REKLAMA

REKLAMA

Kategorie
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Przypomnij hasło
Witaj
Usuń konto
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.

Obowiązek informacyjny z art. 13 RODO w świetle wykładni Prezesa Urzędu Ochrony Danych Osobowych

Subskrybuj nas na Youtube
Dołącz do ekspertów Dołącz do grona ekspertów
Małgorzata Pundyk-Glet
doktor nauk prawnych, adwokat
Obowiązek informacyjny wynikający z RODO powinien być spełniany w chwili pozyskiwania danych, fot. shutterstock
Obowiązek informacyjny wynikający z RODO powinien być spełniany w chwili pozyskiwania danych, fot. shutterstock

REKLAMA

REKLAMA

Każdy przedsiębiorca powinien rozeznać, w jakim momencie pozyskuje dane i odpowiednio przygotować klauzulę z art. 13 RODO. Warto zapoznać się z decyzjami Prezesa Urzędu Ochrony Danych Osobowych, ponieważ w nich znajduje się wykładnia przepisów, która może się różnić od wykładni zawartej w dostępnych komentarzach.

W ubiegłym roku wdrożyłam RODO u ponad 100 podmiotów. Większość z nich nie posiadała żadnej polityki w zakresie ochrony danych i nie podejmowała w tym temacie żadnych działań także w reżimie poprzedniej ustawy.

REKLAMA

REKLAMA

Znaczna część osób powołanych do wdrożenia w danej firmie RODO sprowadzała obowiązki związane z RODO do skopiowania gotowych regułek, które bezrefleksyjnie miały być wdrażane w przedsiębiorstwach.

Polecamy: RODO Jak przygotować się do kontroli

Najbardziej niechętnie podchodzono o obowiązku informacyjnego, o którym mowa w art. 13 RODO. Zgodnie z tym przepisem:

REKLAMA

1. Jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, administrator podczas pozyskiwania danych osobowych podaje jej wszystkie następujące informacje:

Dalszy ciąg materiału pod wideo
  1. swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
  2. gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
  3. cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania;
  4. jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;
  5. informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
  6. gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz informacje o sposobach uzyskania kopii zabezpieczeń lub o miejscu ich udostępnienia.

2. Poza informacjami, o których mowa w ust. 1, podczas pozyskiwania danych osobowych administrator podaje osobie, której dane dotyczą, następujące inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania:

  1. okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
  2. informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
  3. jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
  4. informacje o prawie wniesienia skargi do organu nadzorczego;
  5. informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
  6. informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

3. Jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym dane osobowe zostały zebrane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji, o których mowa w ust. 2.

4. Ust. 1, 2 i 3 nie mają zastosowania, gdy – i w zakresie, w jakim – osoba, której dane dotyczą, dysponuje już tymi informacjami.

Obowiązek informacyjny powinien być spełniany w chwili pozyskiwania danych, dlatego ja wdrożyłam odpowiednie klauzule w umowach z klientami, druku zamówienia, emailu, na stronie internetowej. Każdy przedsiębiorca powinien rozeznać, w jakim momencie pozyskuje dane i odpowiednio przygotować klauzulę z art. 13 RODO.

Większość podmiotów przekazuje informację w sposób możliwie lakoniczny, co nie jest jakimś specjalnym uchybieniem. Niepokojąca jest jednak wykładnia Prezesa Urzędu Ochrony Danych w zakresie odbiorców danych osobowych. W rozumieniu RODO pojęcie odbiorca oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców; przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania.

W decyzji z dnia 06.04.2019 roku nr ZSPU.421.2.2018 Prezes wskazał, że

„Ponadto, zarówno klauzula informacyjna, jak i rejestr czynności przetwarzania, nie zawierają informacji o wszystkich odbiorcach danych, w tym o stronach i uczestnikach postępowań administracyjnych w sprawach o zameldowanie lub wymeldowanie. Obowiązkiem administratora jest, na podstawie art. 12 ust. 1 ogólnego rozporządzenia o ochronie danych osobowych, podjęcie odpowiednich środków, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem udzielić osobie, której dane dotyczą, wszelkich informacji, o których mowa w art. 13 i 14 ogólnego rozporządzenia o ochronie danych osobowych. W ramach podjętych środków, zadaniem administratora jest zidentyfikowanie i ujęcie w klauzuli informacyjnej danych o wszystkich odbiorcach danych osobowych, którym dane są przekazywane w ramach poszczególnych czynności przetwarzania danych osobowych. Odbiorcą danych zgodnie z definicją odbiorcy określoną w art. 4 pkt 9 zd. 1 ogólnego rozporządzenia o ochronie danych jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego czy jest stroną trzecią. W związku z prowadzonymi przez Prezydenta Miasta W. postępowaniami administracyjnymi w sprawach o zameldowanie lub wymeldowanie, odbiorcami danych są strony oraz uczestnicy tych postępowań administracyjnych. Informację o tych odbiorcach należy ująć również w rejestrze czynności przetwarzania dla czynności związanej z prowadzeniem rejestru mieszkańców. Tymczasem, w załączonych do pisma Prezydenta Miasta W. z dnia […] grudnia 2018 r., […], klauzuli informacyjnej oraz rejestrze czynności przetwarzania informacje o stronach i uczestnikach postępowań administracyjnych w sprawach o zameldowanie lub wymeldowanie nie zostały ujęte.

[…]

Jednocześnie, na podstawie złożonych przez Prezydenta Miasta W. wyjaśnień oraz innych przedstawionych dowodów należy uznać, że w toku postępowania usunięte zostały pozostałe uchybienia w procesie przetwarzania danych osobowych, stanowiące przedmiot postępowania, tj.:

  1. W umowie z A. S.A. nr […] z dnia […] października 2018 roku, której przedmiot stanowi świadczenie usługi asysty technicznej i konserwacji oprogramowania systemu A., ujęto zapisy dotyczące wsparcia przez podmiot przetwarzający administratora danych w zakresie wypełnienia obowiązków ciążących na administratorze zgodnie z art. 28 ust. 3 lit. e), f) i h) ogólnego rozporządzenia o ochronie danych.
  2. Zamontowano przegrody pionowe pomiędzy stanowiskami obsługi klientów w sposób zapewniający osobom spełniającym obowiązek meldunkowy poufność przetwarzania danych osobowych, zgodnie z art. 5 ust. 1 lit. f) ogólnego rozporządzenia o ochronie danych, realizując tym samym obowiązek wdrożenia odpowiednich środków technicznych wynikający z art. 24 ust. 1 ogólnego rozporządzenia o ochronie danych.
  3. W klauzuli informacyjnej ujęto informację o A. S.A., jako odbiorcy danych.”

Należy zwrócić szczególną uwagę na pkt.3. przytoczonego wyżej uzasadnienia. Z tego punktu wynika, że w klauzuli informacyjnej należy zamieszczać informację także o nazwie odbiorcy- w tym przypadku- podmiotu przetwarzającego, jeśli znamy jego tożsamość. Taka wykładnia będzie kłopotliwa w realizacji, bowiem wielu przedsiębiorców korzysta z licznych podmiotów przetwarzających, np. właścicieli serwerów, różnego rodzaju chmur, biur rachunkowych itp. Wydaje się, że przedsiębiorcy nie zdają sobie sprawy, że Prezes Urzędu może oczekiwać, aby zamieszczać dane tych podmiotów w klauzuli informacyjnej. Samo zidentyfikowanie wszystkich odbiorców może nastręczać trudności, np. w przypadku pracownika często odbiorcą danych będzie inny upoważniony pracownik, np. kadrowa, księgowa.

Wdrożenie RODO nie jest trudne, jednak przyjęte procedury i wzory wymagają przeglądów w celu uaktualnienia. Zachęcam do lektury decyzji Prezesa Urzędu, ponieważ w nich znajduje się wykładnia przepisów, która może się różnić od wykładni zawartej w dostępnych komentarzach.

Polecamy serwis: RODO w firmie

Zapisz się na newsletter
Zakładasz firmę? A może ją rozwijasz? Chcesz jak najbardziej efektywnie prowadzić swój biznes? Z naszym newsletterem będziesz zawsze na bieżąco.
Zaznacz wymagane zgody
loading
Zapisując się na newsletter wyrażasz zgodę na otrzymywanie treści reklam również podmiotów trzecich
Administratorem danych osobowych jest INFOR PL S.A. Dane są przetwarzane w celu wysyłki newslettera. Po więcej informacji kliknij tutaj.
success

Potwierdź zapis

Sprawdź maila, żeby potwierdzić swój zapis na newsletter. Jeśli nie widzisz wiadomości, sprawdź folder SPAM w swojej skrzynce.

failure

Coś poszło nie tak

Źródło: INFOR

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:
Autopromocja

REKLAMA

QR Code

© Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A.

REKLAMA

Moja firma
Zapisz się na newsletter
Zobacz przykładowy newsletter
Zapisz się
Wpisz poprawny e-mail
Gdy przedsiębiorca jest w trudnej sytuacji, ZUS może przejąć wypłatę zasiłków

Brak płynności finansowej płatnika składek, który zatrudnia powyżej 20 osób, może utrudniać mu regulowanie świadczeń na rzecz pracowników. Takimi świadczeniami są zasiłek chorobowy, zasiłek macierzyński czy świadczenie rehabilitacyjne. W takiej sytuacji Zakład Ubezpieczeń Społecznych może pomóc i przejąć wypłatę świadczeń. Potrzebny jest jednak wniosek płatnika lub ubezpieczonego.

Pracodawcy będą musieli bardziej chronić pracowników przed upałami. Zmiany już od 1 stycznia 2027 r.

Dotychczas polskie prawo regulowało jedynie minimalne temperatury w miejscu pracy. Wkrótce może się to zmienić – rząd przygotował projekt przepisów wprowadzających limity także dla upałów. To odpowiedź na coraz częstsze fale wysokich temperatur w Polsce.

Przywództwo to wspólna misja

Rozmowa z Piotrem Kolmasem, konsultantem biznesowym, i Sławomirem Faconem, dyrektorem odpowiedzialnym za rekrutację i rozwój pracowników w PLL LOT, autorami książki „The Team. Nowoczesne przywództwo Mission Command”, o koncepcji wywodzącej się z elitarnych sił specjalnych, która z powodzeniem sprawdza się w biznesie

Rośnie liczba donosów do skarbówki, ale tylko kilka procent informacji się potwierdza [DANE Z KAS]

Jak wynika z danych przekazanych przez 16 Izb Administracji Skarbowej, w I połowie br. liczba informacji sygnalnych, a więc tzw. donosów, skierowanych do jednostek KAS wyniosła 37,2 tys. Przy tym zestawienie nie jest pełne, bowiem nie zakończył się obowiązek sprawozdawczy urzędów skarbowych w tym zakresie. Zatem na chwilę obecną to o 4,2% więcej niż w analogicznym okresie 2024 roku, kiedy było ich 35,7 tys. Natomiast, zestawiając tegoroczne dane z tymi z I połowy 2023 roku, widać wzrost o 6%. Wówczas odnotowano 35,1 tys. takich przypadków. Poniżej omówienie dotychczasowych danych z Krajowej Administracji Skarbowej.

REKLAMA

Wygoda, bezpieczeństwo, prestiż – trzy filary nowoczesnego biznesu

Cyfryzacja, zielona transformacja i konieczność reagowania na coraz szybsze zmiany rynkowe sprawiają, że współczesnym firmom potrzebne są nie tylko tradycyjne narzędzia finansowe. Przedsiębiorcy oczekują nowoczesnych rozwiązań, które usprawnią zarządzanie biznesem, oszczędzą czas i zminimalizują ryzyko. Bank BNP Paribas odpowiada na te potrzeby, oferując innowacyjne pakiety rachunków oraz prestiżową kartę Mastercard Business World Elite. To narzędzia, które pomagają firmom z różnych branż - od e-commerce, przez usługi i budownictwo, aż po handel międzynarodowy - zachować stabilność i skutecznie rozwijać biznes.

Webinar: Architekci zmiany

Jak dobrać zespół, który skutecznie przeprowadzi transformację?

Ponad 156 mln zł na zagraniczną ekspansję firm! PARP ogłasza wyniki naboru "Promocja marki innowacyjnych MŚP"

Polska Agencja Rozwoju Przedsiębiorczości (PARP) opublikowała wyniki naboru w konkursie „Promocja marki innowacyjnych MŚP”, realizowanym w ramach programu Fundusze Europejskie dla Nowoczesnej Gospodarki (FENG). Wsparcie trafi do 183 projektów na łączną kwotę ponad 156 mln zł, które pomogą polskim przedsiębiorstwom w promocji produktów i usług na rynkach międzynarodowych.

Kim jest rzecznik patentowy i jak wspiera przedsiębiorców?

Do 5 września trwa nabór na aplikację rzecznikowską. To ścieżka kariery m.in. dla absolwentów kierunków prawniczych, technicznych i ścisłych. Problem w tym, że wielu studentów nie ma świadomości, że taki zawód zaufania publicznego istnieje i jaka jest jego rola. W Polsce jest dziś 1 tys. rzeczników patentowych.

REKLAMA

Weto prezydenta dla ustawy wiatrakowej a weto dla ustawy o deregulacji w energetyce

Jakie znaczenie ma weto prezydenta dla ustawy wiatrakowej? Najbardziej poszkodowani są mieszkańcy posiadający domy w bezpośrednim sąsiedztwie farm wiatrowych. Mieli otrzymać nawet do 20 tys. zł do podziału dla mieszkańców posiadających nieruchomości w promieniu 1 km od turbiny. Natomiast bardziej problematyczne dla rozwoju OZE jest weto dla Ustawy o deregulacji w energetyce.

Poławianie pereł. W jaki sposób łączyć technologię z autentycznością, by pozyskiwać jak najlepszych kandydatów?

Wyobraź sobie świat, w którym rekrutacja to już nie tylko „polowanie” na talenty, lecz dynamiczny ekosystem przewidywania i kreowania przyszłości organizacji. To scena, na której algorytmy AI nie tylko analizują CV, ale z chirurgiczną precyzją tropią osoby, które za moment zmienią rolę. Czy rekruterzy są gotowi na to, by wykorzystać potencjał AI mądrze, z korzyścią zarówno dla firmy, jak i kandydata?

REKLAMA