REKLAMA

REKLAMA

Kategorie
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Przypomnij hasło
Witaj
Usuń konto
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.

Obowiązek informacyjny z art. 13 RODO w świetle wykładni Prezesa Urzędu Ochrony Danych Osobowych

Subskrybuj nas na Youtube
Dołącz do ekspertów Dołącz do grona ekspertów
Małgorzata Pundyk-Glet
doktor nauk prawnych, adwokat
Obowiązek informacyjny wynikający z RODO powinien być spełniany w chwili pozyskiwania danych, fot. shutterstock
Obowiązek informacyjny wynikający z RODO powinien być spełniany w chwili pozyskiwania danych, fot. shutterstock

REKLAMA

REKLAMA

Każdy przedsiębiorca powinien rozeznać, w jakim momencie pozyskuje dane i odpowiednio przygotować klauzulę z art. 13 RODO. Warto zapoznać się z decyzjami Prezesa Urzędu Ochrony Danych Osobowych, ponieważ w nich znajduje się wykładnia przepisów, która może się różnić od wykładni zawartej w dostępnych komentarzach.

W ubiegłym roku wdrożyłam RODO u ponad 100 podmiotów. Większość z nich nie posiadała żadnej polityki w zakresie ochrony danych i nie podejmowała w tym temacie żadnych działań także w reżimie poprzedniej ustawy.

REKLAMA

Znaczna część osób powołanych do wdrożenia w danej firmie RODO sprowadzała obowiązki związane z RODO do skopiowania gotowych regułek, które bezrefleksyjnie miały być wdrażane w przedsiębiorstwach.

Polecamy: RODO Jak przygotować się do kontroli

Najbardziej niechętnie podchodzono o obowiązku informacyjnego, o którym mowa w art. 13 RODO. Zgodnie z tym przepisem:

1. Jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, administrator podczas pozyskiwania danych osobowych podaje jej wszystkie następujące informacje:

Dalszy ciąg materiału pod wideo
  1. swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
  2. gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
  3. cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania;
  4. jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;
  5. informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
  6. gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz informacje o sposobach uzyskania kopii zabezpieczeń lub o miejscu ich udostępnienia.

2. Poza informacjami, o których mowa w ust. 1, podczas pozyskiwania danych osobowych administrator podaje osobie, której dane dotyczą, następujące inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania:

  1. okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
  2. informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
  3. jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
  4. informacje o prawie wniesienia skargi do organu nadzorczego;
  5. informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
  6. informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

3. Jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym dane osobowe zostały zebrane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji, o których mowa w ust. 2.

4. Ust. 1, 2 i 3 nie mają zastosowania, gdy – i w zakresie, w jakim – osoba, której dane dotyczą, dysponuje już tymi informacjami.

REKLAMA

Obowiązek informacyjny powinien być spełniany w chwili pozyskiwania danych, dlatego ja wdrożyłam odpowiednie klauzule w umowach z klientami, druku zamówienia, emailu, na stronie internetowej. Każdy przedsiębiorca powinien rozeznać, w jakim momencie pozyskuje dane i odpowiednio przygotować klauzulę z art. 13 RODO.

Większość podmiotów przekazuje informację w sposób możliwie lakoniczny, co nie jest jakimś specjalnym uchybieniem. Niepokojąca jest jednak wykładnia Prezesa Urzędu Ochrony Danych w zakresie odbiorców danych osobowych. W rozumieniu RODO pojęcie odbiorca oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców; przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania.

W decyzji z dnia 06.04.2019 roku nr ZSPU.421.2.2018 Prezes wskazał, że

„Ponadto, zarówno klauzula informacyjna, jak i rejestr czynności przetwarzania, nie zawierają informacji o wszystkich odbiorcach danych, w tym o stronach i uczestnikach postępowań administracyjnych w sprawach o zameldowanie lub wymeldowanie. Obowiązkiem administratora jest, na podstawie art. 12 ust. 1 ogólnego rozporządzenia o ochronie danych osobowych, podjęcie odpowiednich środków, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem udzielić osobie, której dane dotyczą, wszelkich informacji, o których mowa w art. 13 i 14 ogólnego rozporządzenia o ochronie danych osobowych. W ramach podjętych środków, zadaniem administratora jest zidentyfikowanie i ujęcie w klauzuli informacyjnej danych o wszystkich odbiorcach danych osobowych, którym dane są przekazywane w ramach poszczególnych czynności przetwarzania danych osobowych. Odbiorcą danych zgodnie z definicją odbiorcy określoną w art. 4 pkt 9 zd. 1 ogólnego rozporządzenia o ochronie danych jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego czy jest stroną trzecią. W związku z prowadzonymi przez Prezydenta Miasta W. postępowaniami administracyjnymi w sprawach o zameldowanie lub wymeldowanie, odbiorcami danych są strony oraz uczestnicy tych postępowań administracyjnych. Informację o tych odbiorcach należy ująć również w rejestrze czynności przetwarzania dla czynności związanej z prowadzeniem rejestru mieszkańców. Tymczasem, w załączonych do pisma Prezydenta Miasta W. z dnia […] grudnia 2018 r., […], klauzuli informacyjnej oraz rejestrze czynności przetwarzania informacje o stronach i uczestnikach postępowań administracyjnych w sprawach o zameldowanie lub wymeldowanie nie zostały ujęte.

[…]

Jednocześnie, na podstawie złożonych przez Prezydenta Miasta W. wyjaśnień oraz innych przedstawionych dowodów należy uznać, że w toku postępowania usunięte zostały pozostałe uchybienia w procesie przetwarzania danych osobowych, stanowiące przedmiot postępowania, tj.:

  1. W umowie z A. S.A. nr […] z dnia […] października 2018 roku, której przedmiot stanowi świadczenie usługi asysty technicznej i konserwacji oprogramowania systemu A., ujęto zapisy dotyczące wsparcia przez podmiot przetwarzający administratora danych w zakresie wypełnienia obowiązków ciążących na administratorze zgodnie z art. 28 ust. 3 lit. e), f) i h) ogólnego rozporządzenia o ochronie danych.
  2. Zamontowano przegrody pionowe pomiędzy stanowiskami obsługi klientów w sposób zapewniający osobom spełniającym obowiązek meldunkowy poufność przetwarzania danych osobowych, zgodnie z art. 5 ust. 1 lit. f) ogólnego rozporządzenia o ochronie danych, realizując tym samym obowiązek wdrożenia odpowiednich środków technicznych wynikający z art. 24 ust. 1 ogólnego rozporządzenia o ochronie danych.
  3. W klauzuli informacyjnej ujęto informację o A. S.A., jako odbiorcy danych.”

REKLAMA

Należy zwrócić szczególną uwagę na pkt.3. przytoczonego wyżej uzasadnienia. Z tego punktu wynika, że w klauzuli informacyjnej należy zamieszczać informację także o nazwie odbiorcy- w tym przypadku- podmiotu przetwarzającego, jeśli znamy jego tożsamość. Taka wykładnia będzie kłopotliwa w realizacji, bowiem wielu przedsiębiorców korzysta z licznych podmiotów przetwarzających, np. właścicieli serwerów, różnego rodzaju chmur, biur rachunkowych itp. Wydaje się, że przedsiębiorcy nie zdają sobie sprawy, że Prezes Urzędu może oczekiwać, aby zamieszczać dane tych podmiotów w klauzuli informacyjnej. Samo zidentyfikowanie wszystkich odbiorców może nastręczać trudności, np. w przypadku pracownika często odbiorcą danych będzie inny upoważniony pracownik, np. kadrowa, księgowa.

Wdrożenie RODO nie jest trudne, jednak przyjęte procedury i wzory wymagają przeglądów w celu uaktualnienia. Zachęcam do lektury decyzji Prezesa Urzędu, ponieważ w nich znajduje się wykładnia przepisów, która może się różnić od wykładni zawartej w dostępnych komentarzach.

Polecamy serwis: RODO w firmie

Zapisz się na newsletter
Zakładasz firmę? A może ją rozwijasz? Chcesz jak najbardziej efektywnie prowadzić swój biznes? Z naszym newsletterem będziesz zawsze na bieżąco.
Zaznacz wymagane zgody
loading
Zapisując się na newsletter wyrażasz zgodę na otrzymywanie treści reklam również podmiotów trzecich
Administratorem danych osobowych jest INFOR PL S.A. Dane są przetwarzane w celu wysyłki newslettera. Po więcej informacji kliknij tutaj.
success

Potwierdź zapis

Sprawdź maila, żeby potwierdzić swój zapis na newsletter. Jeśli nie widzisz wiadomości, sprawdź folder SPAM w swojej skrzynce.

failure

Coś poszło nie tak

Źródło: INFOR

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:
Autopromocja

REKLAMA

QR Code

© Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A.

REKLAMA

Moja firma
Zapisz się na newsletter
Zobacz przykładowy newsletter
Zapisz się
Wpisz poprawny e-mail
Rolnicy radzą sobie dużo lepiej z długami niż firmy przetwarzające plony ich pracy

Polska żywność ma się dobrze, ale kondycja finansowa branży już mniej. Sektor rolno-spożywczy musi oddać wierzycielom 760,6 mln zł, a wiarygodność płatnicza przetwórców i dostawców staje się coraz większym problemem. Nie dotyczy to rolników, którzy na ogół są wiarygodni finansowo.

Małe firmy z dużymi obawami przed kolejnym wysokim wzrostem płacy minimalnej

Duże wzrosty płacy minimalnej w ostatnich latach hamują wzrost małych i średnich firm. Poza bezpośrednim obciążeniem kosztami pracowniczymi oznaczają dla przedsiębiorców skokowy wzrost koszt w postaci coraz wyższych składek ZUS.

Umowa z influencerem krok po kroku

Szybki rozwój marketingu internetowego otworzył przed markami i twórcami zupełnie nowe perspektywy współpracy. W dobie cyfrowej rewolucji, influencerzy stali się kluczowymi partnerami w promocji produktów i usług, oferując unikatowy sposób docierania do odbiorców (potencjalnych klientów marek). Współpraca z twórcami, choć niezwykle efektywna, wiąże się jednak z szeregiem wyzwań prawnych, które wymagają szczególnej uwagi. Odpowiednie uregulowanie wzajemnych praw i obowiązków jest fundamentem sukcesu i bezpieczeństwa obu stron, minimalizując ryzyko sporów i nieporozumień.

Deregulacja: rząd naprawia prawo, ale przedsiębiorcy nie są zadowoleni z zakresu i tempa zmian w przepisach

Przedsiębiorcy przekonują, że Polska musi być krajem ze sprawną strukturą przepisów. Mimo postępów nadal wiele zagadnień z prawa budowlanego, pozwoleń na zatrudnienie czy przepisów związanych z regulacją handlu i usług zdają się być niepotrzebnym mnożeniem administracji.

REKLAMA

Czy konto firmowe jest obowiązkowe?

Przy założeniu firmy musisz dopełnić wielu formalności. O ile wybór nazwy przedsiębiorstwa, wskazanie adresu jego siedziby, czy wskazanie właściwego PKD są obligatoryjne, o tyle otworzenie rachunku firmowego niekoniecznie. Jednak dużo zależy przy tym od tego, jaka forma działalności jest prowadzona, jakie transakcje są wykonywane i wreszcie, czy chce ona korzystać z mechanizmu split payment.

Blisko LUDZI i dla LUDZI. Czym Emtor wyróżnia się jako pracodawca na rynku wózków widłowych?

Na przestrzeni lat firma Emtor udowodniła, że sukces w biznesie nie zależy wyłącznie od produktów czy wyników finansowych, ale przede wszystkim od ludzi, którzy ten biznes tworzą. To dzięki zaangażowaniu, lojalności i codziennej pracy zespołów połączenie tradycji z nowoczesnością jest możliwe. Emtor stawia na człowieka – nie tylko jako pracownika, ale jako partnera w budowaniu wspólnej przyszłości. Bo gdy ludzie czują się docenieni, chcą zostać na dłużej. Jak zatem firma buduje swoją przewagę na konkurencyjnym rynku?

Poczta Polska nawiązuje partnerstwo z Temu. Wszyscy dołożymy się do chińskiego giganta?

Poczta Polska poinformowała o nawiązaniu współpracy logistycznej z platformą Temu. Państwowe przedsiębiorstwo rozwija obsługę przesyłek e-commerce. Przesyłki zakupione na chińskiej platformie zakupowej będą dostarczane do klientów w ciągu kilku dni.

6 miesięcy vacatio legis i gotowy projekt deregulacyjny to za mało. Deregulacja musi przyspieszyć

Przedsiębiorcy pozytywnie oceniają 6 miesięcy vacatio legis i gotowy projekt deregulacyjny zakładający uproszczenie prowadzenia działalności nierejestrowanej czy milczącą zgodę w wyszczególnionych w ustawie zagadnieniach gospodarczych, ale to za mało. Deregulacja musi przyspieszyć.

REKLAMA

Warto udzielić pełnomocnictwa lub prokury w CEIDG

Prowadzenie własnej firmy to nie tylko pasja i satysfakcja, ale także szereg obowiązków, które co do zasady przedsiębiorca powinien wykonywać osobiście sprawując zarząd nad swoim przedsiębiorstwem. Chodzi tu przede wszystkim o zawieranie umów, czy kontakty z urzędami i sądami. Wraz z rozwojem firmy może okazać się, że konieczne będzie delegowanie części zadań związanych z zarządzaniem przedsiębiorstwem na inne osoby. Aktualnie, każdy przedsiębiorca wpisany do Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEIDG) może ustanowić pełnomocnika lub prokurenta, który będzie reprezentować go w sprawach pozostających w związku z prowadzoną przez tego przedsiębiorcę działalnością gospodarczą.

Biznesowy challenge z dala od zgiełku

Rozmowa z Agnieszką Najberek, dyrektorką sprzedaży MICE w Hotelu Arłamów, o trendach w budowaniu dobrostanu i integracji pracowników.

REKLAMA