REKLAMA

REKLAMA

Kategorie
Szukaj
Sklep
Kalkulatory
Szkolenia
Załóż konto
Zaloguj się
Nie pamiętam hasła
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Załóż konto Zaloguj się
Przypomnij hasło
Witaj
Usuń konto
Twoje dane
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.
Konto
Serwisy
Strona główna » Moja firma » Prawo » RODO w firmie » Obowiązek informacyjny na gruncie RODO

Obowiązek informacyjny na gruncie RODO

Subskrybuj nas na Youtube
Dołącz do ekspertów Dołącz do grona ekspertów
29 kwietnia 2019, 11:54
ODO 24
ODO 24
Obowiązek informacyjny na gruncie RODO /fot. Shutterstock
Obowiązek informacyjny na gruncie RODO /fot. Shutterstock
fot.Shutterstock

REKLAMA

REKLAMA

15 marca 2019 r. – ta data może zapaść w pamięć każdemu administratorowi, inspektorowi ochrony danych, a także osobom zajmującym się ochroną danych osobowych. W tym dniu bowiem Prezes Urzędu Ochrony Danych Osobowych wydał pierwszą w historii obowiązywania przepisów RODO karę administracyjną. Jak się okazało, podstawowym przewinieniem, za które nałożono blisko milionową karę, był brak realizacji obowiązku informacyjnego. Przypomnijmy zatem najważniejsze kwestie w zakresie jego spełniania przez administratora.

Obowiązek informacyjny - czym jest i dlaczego jest taki ważny

REKLAMA

Każdy podmiot przetwarzający dane osobowe, będący administratorem, jest obarczony licznymi obowiązkami na gruncie RODO. Jednym z nich jest spełnienie tzw. obowiązku informacyjnego. Ze względu na interes osoby, której dane są przetwarzane, jest to jedno z najważniejszych zobowiązań administratora. To właśnie dzięki obowiązkowi informacyjnemu osoba ta może uzyskać podstawowe informacje na temat przetwarzania jej danych osobowych.

REKLAMA

Realizacja omawianego obowiązku polega na podaniu osobie, której dane dotyczą, wszelkich informacji wymaganych przepisami RODO. Grupa Robocza art. 29 (obecnie: Europejska Rada Ochrony Danych) w swoich wytycznych dotyczących przejrzystości słowo „podaje” rozumie jako czynne działania administratora w celu udzielenia wszelkich informacji lub czynne skierowanie tej osoby do miejsca, w którym znajdują się takie informacje. Co istotne, osoba, której dane dotyczą, nie powinna być zmuszona do samodzielnego szukania informacji odpowiadających obowiązkowi informacyjnemu pośród innych treści, np. w ramach obszernych regulaminów.

Polecamy: Kodeks pracy 2019 - komentarz

Treść obowiązku informacyjnego

Kluczowe w tym zakresie są dwa przepisy, tj. art. 13 oraz art. 14 RODO. Wybór jednego z przywołanych przepisów zależy od źródła, z którego administrator pozyskał dane osobowe. Artykuł 13 RODO znajdzie bowiem zastosowanie, gdy administrator pozyskuje dane osobowe bezpośrednio od osoby, której dane dotyczą. W wytycznych dotyczących przejrzystości Grupa Robocza art. 29 wskazuje następujące przykłady takich sytuacji:

  1. osoba, której dane dotyczą, samodzielnie przekazuje administratorowi dane osobowe (np. wypełniając formularz internetowy),
  2. administrator samodzielnie pozyskuje dane od osoby, której one dotyczą, w drodze obserwacji (np. przy zastosowaniu automatycznych rejestratorów, takich jak kamery czy urządzenia sieciowe).

Natomiast art. 14 RODO administrator będzie musiał uwzględnić, jeżeli dane osobowe zostały przez niego pozyskane nie bezpośrednio od osoby, której one dotyczą. Przywołane wytyczne w sprawie przejrzystości wskazują jako przykłady konieczności zastosowania tego przepisu m.in.:

Dalszy ciąg materiału pod wideo
  1. pozyskanie danych osobowych od zewnętrznego administratora danych (np. udostępnienie danych osobowych przez kontrahenta, partnera biznesowego, właściciela bazy danych),
  2. pozyskanie danych osobowych ze źródeł publicznie dostępnych (np. pozyskanie danych z CEIDG, KRS lub GUS),
  3. pozyskanie danych osobowych od innych osób (np. pozyskanie danych dotyczących członków rodzin, podanych przez pracowników).

Jeżeli dane osobowe pozyskujemy bezpośrednio od osoby, której one dotyczą, prawidłowo sformułowany obowiązek informacyjny, stosownie do art. 13 RODO, powinien zawierać:

    1. tożsamość i dane kontaktowe administratora (ewentualnie jego przedstawiciela),
    2. dane kontaktowe inspektora ochrony danych (jeżeli został powołany),
    3. cele przetwarzania danych osobowych oraz podstawę prawną przetwarzania,
    4. wyjaśnienie prawnie uzasadnionego interesu realizowanego przez administratora lub przez stronę trzecią (jeżeli podstawą przetwarzania danych jest art. 6 ust. 1 lit. f RODO),
    5. listę odbiorców danych osobowych lub ich kategorie (jeżeli przetwarzane dane osobowe będą przekazywane np. do podmiotów przetwarzających dane lub innych administratorów danych),
    6. informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz informację o sposobach uzyskania kopii tych zabezpieczeń lub o miejscu ich udostępnienia;
    7. okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe – kryteria ustalania tego okresu,
    8. informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania albo o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych,
    9. informacje o prawie do cofnięcia zgody (jeżeli stanowiła ona podstawę prawną przetwarzania danych),
    10. informacje o prawie wniesienia skargi do organu nadzorczego,
    11. informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym albo warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych,
    12. informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, z uwzględnieniem informacji o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Jeżeli podstawą realizacji obowiązku informacyjnego będzie art. 14 RODO, oprócz wyżej wymienionych informacji administrator jest zobowiązany podać:

    1. kategorie danych, które przetwarza,
    2. źródło pozyskania danych.
Zobacz również:

Realizacja obowiązku informacyjnego

Jeżeli administrator będzie pozyskiwać dane osobowe bezpośrednio od osoby fizycznej, powinien zrealizować obowiązek informacyjny podczas pozyskiwania tych danych. Realizacja obowiązku informacyjnego powinna zatem nastąpić najpóźniej przed zakończeniem zbierania danych osobowych. Rekomenduje się jednak, aby do spełnienia obowiązku informacyjnego doszło jeszcze przed pozyskaniem danych osobowych. W praktyce będzie się to odnosiło do umożliwienia osobie, której dane dotyczą, zapoznania się treścią klauzuli informacyjnej. Jako przykłady rozwiązań w tym zakresie można wskazać:

    1. umieszczenie klauzuli informacyjnej w treści formularza służącego do pozyskiwania danych osobowych,
    2. spełnienie obowiązku informacyjnego na wstępie rozmowy telefonicznej (dotyczy to np. telefonicznych biur obsługi klienta),
    3. przekazanie podstawowych informacji – takich jak tożsamość administratora danych, cele przetwarzania danych, opis praw przysługujących osobie, do której należą dane osobowe – z jednoczesnym odesłaniem do pełnej treści klauzuli informacyjnej, np. poprzez podany link (tzw. warstwowy obowiązek informacyjny).

Termin na spełnienie obowiązku informacyjnego, w sytuacji gdy dane osobowe administrator pozyskuje nie od osoby, której dane dotyczą, jest dłuższy (art. 14 ust. 3 RODO). W takim scenariuszu administrator ma maksymalnie miesiąc na zrealizowanie tego obowiązku od momentu pozyskania danych osobowych. Termin ten może ulec skróceniu, jeżeli:

    1. dane są wykorzystywane do komunikacji z osobą, której te dane dotyczą – wówczas obowiązek informacyjny powinien zostać spełniony podczas pierwszego kontaktu z tą osobą,
    2. dane mają zostać ujawnione innemu odbiorcy – wówczas administrator powinien zrealizować obowiązek informacyjny najpóźniej przy pierwszym ujawnianiu.

Przy podejmowaniu decyzji odnośnie do terminu przekazania informacji o przetwarzaniu danych osobowych administrator powinien uwzględnić rozsądne oczekiwania osób, których dane są przetwarzane, oraz wpływ tego przetwarzania na te osoby i ich prawa.

Jeżeli administratora dotyczy przypadek wskazany w art. 14 RODO, sposoby realizacji obowiązku informacyjnego mogą być następujące:

  1. przesłanie e-maila lub listu pocztą tradycyjną z klauzulą informacyjną lub odesłaniem do strony WWW, na której znajduje się pełna treść klauzuli,
  2. załączenie klauzuli informacyjnej do pierwszej wiadomości e-mailowej lub do listu przesłanego pocztą tradycyjną,
  3. zawarcie na stałe w stopce e-maila klauzuli informacyjnej lub odesłania do pełnej treści klauzuli.

Omawiając sposób realizacji obowiązku informacyjnego, warto zwrócić uwagę na stanowisko Grupy Roboczej art. 29, zawarte w cytowanych już wytycznych. Zgodnie z nim wszelkie informacje, które zostały przekazane osobie (np. w liście, e-mailu lub formularzu do pozyskiwania danych), powinny być dla niej dostępne niezależnie w innym miejscu lub w ramach innego dokumentu. Takie miejsce lub taki dokument powinny być łatwo dostępne, jeżeli osoba, której dane są przetwarzane, chciałaby zapoznać się ponownie z całością klauzuli informacyjnej (przykładem takich rozwiązań są zakładki pojawiające się na stronach internetowych administratorów, np. „Polityki prywatności”, „Zasady przetwarzania danych osobowych”, „RODO”).

Wyłączenia (teoretyczne) realizacji obowiązku informacyjnego

REKLAMA

Przepisy RODO przewidują kilka sytuacji, w których realizowanie obowiązku informacyjnego może zostać wyłączone (tak stanowi teoria). Przykładem może być taki stan rzecz (wskazany w art. 13 ust. 4 RODO), gdy administrator przetwarza dane osoby, które pozyskał bezpośrednio od niej, i osoba ta dysponuje już wszelkimi informacjami z art. 13 ust. 1, 2 i 3 RODO, wymienionymi w niniejszym artykule w części „Treść obowiązku informacyjnego”.

W przypadku zaś pośredniego pozyskiwania danych osobowych, zgodnie z art. 14 ust. 5 RODO, administrator może nie realizować obowiązku przekazywana informacji na temat przetwarzania danych osobowych, jeżeli:

    1. osoba, której dane dotyczą, dysponuje już informacjami w zakresie przetwarzania jej danych osobowych przez administratora,
    2. udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku; w szczególności w przypadku przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, z zastrzeżeniem warunków i zabezpieczeń, o których mowa w art. 89 ust. 1 RODO,
    3. pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą,
    4. dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy.

Niezależnie od powyższego zwolnieniem z obowiązku informacyjnego z art. 14 ust. 1 i 2 RODO objęto administratorów wykonujących zadania publiczne, jeżeli takie zwolnienie służy realizacji zadania publicznego. Podstawę zwolnienia w tym przypadku stanowi art. 4 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2018 r. poz. 1000 ze zm.). Przywołana ustawa w art. 2 przewiduje również całościowe wyłączenia stosowania art. 13 i art. 14 RODO w przypadku działalności polegającej na redagowaniu, przygotowywaniu, tworzeniu lub publikowaniu materiałów prasowych w rozumieniu ustawy z dnia 26 stycznia 1984 r. – Prawo prasowe (t.j. Dz.U. z 2018 r. poz. 1914. 

Warto w tym miejscu wskazać, że realizacja obowiązku informacyjnego nie będzie wymagana wówczas, gdy administrator danych nie przetwarza danych teleadresowych (np. numer telefonu, adres e-mailowy, adres miejsca zamieszkania/korespondencyjny) osób znajdujących się w jego systemach. Pozyskanie takich danych tylko w celu dokonania obowiązku informacyjnego nie jest konieczne (zważywszy na treść art. 11 ust. 1 RODO), a nawet może zostać uznane za złamanie zasady minimalizacji danych, gdyż nie są one potrzebne administratorowi do realizacji podstawowego celu ich przetwarzania.

Wpływ pierwszej kary za naruszenie RODO na realizację obowiązku informacyjnego - apetyt na ryzyko

Informacja o administracyjnej karze pieniężnej nałożonej przez Prezesa Urzędu Ochrony Danych decyzją z dnia 15 marca 2019 r. (ZSPR.421.3.2018) rozpowszechniła się nie tylko z tego względu, że jest to pierwsze tego typu rozstrzygnięcie polskiego organu nadzorczego. Bardzo istotne dla praktyków zajmujących się prawem ochrony danych osobowych jest podważenie w tej decyzji zasadności skorzystania przez administratora z przepisu wyłączającego konieczność spełnienia obowiązku informacyjnego.

Mając na względzie powyższe, należy podkreślić, że powoływanie się na wymienione wyłączenia będzie musiało być związane z pewnym apetytem na ryzyko. Wynika to w szczególności z faktu, że sam Urząd Ochrony Danych Osobowych nie przedstawia jednolitego stanowiska w prezentowanych przez siebie poglądach. Czytając komentarze przedstawicieli Urzędu Ochrony Danych Osobowych do decyzji z dnia 15 marca 2019 r., można spotkać się ze opinią, że realizacja obowiązku informacyjnego przez przesłanie stosownych informacji listem poleconym to nie jedyne możliwe rozwiązanie. Jest to istotne dla administratorów ze względu na koszty związane realizacją obowiązku informacyjnego w taki sposób, szczególnie jeżeli w grę wchodzi przetwarzanie danych osobowych dotyczących dużej liczby osób.

Nie byłoby w tym poglądzie nic niewłaściwego (zdaniem autora jest on całkowicie słuszny), gdyby nie fakt, że w decyzjach Prezesa Urzędu Ochrony Danych można znaleźć stanowisko podważające jego zasadność. Mowa tutaj o decyzji z dnia 21 grudnia 2018 r. (ZSPR.440.854.2018), w której organ nadzorczy uznał, że samo potwierdzenie nadania listu zwykłego zawierającego treść klauzuli informacyjnej nie jest wystarczającym dowodem na to, że osoba została skutecznie poinformowana o fakcie przetwarzania jej danych osobowych. Z przywołanej decyzji można wysnuć wniosek, że w celach dowodowych administrator powinien dysponować zwrotnym potwierdzeniem odbioru lub innym dokumentem potwierdzającym odbiór korespondencji przez osobę, której dane przetwarza. W tym miejscu trzeba podkreślić, że komentowana decyzja dotyczyła interpretacji art. 105a ust. 3 ustawy z dnia 29 sierpnia 1997 r. – Prawo bankowe (t.j. Dz.U. z 2018 r. poz. 2187 ze zm.), regulującego konieczność poinformowania osoby o przetwarzaniu jej danych osobowych. Jednakże zdaniem autora mocno rzutuje ona również na interpretację słowa „podaje”, użytego w art. 13 i art. 14 RODO.

Efektem przywołanych decyzji Prezesa Urzędu Ochrony Danych będzie zapewne konieczność asekuracyjnego podejścia administratorów do rezygnacji z realizacji obowiązku informacyjnego. Zdaniem autora podjęcie decyzji o skorzystaniu z możliwości nieprzekazywania treści klauzul informacyjnych, przewidzianych w przepisach art. 13 ust. 4 lub art. 14 ust. 5 RODO, będzie musiało być związane z wysokim apetytem na ryzyko, wynikającym z prawdopodobieństwa podważenia prawidłowości przyjętego rozwiązania przez organ nadzorczy.

Podsumowanie

Przed podjęciem decyzji o realizacji obowiązku informacyjnego administrator powinien w pierwszej kolejności poszukać odpowiedzi na pytania:

  1. skąd będą pochodzić dane osobowe (czy bezpośrednio od osoby, której one dotyczą, czy z innego źródła)?
  2. jakie dokładnie dane osobowe administrator będzie przetwarzał?

Pytania te powinny być dla administratora szczególnie istotne przy podejmowaniu decyzji, czy w ogóle będzie realizować obowiązek informacyjny (mając na względzie art. 11 ust. 1 RODO), a jeżeli tak, to w jaki sposób – ten uregulowany w art. 13 czy też w art. 14 RODO. Ustalenia w tym zakresie pozwolą również na precyzyjne określenie terminu, w jakim administrator powinien przekazać klauzulę informacyjną.

Należy podkreślić, że administrator powinien udzielić odpowiedzi na powyższe pytania już na etapie projektowania danego procesu przetwarzania danych. Wówczas niezbędne jest również ustalenie dalszych bardzo ważnych kwestii, mianowicie:

  1. jaki jest cel oraz jaka jest podstawa prawna przetwarzania?
  2. przez jaki czas administrator będzie przetwarzać dane osobowe?
  3. jakiemu odbiorcy administrator będzie udostępniać/powierzać dane osobowe?
  4. czy dane będą przekazywane do państw trzecich?
  5. czy dane będą podlegały zautomatyzowanemu przetwarzaniu?

Dopiero tak usystematyzowana wiedza pozwoli administratorowi na przygotowanie prawidłowej klauzuli informacyjnej.

Autor: Adw. Łukasz Pociecha, Ekspert ds. ochrony danych, ODO 24

Autopromocja

REKLAMA

Wersja do druku
Napisz do nas
Zapisz się na newsletter

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:

REKLAMA

Komentarze(0)

Pokaż:

Najnowsze
Popularne
Najstarsze
Uwaga, Twój komentarz może pojawić się z opóźnieniem do 10 minut. Zanim dodasz komentarz -zapoznaj się z zasadami komentowania artykułów.
    QR Code
    Moja firma
    Zapisz się na newsletter
    Zobacz przykładowy newsletter
    Zapisz się
    Wpisz poprawny e-mail
    Składka zdrowotna to parapodatek! Odkręcanie Polskiego Ładu powinno nastąpić jak najszybciej
    16 kwi 2024

    Składka zdrowotna to parapodatek! Zmiany w składce zdrowotnej muszą nastąpić jak najszybciej. Odkręcanie Polskiego Ładu dopiero od stycznia 2025 r. nie satysfakcjonuje przedsiębiorców. Czy składka zdrowotna wróci do stanu sprzed Polskiego Ładu?
    Dotacje KPO wzmocnią ofertę konkursów ABM 2024 dla przedsiębiorców
    16 kwi 2024

    Dotacje ABM (Agencji Badań Medycznych) finansowane były dotychczas przede wszystkim z krajowych środków publicznych. W 2024 roku ulegnie to zmianie za sprawą środków z KPO. Zgodnie z zapowiedziami, już w 3 i 4 kwartale możemy spodziewać się rozszerzenia oferty dotacyjnej dla przedsiębiorstw.
    "DGP": Ceneo wygrywa z Google. Sąd zakazał wyszukiwarce Google faworyzowania własnej porównywarki cenowej
    16 kwi 2024

    Warszawski sąd zakazał wyszukiwarce Google faworyzowania własnej porównywarki cenowej. Nie wolno mu też przekierowywać ruchu do Google Shopping kosztem Ceneo ani utrudniać dostępu do polskiej porównywarki przez usuwanie prowadzących do niej wyników wyszukiwania – pisze we wtorek "Dziennik Gazeta Prawna".
    Drogie podróże zarządu Orlenu. Nowe "porażające" informacje
    15 kwi 2024

    "Tylko w 2022 roku zarząd Orlenu wydał ponad pół miliona euro na loty prywatnymi samolotami" - poinformował w poniedziałek minister aktywów państwowych Borys Budka. Dodał, że w listopadzie ub.r. wdano też 400 tys. zł na wyjazd na wyścig Formuły 1 w USA.

    REKLAMA

    Cable pooling - nowy model inwestycji w OZE. Warunki przyłączenia, umowa
    15 kwi 2024

    W wyniku ostatniej nowelizacji ustawy Prawo energetyczne, która weszła w życie 1 października 2023 roku, do polskiego porządku prawnego wprowadzono długo wyczekiwane przez polską branżę energetyczną przepisy regulujące instytucję zbiorczego przyłącza, tzw. cable poolingu. Co warto wiedzieć o tej instytucji i przepisach jej dotyczących?
    Wakacje składkowe. Od kiedy, jakie kryteria trzeba spełnić?
    15 kwi 2024

    12 kwietnia 2024 r. w Sejmie odbyło się I czytanie projektu nowelizacji ustawy o systemie ubezpieczeń społecznych. Projekt nowelizacji przewiduje zwolnienie z opłacania składek ZUS (tzw. wakacje składkowe) dla małych przedsiębiorców. 
    Sprzedaż miodu - nowe przepisy od 18 kwietnia 2024 r.
    15 kwi 2024

    Nowe przepisy dotyczące sprzedaży miodu wchodzą w życie 18 kwietnia 2024 r. O czym muszą wiedzieć producenci miodu?
    Branża HoReCa nie jest w najlepszej kondycji. Restauracja z Wrocławia ma 4,2 mln zł długów
    15 kwi 2024

    Branża HoReCa od pandemii nie ma się najlepiej. Prawie 13,6 tys. obiektów noclegowych, restauracji i firm cateringowych w Polsce ma przeterminowane zaległości finansowe na ponad 352 mln zł. 

    REKLAMA

    Branża handlu detalicznego liczy w 2024 roku na uzyskanie wyższych marż – i to mimo presji na obniżanie cen
    14 kwi 2024

    Choć od pandemii upłynęło już sporo czasu, dla firm handlu detalicznego dalej największym wyzwaniem jest zarządzanie kosztami w warunkach wciąż wysokiej inflacji oraz presji na obniżkę cen. Do tego dochodzi w dalszym ciągu staranie o ustabilizowanie łańcucha dostaw. Jednak coraz więcej przedsiębiorstw patrzy z optymizmem w przyszłość i liczy na możliwość uzyskania wyższej marzy.
    Coraz więcej firm ma w planach inwestycje – najwięcej wśród średnich, co trzecia. Co to oznacza dla gospodarki
    14 kwi 2024

    Czwarty kwartał z rzędu rośnie optymizm wśród przedsiębiorców, co oznacza powrót do normalności jakiego nie było od czasów pandemii. Stabilność w pozytywnych nastrojach właścicieli i kadry zarządzającej firmy dobrze rokuje dla tempa wzrostu polskiej gospodarki.

    REKLAMA