REKLAMA

REKLAMA

Kategorie
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Przypomnij hasło
Witaj
Usuń konto
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.

Obowiązek informacyjny z art. 13 RODO w świetle wykładni Prezesa Urzędu Ochrony Danych Osobowych

Subskrybuj nas na Youtube
Dołącz do ekspertów Dołącz do grona ekspertów
Małgorzata Pundyk-Glet
doktor nauk prawnych, adwokat
Obowiązek informacyjny wynikający z RODO powinien być spełniany w chwili pozyskiwania danych, fot. shutterstock
Obowiązek informacyjny wynikający z RODO powinien być spełniany w chwili pozyskiwania danych, fot. shutterstock

REKLAMA

REKLAMA

Każdy przedsiębiorca powinien rozeznać, w jakim momencie pozyskuje dane i odpowiednio przygotować klauzulę z art. 13 RODO. Warto zapoznać się z decyzjami Prezesa Urzędu Ochrony Danych Osobowych, ponieważ w nich znajduje się wykładnia przepisów, która może się różnić od wykładni zawartej w dostępnych komentarzach.

W ubiegłym roku wdrożyłam RODO u ponad 100 podmiotów. Większość z nich nie posiadała żadnej polityki w zakresie ochrony danych i nie podejmowała w tym temacie żadnych działań także w reżimie poprzedniej ustawy.

REKLAMA

Znaczna część osób powołanych do wdrożenia w danej firmie RODO sprowadzała obowiązki związane z RODO do skopiowania gotowych regułek, które bezrefleksyjnie miały być wdrażane w przedsiębiorstwach.

Polecamy: RODO Jak przygotować się do kontroli

Najbardziej niechętnie podchodzono o obowiązku informacyjnego, o którym mowa w art. 13 RODO. Zgodnie z tym przepisem:

1. Jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, administrator podczas pozyskiwania danych osobowych podaje jej wszystkie następujące informacje:

Dalszy ciąg materiału pod wideo
  1. swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
  2. gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
  3. cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania;
  4. jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;
  5. informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
  6. gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz informacje o sposobach uzyskania kopii zabezpieczeń lub o miejscu ich udostępnienia.

2. Poza informacjami, o których mowa w ust. 1, podczas pozyskiwania danych osobowych administrator podaje osobie, której dane dotyczą, następujące inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania:

  1. okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
  2. informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
  3. jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
  4. informacje o prawie wniesienia skargi do organu nadzorczego;
  5. informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
  6. informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

3. Jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym dane osobowe zostały zebrane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji, o których mowa w ust. 2.

4. Ust. 1, 2 i 3 nie mają zastosowania, gdy – i w zakresie, w jakim – osoba, której dane dotyczą, dysponuje już tymi informacjami.

REKLAMA

Obowiązek informacyjny powinien być spełniany w chwili pozyskiwania danych, dlatego ja wdrożyłam odpowiednie klauzule w umowach z klientami, druku zamówienia, emailu, na stronie internetowej. Każdy przedsiębiorca powinien rozeznać, w jakim momencie pozyskuje dane i odpowiednio przygotować klauzulę z art. 13 RODO.

Większość podmiotów przekazuje informację w sposób możliwie lakoniczny, co nie jest jakimś specjalnym uchybieniem. Niepokojąca jest jednak wykładnia Prezesa Urzędu Ochrony Danych w zakresie odbiorców danych osobowych. W rozumieniu RODO pojęcie odbiorca oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców; przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania.

W decyzji z dnia 06.04.2019 roku nr ZSPU.421.2.2018 Prezes wskazał, że

„Ponadto, zarówno klauzula informacyjna, jak i rejestr czynności przetwarzania, nie zawierają informacji o wszystkich odbiorcach danych, w tym o stronach i uczestnikach postępowań administracyjnych w sprawach o zameldowanie lub wymeldowanie. Obowiązkiem administratora jest, na podstawie art. 12 ust. 1 ogólnego rozporządzenia o ochronie danych osobowych, podjęcie odpowiednich środków, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem udzielić osobie, której dane dotyczą, wszelkich informacji, o których mowa w art. 13 i 14 ogólnego rozporządzenia o ochronie danych osobowych. W ramach podjętych środków, zadaniem administratora jest zidentyfikowanie i ujęcie w klauzuli informacyjnej danych o wszystkich odbiorcach danych osobowych, którym dane są przekazywane w ramach poszczególnych czynności przetwarzania danych osobowych. Odbiorcą danych zgodnie z definicją odbiorcy określoną w art. 4 pkt 9 zd. 1 ogólnego rozporządzenia o ochronie danych jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego czy jest stroną trzecią. W związku z prowadzonymi przez Prezydenta Miasta W. postępowaniami administracyjnymi w sprawach o zameldowanie lub wymeldowanie, odbiorcami danych są strony oraz uczestnicy tych postępowań administracyjnych. Informację o tych odbiorcach należy ująć również w rejestrze czynności przetwarzania dla czynności związanej z prowadzeniem rejestru mieszkańców. Tymczasem, w załączonych do pisma Prezydenta Miasta W. z dnia […] grudnia 2018 r., […], klauzuli informacyjnej oraz rejestrze czynności przetwarzania informacje o stronach i uczestnikach postępowań administracyjnych w sprawach o zameldowanie lub wymeldowanie nie zostały ujęte.

[…]

Jednocześnie, na podstawie złożonych przez Prezydenta Miasta W. wyjaśnień oraz innych przedstawionych dowodów należy uznać, że w toku postępowania usunięte zostały pozostałe uchybienia w procesie przetwarzania danych osobowych, stanowiące przedmiot postępowania, tj.:

  1. W umowie z A. S.A. nr […] z dnia […] października 2018 roku, której przedmiot stanowi świadczenie usługi asysty technicznej i konserwacji oprogramowania systemu A., ujęto zapisy dotyczące wsparcia przez podmiot przetwarzający administratora danych w zakresie wypełnienia obowiązków ciążących na administratorze zgodnie z art. 28 ust. 3 lit. e), f) i h) ogólnego rozporządzenia o ochronie danych.
  2. Zamontowano przegrody pionowe pomiędzy stanowiskami obsługi klientów w sposób zapewniający osobom spełniającym obowiązek meldunkowy poufność przetwarzania danych osobowych, zgodnie z art. 5 ust. 1 lit. f) ogólnego rozporządzenia o ochronie danych, realizując tym samym obowiązek wdrożenia odpowiednich środków technicznych wynikający z art. 24 ust. 1 ogólnego rozporządzenia o ochronie danych.
  3. W klauzuli informacyjnej ujęto informację o A. S.A., jako odbiorcy danych.”

REKLAMA

Należy zwrócić szczególną uwagę na pkt.3. przytoczonego wyżej uzasadnienia. Z tego punktu wynika, że w klauzuli informacyjnej należy zamieszczać informację także o nazwie odbiorcy- w tym przypadku- podmiotu przetwarzającego, jeśli znamy jego tożsamość. Taka wykładnia będzie kłopotliwa w realizacji, bowiem wielu przedsiębiorców korzysta z licznych podmiotów przetwarzających, np. właścicieli serwerów, różnego rodzaju chmur, biur rachunkowych itp. Wydaje się, że przedsiębiorcy nie zdają sobie sprawy, że Prezes Urzędu może oczekiwać, aby zamieszczać dane tych podmiotów w klauzuli informacyjnej. Samo zidentyfikowanie wszystkich odbiorców może nastręczać trudności, np. w przypadku pracownika często odbiorcą danych będzie inny upoważniony pracownik, np. kadrowa, księgowa.

Wdrożenie RODO nie jest trudne, jednak przyjęte procedury i wzory wymagają przeglądów w celu uaktualnienia. Zachęcam do lektury decyzji Prezesa Urzędu, ponieważ w nich znajduje się wykładnia przepisów, która może się różnić od wykładni zawartej w dostępnych komentarzach.

Polecamy serwis: RODO w firmie

Zapisz się na newsletter
Zakładasz firmę? A może ją rozwijasz? Chcesz jak najbardziej efektywnie prowadzić swój biznes? Z naszym newsletterem będziesz zawsze na bieżąco.
Zaznacz wymagane zgody
loading
Zapisując się na newsletter wyrażasz zgodę na otrzymywanie treści reklam również podmiotów trzecich
Administratorem danych osobowych jest INFOR PL S.A. Dane są przetwarzane w celu wysyłki newslettera. Po więcej informacji kliknij tutaj.
success

Potwierdź zapis

Sprawdź maila, żeby potwierdzić swój zapis na newsletter. Jeśli nie widzisz wiadomości, sprawdź folder SPAM w swojej skrzynce.

failure

Coś poszło nie tak

Źródło: INFOR

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:
Autopromocja

REKLAMA

QR Code

© Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A.

REKLAMA

Moja firma
Zapisz się na newsletter
Zobacz przykładowy newsletter
Zapisz się
Wpisz poprawny e-mail
Nadchodzi czas pożegnań z papierowymi fakturami. Wszystko co trzeba wiedzieć o e-fakturowaniu i KSeF

Krajowy System eFaktur powstał by ułatwić życie przedsiębiorcom, ale jest też nowym obowiązkiem, którego przestrzeganie narzuca prawo. Firmy, które nie będą przestrzegać jego zasad, muszą liczyć się z dotkliwymi karami, wynoszącymi nawet 100% kwoty podatku z faktury wystawionej poza KSeF.

Dlaczego rezygnują z założenia własnej firmy: kobiety mają inny powód niż mężczyźni

Aż 47 proc. ankietowanych Polaków nie chciałoby prowadzić własnej firmy – wskazują dane z raportu „Polki i przedsiębiorczość 2024: Bariery w zakładaniu firmy”. Kobiety przed założeniem własnej firmy powstrzymuje sytuacja rodzinna, a mężczyzn – stan zdrowia. Nowe dane.

Branża meblarska mocno traci przez zagraniczną konkurencję, końca kłopotów nie widać

Wysokie koszty produkcji, spadający popyt i silna konkurencja z Azji osłabiają pozycję polskiej branży meblarskiej. Długi sektora, notowane w Krajowym Rejestrze Długów, sięgają już prawie 130 mln zł – coraz więcej przedsiębiorstw musi wybierać między utrzymaniem płynności a spłatą zobowiązań.

Prezydent zawetował. Przedsiębiorcy będą dalej płacić wysoką składkę zdrowotną a może rząd podejmie drugą próbę zmiany

Prezydent zawetował ustawę obniżającą składki zdrowotne dla przedsiębiorców. Rząd jednak nie ustępuje i podejmie kolejną próbę, powtarzając rozwiązania przyjęte w ustawie dokładnie w takiej samej treści. Jaka więc ma być składka zdrowotna gdy uda się przeprowadzić zmiany.

REKLAMA

Rolnicy wierzą w dobrą koniunkturę - po dłuższej przerwie znów inwestują w maszyny rolnicze

W I kwartale 2025 roku rolnictwo było branżą z największym udziałem w finansowaniu maszyn i urządzeń przez firmy leasingowe – 28%, wynika z danych Związku Polskiego Leasingu. Rolnicy wracają do inwestowania wierząc w poprawę koniunktury w branży.

Mała firma, duże ryzyko. Dlaczego system ochrony to dziś inwestycja, nie koszt [WYWIAD]

Choć wielu właścicieli małych firm wciąż traktuje ochronę jako zbędny wydatek, rosnąca liczba incydentów – zarówno fizycznych, jak i cyfrowych – pokazuje, że to podejście bywa kosztowne. Dziś zagrożeniem może być nie tylko włamanie, ale też wyciek danych czy przestój operacyjny. W rozmowie z Adamem Śliwińskim, wiceprezesem Seris Konsalnet Security, sprawdzamy, jak MŚP mogą skutecznie zadbać o swoje bezpieczeństwo – bez milionowych budżetów, za to z myśleniem przyszłościowym.

Polskie firmy chcą eksportować do USA, co z cłami

Polska gospodarka łapie drugi oddech czy walczy o utrzymanie na powierzchni? Jaka będzie przyszłość eksportu do USA? Eksperci podsumowali pierwszy kwartał 2025. Analizie poddany został nie tylko eksport polskich firm, ale i ogólny bilans handlu zagranicznego.

Teraz płatności odroczone także przy zakupach dla firmy

Polskie firmy uzyskują dostęp do płatności odroczonych oraz ratalnych w standardzie zbliżonym do tego oferowanego konsumentom. To duże ułatwienie, z którego skorzystają w pierwszej kolejności małe i średnie firmy.

REKLAMA

Termin składania wniosków o dopłaty bezpośrednie 2025

Jaki jest termin składania wniosków do ARIMR o dopłaty bezpośrednie w 2025 roku? Czy można złożyć dokumenty po terminie? Co z załącznikami?

Co każdy prezes (CEO) powinien dziś wiedzieć o technologii?

Każda szkoła zarządzania mówi: deleguj odpowiedzialność. Niezależnie czy mówimy o MŚP czy dużej organizacji, zarządzanie technologią powinno więc być oddane w ręce tych, którzy się na niej znają. Z drugiej strony – jeśli mamy wyprzedzić konkurencję, trzeba inwestować i lewarować biznes przez technologię. Żeby robić to efektywnie, kadra zarządzająca musi rozumieć przynajmniej część świata IT. Problem w tym, że świat technologii jest tak przeładowany informacjami, że często nawet eksperci od IT się w nim gubią. Co warto rozumieć? Jak głęboko wchodzić w poszczególne zagadnienia? Jak rozmawiać z zespołem, który zasypuje wieloma szczegółami? Oto krótki, praktyczny przewodnik.

REKLAMA