Obowiązek informacyjny na gruncie RODO

Tylko osoba, która została należycie poinformowana, może skutecznie podejmować decyzje dotyczące przetwarzania jej danych osobowych. Z tego względu obowiązek informacyjny jest jedną z podstawowych powinności administratora danych osobowych. Odpowiedź na pytania, kiedy i w jaki sposób należy spełnić obowiązek informacyjny jest jednym z kluczowych zagadnień dla administratorów danych osobowych. 

Moment spełnienia obowiązku informacyjnego oraz zakres informacji, jakie powinny być przekazane osobie będzie się różnił w zależności od tego, czy dane pozyskiwane są bezpośrednio czy pośrednio.

 

Bezpośrednie pozyskanie danych

Bezpośrednie pozyskiwanie informacji ma miejsce wtedy, gdy są one dostarczane wprost przez osobę, której dane dotyczą np. przy zbieraniu danych przez formularz kontaktowy/rejestracyjny na stronie, landing pages, papierowe formularze.

Zgodnie z art. 13 RODO administrator każdorazowo ma obowiązek przekazać osobom, których dane przetwarza informację o:

  1. Swojej tożsamości i swoich danych kontaktowych
  2. Celu przetwarzania danych
  3. Podstawie prawnej, w oparciu o którą dane są przetwarzane
  4. Okresie, przez który dane osobowe będą przechowywane albo o kryteriach ustalania tego okresu
  5. Prawach, przysługujących osobie, której dane dotyczą
  6. Informację o tym, jaki charakter ma podanie danych (czy jest dobrowolne, czy jest wymogiem ustawowym, umownym oraz ewentualnych konsekwencjach niepodania danych)

W zależności od okoliczności, administrator informuję także, jeśli ma to zastosowanie, o:

  1. Tożsamości i danych kontaktowych swojego przedstawiciela
  2. Danych kontaktowych Inspektora Ochrony Danych
  3. Odbiorcach lub kategoriach odbiorców danych
  4. Zamiarze przekazywania danych do państwa trzeciego bądź organizacji międzynarodowej
  5. Zautomatyzowanym podejmowaniu decyzji (w tym profilowaniu)
  6. Prawnie uzasadnionych interesach administratora
  7. Prawie do cofnięcia zgody na przetwarzanie danych

Wskazane wyżej elementy są niezbędne do prawidłowego spełnienia obowiązku informacyjnego. Administrator wedle uznania może także zamieścić więcej informacji, dotyczących przetwarzania, jak np. sposób realizacji uprawnień, przysługujących osobie, której dane dotyczą. Nie jest to natomiast konieczne.

Moment przekazania obowiązku informacyjnego

Aby należycie zrealizować obowiązek informacyjny należy przekazać go osobie w odpowiednim czasie. Art. 13 RODO wskazuje jasno, że jest to już moment zbierania informacji od osoby. Nie można więc udostępnić osobie informacji o przetwarzaniu danych po przekazaniu przez nią danych osobowych. Celem takiego uregulowania jest umożliwienie temu podmiotowi właściwej oceny celów przetwarzania, a także pomoc przy podjęciu decyzji o udostępnieniu lub odmowie udostępnienia swoich danych osobowych.

Pośrednie pozyskanie danych

W pośrednim pozyskaniu danych udział ma inny podmiot,, który na tych danych jest już administratorem danych np. od partnerów biznesowych lub są pozyskiwane z internetu np. olx, allegro, ale również od pracuj,pl.

Ten rodzaj pozyskania reguluje art. 14 RODO. Oprócz informacji, wymienionych wyżej obligatoryjnym jest, w okolicznościach pozyskiwania pośredniego, podanie dodatkowo informacji o:

  1. kategoriach posiadanych danych (oznacza to wskazanie typów i rodzajów lub zakresu zbieranych danych)
  2. źródłach, z których dane pochodzą (a w wypadku gdy ma to zastosowanie informację, czy pochodzą one ze źródeł powszechnie dostępnych)

Źródła, z których pochodzą dane powinny być przez administratora co do zasady określone w sposób na tyle precyzyjny, aby odbiorca informacji mógł je zidentyfikować. Jedynie w przypadku, gdy dane były zbierane z różnych źródeł i wskutek tego nie może jasno ich określić, może ograniczyć się do podania ich ogólnikowo.

Art. 14 inaczej reguluje też moment, w którym obowiązek informacyjny powinien zostać wobec podmiotu danych spełniony:

  • co do zasadyw rozsądnym terminie po pozyskaniu danych osobowych – najpóźniej w ciągu miesiąca – mając na uwadze konkretne oko­liczności przetwarzania danych osobowych
  • jeżeli dane osobowe mają być stosowane do komunikacji z oso­bą, której dane dotyczą – najpóźniej przy pierwszej takiej ko­munikacji z osobą, której dane dotyczą
  • jeżeli planuje się ujawnić dane osobowe innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu

Obowiązek informacyjny a zmiana celu przetwarzania

Może się zdarzyć, że administrator postanowi zmienić cel przetwarzania uzyskanych już danych osobowych. Taka sytuacja jest dopuszczalna pod warunkiem, że zostanie poprzedzone spełnieniem obowiązku informacyjnego wobec podmiotu danych. W danych okolicznościach administrator ma obowiązek podać nieco okrojony zestaw informacji, a mianowicie o:

  1. okresie, przez który dane będą przechowywane lub kryteriach jego ustalania
  2. fakcie zautomatyzowanego podejmowania decyzji (w tym profilowaniu)
  3. przysługujących osobie prawach
  4. prawie do cofnięcia zgody
  5. prawie do wniesienia skargi do organu nadzorczego
  6. nowym celu przetwarzania danych

Kiedy obowiązek informacyjny nie powstaje?

Istnieją pewne szczególne sytuacje, gdy administrator nie ma obowiązku udzielenia informacji o przetwarzaniu danych. Można do nich zaliczyć okoliczności, w ramach których:

  1. osoba, od której dane są zbierane, już dysponuje tymi informacjami;
  2. udzielenie wymienionych wyżej informacji jest niemożliwe lub wymaga niewspółmiernego wysiłku
  3. udzielenie takich informacji może uniemożliwić lub poważnie utrudnić realizację celu przetwarzania
  4. pozyskanie danych jest regulowane przepisami prawa
  5. konieczne jest zachowanie tajemnicy zawodowej

Jaką formę powinien przybrać obowiązek informacyjny?

RODO nie narzuca konkretnej formy spełnienia obowiązku informacyjnego. Dopuszczalnym jest wobec tego spełnienie go na piśmie, ustnie czy w formie elektronicznej. Należy jednak uwzględnić zasadę rozliczalności, która stanowi, że administrator w przypadku kontroli będzie musiał przedstawić niejako dowody na realizację wszystkich obowiązków, nałożonych na niego mocą Rozporządzenia (w tym spełnienie obowiązku informacyjnego). Dlatego też rekomenduje się powszechnie takie rozwiązania, dzięki którym administrator będzie w stanie wykazać należyte jego spełnienie.

Administrator ma obowiązek podjąć wszelkie środki, by komunikować się i przekazywać informacje w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem – w szczególności, gdy informacje są kierowane do dziecka (art. 12 ust. 1 RODO).

Dodatkowo motyw 58 Preambuły wskazuje, że gdy jest to konieczne, informację należy przedstawić także w sposób graficzny. W sytuacji, gdy przetwarzane są dane dziecka, treść obowiązku należy przekazać w taki sposób, by mogło ją ono zrozumieć.  Formą łatwo dostępną i zrozumiałą są krótkie filmiki, często animowane w których przestawia się podstawowe kwestie dotyczące przetwarzanych danych. Przykładem takiego obowiązku informacyjnego jest obowiązek realizowanych przez ICO.

W większości przypadków obowiązki informacyjne są spełniane pod elektronicznymi formularzami rejestracyjnymi, na stronie głównej sklepów internetowych, w stopkach formularzy papierowych czy na oddzielny dokumencie papierowym, przedstawianym osobie do podpisu.

Warstwowe przekazanie obowiązku informacyjnego

Informacji, które należy przekazać osobie, której dane dotyczą jest stosunkowo dużo. Wobec tego obowiązki informacyjne są zazwyczaj dość obszerne. W praktyce często trudno jest zapoznać odbiorcę z całą treścią na przykład pod formularzem. Kłóci się to też z zasadą przejrzystości. Warto więc zwrócić uwagę na legalne rozwiązanie, w którym administratorzy mają możliwość spełnienia obowiązku informacyjnego „warstwowo”.  Oznacza to tyle, że na pierwszym etapie (w pierwszej warstwie) administrator informuje jedynie o najważniejszych kwestiach, tj:

  1. O swojej tożsamości i danych kontaktowych
  2. O celu i podstawie prawnej przetwarzania
  3. O prawach osób, których dane dotyczą

W szczególnych sytuacjach należy też podać wszelki informacje, które „mogłyby zaskoczyć” podmiot danych.

Pierwsza warstwa powinna kończyć się odesłaniem do źródła, gdzie znaleźć można pełną wersję obowiązku informacyjnego (druga warstwa). W praktyce warstwowy obowiązek informacyjny można zapewnić na przykład poprzez załączenie linku aktywacyjnego do drugiej warstwy bądź też odesłanie do miejsca, gdzie można zapoznać się z pełną wersją papierową tego dokumentu.

Podsumowanie

Reasumując, można stwierdzić, że przepisy RODO ustanowiły szeroki katalog informacji, które administrator ma obowiązek przekazać podmiotowi danych. Zakres tego obowiązku jest zależny od sposobu, w który administrator uzyskał dane. Informacje te mają umożliwić podmiotowi danych samodzielną decyzję odnośnie przetwarzania jego danych osobowych oraz umożliwić mu kontrolę nad tym procesem.

Reklama