Obowiązek informacyjny z art. 13 RODO w świetle wykładni Prezesa Urzędu Ochrony Danych Osobowych

W ubiegłym roku wdrożyłam RODO u ponad 100 podmiotów. Większość z nich nie posiadała żadnej polityki w zakresie ochrony danych i nie podejmowała w tym temacie żadnych działań także w reżimie poprzedniej ustawy.

Znaczna część osób powołanych do wdrożenia w danej firmie RODO sprowadzała obowiązki związane z RODO do skopiowania gotowych regułek, które bezrefleksyjnie miały być wdrażane w przedsiębiorstwach.

Polecamy: RODO Jak przygotować się do kontroli

Najbardziej niechętnie podchodzono o obowiązku informacyjnego, o którym mowa w art. 13 RODO. Zgodnie z tym przepisem:

1. Jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, administrator podczas pozyskiwania danych osobowych podaje jej wszystkie następujące informacje:

1. swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
2. gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
3. cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania;
4. jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;
5. informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
6. gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz informacje o sposobach uzyskania kopii zabezpieczeń lub o miejscu ich udostępnienia.

2. Poza informacjami, o których mowa w ust. 1, podczas pozyskiwania danych osobowych administrator podaje osobie, której dane dotyczą, następujące inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania:

1. okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
2. informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
3. jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
4. informacje o prawie wniesienia skargi do organu nadzorczego;
5. informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
6. informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

3. Jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym dane osobowe zostały zebrane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji, o których mowa w ust. 2.

4. Ust. 1, 2 i 3 nie mają zastosowania, gdy – i w zakresie, w jakim – osoba, której dane dotyczą, dysponuje już tymi informacjami.

Obowiązek informacyjny powinien być spełniany w chwili pozyskiwania danych, dlatego ja wdrożyłam odpowiednie klauzule w umowach z klientami, druku zamówienia, emailu, na stronie internetowej. Każdy przedsiębiorca powinien rozeznać, w jakim momencie pozyskuje dane i odpowiednio przygotować klauzulę z art. 13 RODO.

Większość podmiotów przekazuje informację w sposób możliwie lakoniczny, co nie jest jakimś specjalnym uchybieniem. Niepokojąca jest jednak wykładnia Prezesa Urzędu Ochrony Danych w zakresie odbiorców danych osobowych. W rozumieniu RODO pojęcie odbiorca oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców; przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania.

W decyzji z dnia 06.04.2019 roku nr ZSPU.421.2.2018 Prezes wskazał, że

„Ponadto, zarówno klauzula informacyjna, jak i rejestr czynności przetwarzania, nie zawierają informacji o wszystkich odbiorcach danych, w tym o stronach i uczestnikach postępowań administracyjnych w sprawach o zameldowanie lub wymeldowanie. Obowiązkiem administratora jest, na podstawie art. 12 ust. 1 ogólnego rozporządzenia o ochronie danych osobowych, podjęcie odpowiednich środków, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem udzielić osobie, której dane dotyczą, wszelkich informacji, o których mowa w art. 13 i 14 ogólnego rozporządzenia o ochronie danych osobowych. W ramach podjętych środków, zadaniem administratora jest zidentyfikowanie i ujęcie w klauzuli informacyjnej danych o wszystkich odbiorcach danych osobowych, którym dane są przekazywane w ramach poszczególnych czynności przetwarzania danych osobowych. Odbiorcą danych zgodnie z definicją odbiorcy określoną w art. 4 pkt 9 zd. 1 ogólnego rozporządzenia o ochronie danych jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego czy jest stroną trzecią. W związku z prowadzonymi przez Prezydenta Miasta W. postępowaniami administracyjnymi w sprawach o zameldowanie lub wymeldowanie, odbiorcami danych są strony oraz uczestnicy tych postępowań administracyjnych. Informację o tych odbiorcach należy ująć również w rejestrze czynności przetwarzania dla czynności związanej z prowadzeniem rejestru mieszkańców. Tymczasem, w załączonych do pisma Prezydenta Miasta W. z dnia […] grudnia 2018 r., […], klauzuli informacyjnej oraz rejestrze czynności przetwarzania informacje o stronach i uczestnikach postępowań administracyjnych w sprawach o zameldowanie lub wymeldowanie nie zostały ujęte.

[…]

Jednocześnie, na podstawie złożonych przez Prezydenta Miasta W. wyjaśnień oraz innych przedstawionych dowodów należy uznać, że w toku postępowania usunięte zostały pozostałe uchybienia w procesie przetwarzania danych osobowych, stanowiące przedmiot postępowania, tj.:

1. W umowie z A. S.A. nr […] z dnia […] października 2018 roku, której przedmiot stanowi świadczenie usługi asysty technicznej i konserwacji oprogramowania systemu A., ujęto zapisy dotyczące wsparcia przez podmiot przetwarzający administratora danych w zakresie wypełnienia obowiązków ciążących na administratorze zgodnie z art. 28 ust. 3 lit. e), f) i h) ogólnego rozporządzenia o ochronie danych.
2. Zamontowano przegrody pionowe pomiędzy stanowiskami obsługi klientów w sposób zapewniający osobom spełniającym obowiązek meldunkowy poufność przetwarzania danych osobowych, zgodnie z art. 5 ust. 1 lit. f) ogólnego rozporządzenia o ochronie danych, realizując tym samym obowiązek wdrożenia odpowiednich środków technicznych wynikający z art. 24 ust. 1 ogólnego rozporządzenia o ochronie danych.
3. W klauzuli informacyjnej ujęto informację o A. S.A., jako odbiorcy danych.”

Należy zwrócić szczególną uwagę na pkt.3. przytoczonego wyżej uzasadnienia. Z tego punktu wynika, że w klauzuli informacyjnej należy zamieszczać informację także o nazwie odbiorcy- w tym przypadku- podmiotu przetwarzającego, jeśli znamy jego tożsamość. Taka wykładnia będzie kłopotliwa w realizacji, bowiem wielu przedsiębiorców korzysta z licznych podmiotów przetwarzających, np. właścicieli serwerów, różnego rodzaju chmur, biur rachunkowych itp. Wydaje się, że przedsiębiorcy nie zdają sobie sprawy, że Prezes Urzędu może oczekiwać, aby zamieszczać dane tych podmiotów w klauzuli informacyjnej. Samo zidentyfikowanie wszystkich odbiorców może nastręczać trudności, np. w przypadku pracownika często odbiorcą danych będzie inny upoważniony pracownik, np. kadrowa, księgowa.

Wdrożenie RODO nie jest trudne, jednak przyjęte procedury i wzory wymagają przeglądów w celu uaktualnienia. Zachęcam do lektury decyzji Prezesa Urzędu, ponieważ w nich znajduje się wykładnia przepisów, która może się różnić od wykładni zawartej w dostępnych komentarzach.

Polecamy serwis: RODO w firmie