraz jaka jest podstawa prawna przetwarzania?
  2. przez jaki czas administrator będzie przetwarzać dane osobowe?
  3. jakiemu odbiorcy administrator będzie udostępniać/powierzać dane osobowe?
  4. czy dane będą przekazywane do państw trzecich?
  5. czy dane będą podlegały zautomatyzowanemu przetwarzaniu?

Dopiero tak usystematyzowana wiedza pozwoli administratorowi na przygotowanie prawidłowej klauzuli informacyjnej.

Autor: Adw. Łukasz Pociecha, Ekspert ds. ochrony danych, ODO 24

Autopromocja

REKLAMA

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:

REKLAMA

Komentarze(0)

Pokaż:

Uwaga, Twój komentarz może pojawić się z opóźnieniem do 10 minut. Zanim dodasz komentarz -zapoznaj się z zasadami komentowania artykułów.
    QR Code
    Moja firma
    Zapisz się na newsletter
    Zobacz przykładowy newsletter
    Zapisz się
    Wpisz poprawny e-mail
    Koszty zatrudnienia to główne wyzwanie dla firm w 2024 roku. Jak więc pozyskać specjalistów i jednocześnie zadbać o cash flow?

    W pierwszym półroczu 2024 roku wiele firm planuje rozbudowanie swoich zespołów – potwierdzają to niezależne badania ManpowerGroup czy Konfederacji Lewiatan. Jednocześnie pracodawcy mówią wprost - rosnące koszty zatrudnienia to główne wyzwanie w 2024 roku. Jak więc pozyskać specjalistów i jednocześnie zadbać o cash flow?

    Nauka języka obcego poprawi zdolność koncentracji. Ale nie tylko!

    Ostatnia dekada przyniosła obniżenie średniego czasu skupienia u człowieka aż o 28 sekund. Zdolność do koncentracji spada i to wina głównie social mediów. Czy da się to odwrócić? 

    Nowe przepisy: Po świętach rząd zajmie się cenami energii. Będzie bon energetyczny

    Minister klimatu i środowiska Paulina Hennig-Kloska zapowiedziała, że po świętach pakiet ustaw dotyczących cen energii trafi pod obrady rządu. Dodała też, że proces legislacyjny musi zakończyć się w pierwszej połowie maja.

    Wielkanoc 2024. Polacy szykują się na święta przed telewizorem?

    Jaka będzie tegoroczna Wielkanoc? Z badania online przeprowadzonego przez firmę Komputronik wynika, że leniwa. Polacy są zmęczeni i marzą o odpoczynku. 

    REKLAMA

    Biznes kontra uczelnie – rodzaj współpracy, korzyści

    Czy doktorat dla osób ze świata biznesu to synonim synergii? Wielu przedsiębiorców może zadawać sobie to pytanie podczas rozważań nad podjęciem studiów III stopnia. Na ile świat biznesu przenika się ze światem naukowym i gdzie należy szukać wzajemnych korzyści?

    Jak cyberprzestępcy wykorzystują sztuczną inteligencję?

    Hakerzy polubili sztuczną inteligencję. Od uruchomienia ChataGPT liczba złośliwych wiadomości pishingowych wzrosła o 1265%! Warto wiedzieć, jak cyberprzestępcy wykorzystują rozwiązania oparte na AI w praktyce.

    By utrzymać klientów tradycyjne sklepy muszą stosować jeszcze nowocześniejsze techniki marketingowe niż e-commerce

    Konsumenci wciąż wolą kupować w sklepach stacjonarnych produkty spożywcze, kosmetyki czy chemię gospodarczą, bo chcą je mieć od razu, bez czekania na kuriera. Jednocześnie jednak oczekują, że tradycyjne markety zapewnią im taki sam komfort kupowania jak sklepy internetowe.

    Transakcje bezgotówkowe w Polsce rozwijają się bardzo szybko. Gotówka jest wykorzystywana tylko do 35 proc. transakcji

    W Polsce około 2/3 transakcji jest dokonywanych płatnościami cyfrowymi. Pod tym względem nasz kraj jest w światowej czołówce - gotówka jest wykorzystywana tylko do ok. 35 proc. transakcji.

    REKLAMA

    Czekoladowa inflacja (chocoflation) przed Wielkanocą? Trzeci rok z rzędu produkcja kakao jest mniejsza niż popyt

    Ceny kakao gwałtownie rosną, ponieważ 2024 r. to trzeci z rzędu rok, gdy podaż nie jest w stanie zaspokoić popytu. Z analiz Allianz Trade wynika, że cenę za to będą płacić konsumenci.

    Kończy się najostrzejsza zima od 50 lat. Prawie 5 mln zwierząt hodowlanych zginęło z głodu w Mongolii

    Dobiegająca końca zima w Mongolii, najostrzejsza od pół wieku, doprowadziła do śmierci niemal 5 mln kóz, owiec i koni, które nie są w stanie dotrzeć do pożywienia. To duży cios w gospodarkę kraju zamieszkanego przez ok. 3,3 mln ludzi, z których ok. 300 tys. utrzymuje się z hodowli zwierząt - podkreśliło Radio Swoboda.

    REKLAMA