REKLAMA

REKLAMA

Kategorie
Szukaj
Sklep
Kalkulatory
Szkolenia
Załóż konto
Zaloguj się
Nie pamiętam hasła
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Załóż konto Zaloguj się
Przypomnij hasło
Witaj
Usuń konto
Twoje dane
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.
Konto
Serwisy
Strona główna » Moja firma » Prawo » RODO w firmie » Obowiązek informacyjny z art. 13 RODO w świetle wykładni Prezesa Urzędu Ochrony Danych Osobowych

Obowiązek informacyjny z art. 13 RODO w świetle wykładni Prezesa Urzędu Ochrony Danych Osobowych

Subskrybuj nas na Youtube
Dołącz do ekspertów Dołącz do grona ekspertów
24 maja 2019, 11:44
Małgorzata Pundyk-Glet
Małgorzata Pundyk-Glet
doktor nauk prawnych, adwokat
Obowiązek informacyjny wynikający z RODO powinien być spełniany w chwili pozyskiwania danych, fot. shutterstock
Obowiązek informacyjny wynikający z RODO powinien być spełniany w chwili pozyskiwania danych, fot. shutterstock

REKLAMA

REKLAMA

Każdy przedsiębiorca powinien rozeznać, w jakim momencie pozyskuje dane i odpowiednio przygotować klauzulę z art. 13 RODO. Warto zapoznać się z decyzjami Prezesa Urzędu Ochrony Danych Osobowych, ponieważ w nich znajduje się wykładnia przepisów, która może się różnić od wykładni zawartej w dostępnych komentarzach.

W ubiegłym roku wdrożyłam RODO u ponad 100 podmiotów. Większość z nich nie posiadała żadnej polityki w zakresie ochrony danych i nie podejmowała w tym temacie żadnych działań także w reżimie poprzedniej ustawy.

REKLAMA

REKLAMA

Znaczna część osób powołanych do wdrożenia w danej firmie RODO sprowadzała obowiązki związane z RODO do skopiowania gotowych regułek, które bezrefleksyjnie miały być wdrażane w przedsiębiorstwach.

Polecamy: RODO Jak przygotować się do kontroli

Najbardziej niechętnie podchodzono o obowiązku informacyjnego, o którym mowa w art. 13 RODO. Zgodnie z tym przepisem:

REKLAMA

1. Jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, administrator podczas pozyskiwania danych osobowych podaje jej wszystkie następujące informacje:

Dalszy ciąg materiału pod wideo
  1. swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
  2. gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
  3. cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania;
  4. jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;
  5. informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
  6. gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz informacje o sposobach uzyskania kopii zabezpieczeń lub o miejscu ich udostępnienia.

2. Poza informacjami, o których mowa w ust. 1, podczas pozyskiwania danych osobowych administrator podaje osobie, której dane dotyczą, następujące inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania:

  1. okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
  2. informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
  3. jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
  4. informacje o prawie wniesienia skargi do organu nadzorczego;
  5. informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
  6. informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

3. Jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym dane osobowe zostały zebrane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji, o których mowa w ust. 2.

4. Ust. 1, 2 i 3 nie mają zastosowania, gdy – i w zakresie, w jakim – osoba, której dane dotyczą, dysponuje już tymi informacjami.

Obowiązek informacyjny powinien być spełniany w chwili pozyskiwania danych, dlatego ja wdrożyłam odpowiednie klauzule w umowach z klientami, druku zamówienia, emailu, na stronie internetowej. Każdy przedsiębiorca powinien rozeznać, w jakim momencie pozyskuje dane i odpowiednio przygotować klauzulę z art. 13 RODO.

Większość podmiotów przekazuje informację w sposób możliwie lakoniczny, co nie jest jakimś specjalnym uchybieniem. Niepokojąca jest jednak wykładnia Prezesa Urzędu Ochrony Danych w zakresie odbiorców danych osobowych. W rozumieniu RODO pojęcie odbiorca oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców; przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania.

W decyzji z dnia 06.04.2019 roku nr ZSPU.421.2.2018 Prezes wskazał, że

„Ponadto, zarówno klauzula informacyjna, jak i rejestr czynności przetwarzania, nie zawierają informacji o wszystkich odbiorcach danych, w tym o stronach i uczestnikach postępowań administracyjnych w sprawach o zameldowanie lub wymeldowanie. Obowiązkiem administratora jest, na podstawie art. 12 ust. 1 ogólnego rozporządzenia o ochronie danych osobowych, podjęcie odpowiednich środków, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem udzielić osobie, której dane dotyczą, wszelkich informacji, o których mowa w art. 13 i 14 ogólnego rozporządzenia o ochronie danych osobowych. W ramach podjętych środków, zadaniem administratora jest zidentyfikowanie i ujęcie w klauzuli informacyjnej danych o wszystkich odbiorcach danych osobowych, którym dane są przekazywane w ramach poszczególnych czynności przetwarzania danych osobowych. Odbiorcą danych zgodnie z definicją odbiorcy określoną w art. 4 pkt 9 zd. 1 ogólnego rozporządzenia o ochronie danych jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego czy jest stroną trzecią. W związku z prowadzonymi przez Prezydenta Miasta W. postępowaniami administracyjnymi w sprawach o zameldowanie lub wymeldowanie, odbiorcami danych są strony oraz uczestnicy tych postępowań administracyjnych. Informację o tych odbiorcach należy ująć również w rejestrze czynności przetwarzania dla czynności związanej z prowadzeniem rejestru mieszkańców. Tymczasem, w załączonych do pisma Prezydenta Miasta W. z dnia […] grudnia 2018 r., […], klauzuli informacyjnej oraz rejestrze czynności przetwarzania informacje o stronach i uczestnikach postępowań administracyjnych w sprawach o zameldowanie lub wymeldowanie nie zostały ujęte.

[…]

Jednocześnie, na podstawie złożonych przez Prezydenta Miasta W. wyjaśnień oraz innych przedstawionych dowodów należy uznać, że w toku postępowania usunięte zostały pozostałe uchybienia w procesie przetwarzania danych osobowych, stanowiące przedmiot postępowania, tj.:

  1. W umowie z A. S.A. nr […] z dnia […] października 2018 roku, której przedmiot stanowi świadczenie usługi asysty technicznej i konserwacji oprogramowania systemu A., ujęto zapisy dotyczące wsparcia przez podmiot przetwarzający administratora danych w zakresie wypełnienia obowiązków ciążących na administratorze zgodnie z art. 28 ust. 3 lit. e), f) i h) ogólnego rozporządzenia o ochronie danych.
  2. Zamontowano przegrody pionowe pomiędzy stanowiskami obsługi klientów w sposób zapewniający osobom spełniającym obowiązek meldunkowy poufność przetwarzania danych osobowych, zgodnie z art. 5 ust. 1 lit. f) ogólnego rozporządzenia o ochronie danych, realizując tym samym obowiązek wdrożenia odpowiednich środków technicznych wynikający z art. 24 ust. 1 ogólnego rozporządzenia o ochronie danych.
  3. W klauzuli informacyjnej ujęto informację o A. S.A., jako odbiorcy danych.”

Należy zwrócić szczególną uwagę na pkt.3. przytoczonego wyżej uzasadnienia. Z tego punktu wynika, że w klauzuli informacyjnej należy zamieszczać informację także o nazwie odbiorcy- w tym przypadku- podmiotu przetwarzającego, jeśli znamy jego tożsamość. Taka wykładnia będzie kłopotliwa w realizacji, bowiem wielu przedsiębiorców korzysta z licznych podmiotów przetwarzających, np. właścicieli serwerów, różnego rodzaju chmur, biur rachunkowych itp. Wydaje się, że przedsiębiorcy nie zdają sobie sprawy, że Prezes Urzędu może oczekiwać, aby zamieszczać dane tych podmiotów w klauzuli informacyjnej. Samo zidentyfikowanie wszystkich odbiorców może nastręczać trudności, np. w przypadku pracownika często odbiorcą danych będzie inny upoważniony pracownik, np. kadrowa, księgowa.

Wdrożenie RODO nie jest trudne, jednak przyjęte procedury i wzory wymagają przeglądów w celu uaktualnienia. Zachęcam do lektury decyzji Prezesa Urzędu, ponieważ w nich znajduje się wykładnia przepisów, która może się różnić od wykładni zawartej w dostępnych komentarzach.

Polecamy serwis: RODO w firmie

Powiązane
Zgoda na przetwarzanie danych osobowych w usługach on-line na nowych zasadach
Zgoda na przetwarzanie danych osobowych w usługach on-line na nowych zasadach
Obowiązek informacyjny na gruncie RODO
Obowiązek informacyjny na gruncie RODO
Burzliwe losy Nowego Jedwabnego Szlaku
Burzliwe losy Nowego Jedwabnego Szlaku
Źródło: INFOR
Wersja do druku
Napisz do nas

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:
Autopromocja

REKLAMA

QR Code

© Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A.

REKLAMA

Moja firma
Rolnicy z ogromnymi zapasami ziemniaków
17 kwi 2026

Rolnicy mają od 700 tys. do 1 mln ton niesprzedanych ziemniaków i pilnie potrzebują ich zagospodarowania – inaczej grożą im bankructwa, ostrzega PFZ. Ministerstwo Rolnictwa i Rozwoju Wsi informuje, że prowadzi rozmowy z branżą.
Krócej od pola do stołu. Polacy coraz chętniej kupują u rolnika
14 kwi 2026

Kupowanie bezpośrednio od rolnika przestaje być niszą i staje się jednym z wyraźnych trendów konsumenckich na rynku żywności w Polsce. Świadczą o tym kolejki do stoisk z lokalną żywnością i coraz szybciej wyprzedawane produkty oferowane przez gospodarstwa.
Opłata za foliowe torby: kto musi zapłacić do środy i ile grozi za spóźnienie?
14 kwi 2026

15 kwietnia upływa termin kwartalnej wpłaty opłaty recyklingowej za torby z tworzywa sztucznego. Obowiązek taki ma każdy, kto sprzedaje towary lub posiłki i przy tym wydaje klientom foliowe torby – niezależnie od wielkości firmy. Spóźnienie oznacza odsetki, brak wpłaty: karę pieniężną do 20 000 zł.
40 tysięcy firm pod lupą. Cyberbezpieczeństwo: Co zmienia nowelizacja i jak się przygotować? [Gość Infor.pl]
10 kwi 2026

Nowelizacja przepisów o krajowym systemie cyberbezpieczeństwa znacząco zmienia skalę obowiązków po stronie przedsiębiorstw. Do tej pory regulacje obejmowały około 500 podmiotów. Teraz mowa już o dziesiątkach tysięcy firm. Szacunki wskazują, że będzie to nawet 40–50 tysięcy organizacji. To nie jest kosmetyczna zmiana. To zupełnie nowy poziom odpowiedzialności.

REKLAMA

Dostawcy najsłabszym ogniwem. Polskie firmy odstają od wymogów NIS2
10 kwi 2026

Łańcuch dostaw pozostaje największą słabością firm w Polsce – jego poziom zaawansowania jest niski, a jednocześnie dla blisko 40 proc. organizacji to najbardziej niejasny obszar NIS2. Taka kombinacja zwiększa ryzyko poważnych problemów, co potwierdza badanie Business Growth Review na grupie 1018 dużych przedsiębiorstw.
Uprawa roślin wkracza w nowy etap dzięki NGT - Nowe Techniki Genomowe
08 kwi 2026

ONZ przewiduje, że do 2050 roku populacja świata osiągnie 9,7 miliarda. Wraz ze zmianami klimatu i ograniczonymi zasobami naturalnymi rośnie potrzeba modyfikacji systemów rolniczych. Należy zapewnić wyższą produktywność, lepszą jakość i wydajność przy jednoczesnym zmniejszeniu wpływu na środowisko. Kluczową rolę pełni tu innowacyjność. Uprawa roślin wkracza w nowy etap dzięki NGT - Nowe Techniki Genomowe. Jak wygląda przyszłość europejskiego rolnictwa?
Jaką rolę w biznesie odgrywają dziś social media?
07 kwi 2026

Jaką rolę w biznesie odgrywają dziś social media? Wnioski z raportu "Winning in Social Media: The New Rules of the Game for 2026 and Beyond" to m.in.: maksymalizacja szybkości decyzyjnej (Decision Velocity), transformacja marketingu w system detekcji strategicznej, implementacja modelu "tłumacza insightów" w strukturze zespołu.
Z czego Polacy szkolą się dziś najchętniej i dlaczego? Oto ranking kompetencji, które realnie zyskują na znaczeniu
04 kwi 2026

Rynek szkoleń w Polsce bardzo się zmienił. Jeszcze kilka lat temu wiele firm i instytucji traktowało szkolenia jako dodatek. Coś, co „warto zrobić”, jeśli zostanie budżet. Dziś coraz częściej są one traktowane jak narzędzie adaptacji do rynku, technologii i regulacji. I słusznie. Bo tempo zmian jest już zbyt duże, by opierać rozwój organizacji wyłącznie na doświadczeniu zdobytym kilka lat temu.

REKLAMA

Dla naszego bezpieczeństwa czy dla kontroli? KSeF, AML, likwidacja gotówki
04 kwi 2026

Państwo bardzo rzadko odbiera przedsiębiorcy wolność w sposób gwałtowny. Nie robi tego jednym aktem. Nie robi tego wprost. Robi to etapami. Pod hasłem transparentności. Pod szyldem uszczelnienia systemu. W imię walki z nadużyciami, przestępczością finansową, szarą strefą i terroryzmem. Brzmi rozsądnie. Nawet odpowiedzialnie. I właśnie dlatego ten proces jest tak skuteczny.
Polska królestwem wikliny! Dlaczego nasze kosze podbijają świat
14 kwi 2026

Polska, a zwłaszcza podkarpackie zagłębie wikliniarskie, przeżywa renesans tradycji, która w Europie niemal zanikła. Polskie kosze i wyroby rękodzielnicze zdobywają serca klientów na całym świecie.
Zapisz się na newsletter
Zakładasz firmę? A może ją rozwijasz? Chcesz jak najbardziej efektywnie prowadzić swój biznes? Z naszym newsletterem będziesz zawsze na bieżąco.
Zaznacz wymagane zgody
loading
Zapisując się na newsletter wyrażasz zgodę na otrzymywanie treści reklam również podmiotów trzecich
Administratorem danych osobowych jest INFOR PL S.A. Dane są przetwarzane w celu wysyłki newslettera. Po więcej informacji kliknij tutaj.
success

Potwierdź zapis

Sprawdź maila, żeby potwierdzić swój zapis na newsletter. Jeśli nie widzisz wiadomości, sprawdź folder SPAM w swojej skrzynce.

failure

Coś poszło nie tak

REKLAMA