Jacek Palęcki

Obowiązek informacyjny - czym jest i jak go zrealizować?

Data publikacji
2022-8-3
|
2 min czytania
Spis treści

    25 maja 2018 roku na ternie całej Unii Europejskiej, a więc również w Polsce, weszło w życie słynne RODO, czyli Rozporządzenie o Ochronie Danych Osobowych, które wprowadziło szereg nowych, nieprzewidzianych w ustawie o ochronie danych osobowych z 29 sierpnia 1997, obowiązków o pozyskiwaniu, przechowywaniu i przetwarzaniu danych. Jedną z kluczowych zmian, szczególnie dla admiratorów danych, było wprowadzenie obowiązku informacyjnego, czyli konieczności przekazania jasnej informacji o zbieraniu lub przetwarzaniu danych osobie, której dotyczą. Nic więc dziwnego, że w 2018 roku rozporządzenie wywołało panikę, ponieważ narzuciło na administratorów bardzo duży obowiązek pod karą grzywny, choć na szczęście większość przedsiębiorców, potrafiła się dostosować - wydając niemałe pieniądze na pomoc prawną. Byli jednak tacy, który nie chcieli się dostosować i w efekcie tego zapłacili wysokie kary - nawet setki tysięcy euro, więc dla spokojnego snu warto wiedzieć, czym jest obowiązek informacyjny i jak go realizować.

    Co to jest obowiązek informacyjny?

    Obowiązek informacyjny to odpowiedzialność administratorów danych względem osób, których dane pozyskują i zamierzają przetwarzać. Administrator danych musi poinformować osobę, której dane zamierza przetwarzać o celu oraz podstawie prawnej do przetwarzania danych, a także przedstawić dane kontaktowe i w sposób jasny poinformować o swojej tożsamości.

    Obowiązek informacyjny w RODO jest przewidziany w dwóch wariantach, w zależności od pochodzenia danych, które przetwarzamy:

    Pierwszy wariant został opisany w artykule 13 RODO i stosowany jest w przypadku, gdy pozyskamy dane osobowe bezpośrednio od osoby, której dotyczą Drugi wariant został opisany w artykule 14 RODO i stosowany jest, gdy pozyskujemy dane osobowe w inny sposób, niż bezpośrednio od osoby, której dotyczą

    W pierwszym wariancie należy pamiętać, że administrator musi spełnić obowiązek informacyjny na etapie pozyskiwania danych osobowych, czyli jeszcze przed rozpoczęciem przetwarzania danych. Natomiast w drugim wariancie istnieje kilka zasadniczych sytuacji. Jeśli pozyskamy dane w inny sposób niż bezpośrednio od osoby, której dotyczą, to musimy tę osobę poinformować najpóźniej w ciągu miesiąca. Jednak jeśli pozyskanie danych zakłada kontaktowanie się z taką osobą, to mamy obowiązek spełnić obowiązek informacyjny przy pierwszej komunikacji. Podobnie jest w przypadku ujawnienia danych osobowych innemu odbiorcy - obowiązek informacyjny należy spełniać przy pierwszym ujawnieniu danych.

    Obowiązek informacyjny, w obu wariantach, jest ograniczony w zakresie, w jakim osoba, której dane przetwarzamy, dysponuje już informacjami o przetwarzaniu jej danych. Warto jednak pamiętać, że samo przekazanie informacji nie zawsze wystarcza do spełniania obowiązku informacyjnego, ponieważ musi być spełniona odpowiednia forma. Zgodnie z RODO administrator danych musi dołożyć wszelkich starań, żeby w jasny, przejrzysty i zwięzły sposób, używając prostego języka, przekazać informacje o przetwarzaniu danych, czyli spełnić obowiązek informacyjny.

    Kiedy należy spełnić obowiązek informacyjny?

    Obowiązek informacyjny musi być spełniony w przypadku zbierania danych osobowych bezpośrednio od danej osoby lub pośrednio, co określają artykuły 13 i 14 rozporządzenia o ochronie danych osobowych. Co ciekawe, rozporządzenie nie określa dokładnie pojęcia zbierania danych, a przyjmuje się, że jest to szereg czynności składających się na ogólnie przetwarzanie, czyli nawet wejście w posiadanie danych z zamiarem przetwarzania danych w przyszłości. Kluczowe jest więc samo wejście w posiadanie danych osobowych, które możemy przetwarzać w określonym celu i nie ma większego znaczenia czy dana osoba sama przekazała nam dane, np. wyrażając zgodę na przetwarzanie danych w liście mailingowej czy pozyskaliśmy te dane w inny sposób.

    Co więcej, administrator zobowiązany jest spełnić obowiązek informacyjny nawet względem osoby, od której pozyskał już dane osobowe, gdy chce rozszerzyć katalog tych danych. Oznacza to, że administrator może zbierać i przetwarzać tylko te dane, co do których, uzyskał zgodę, a chcąc przetwarzać nowe dane, musi ponownie spełnić obowiązek informacyjny i uzyskać zgodę od danej osoby. Wyjątkiem od tej reguły jest sytuacja, w której administrator jedynie zaktualizował lub usunął dane, które już pozyskał. W takim przypadku administrator nie musi realizować obowiązku informacyjnego, ponieważ te dane już przetwarza i uzyskał zgodę na wejście w posiadanie danego katalogu tych danych. Oczywiście nic nie stoi na przeszkodzie, żeby administrator spełnił obowiązek informacyjny nawet w takim przypadku, jednak rozporządzenie tego nie wymaga.

    Administrator danych osobowych musi spełnić obowiązek informacyjny, gdy cel przetwarzania danych uległ zmianie. Ten zapis w rozporządzeniu ma na celu wyeliminowanie nieuczciwych praktyk administratorów, którzy w innym wypadku, mogliby wprowadzać użytkowników w błąd, a następnie zmieniać cel przetwarzania danych ze zwykłego przechowywania do pozyskiwania z nich korzyści. Dlatego RODO w artykule 13 ust. 3 oraz artykule 14 ust. 4 bardzo szczegółowo opisuje konieczność spełnienia obowiązku informacyjnego w przypadku zmiany celu. Administrator musi uzyskać zgodę na przetwarzanie danych w celu innym, niż tym, w którym zostały uzyskane, przed rozpoczęciem przetwarzania danych w nowym celu, a sama informacja o nowym celu musi być jasna i zawierać informacje o możliwości odstąpienia od przetwarzania danych w wyniku tej zmiany.

    Istnieją również sytuacje, w których administrator nie musi spełniać obowiązku informacyjnego. Pierwszy, najczęściej spotykanym przypadkiem, jest sytuacja, w której dana osoba została już odpowiednio poinformowana i wyraziła zgodę na przetwarzanie danych, niezależnie od źródła, pod warunkiem, że zakres przetwarzania danych i sam katalog danych pozostaje bez zmian. Na takiej podstawie działa, np. bezpłatna wyszukiwarka osób, z której możemy pozyskać np. adresy e-mail do danych osób, na podstawie znanego imienia i nazwiska.

    Brak konieczności spełniania obowiązku informacyjnego dotyczy nawet sytuacji, w której administrator pozyskał dane z innego źródła niż bezpośrednio od osoby, co dokładniej reguluje artykuł 14 RODO, konkretyzując trzy możliwe przypadki, kiedy administrator nie musi spełniać obowiązku informacyjnego względem podmiotu, którego te dane dotyczą:

    • Gdy wymagałoby to niewspółmiernie dużego wysiłku lub jest nawet niemożliwe - np., gdy dane zbierane są w celach naukowych czy historycznym
    • Gdy pozyskiwanie, przetwarzanie lub ujawnienie danych jest uregulowane przez prawo Unii, lub prawo państwa członkowskiego, które określa środki ochronne, chroniące interesy osób, których dane są przetwarzane
    • Gdy dane osobowe mają charakter poufny, np. dotyczą tajemnicy zawodowej, co reguluje prawo Unii lub prawa niektórych państw członkowskich

    Jednak nawet jeśli administrator nie musi spełniać obowiązku bezpośrednio względem podmiotu, którego dotyczą to i tak powinienem poinformować o przetwarzaniu danych w sposób ogólny, np. spełniać obowiązek informacyjny w stopce maila czy stopce strony internetowej, gdzie znajdują się regulaminy i informacje o przetwarzaniu, wraz z celem przetwarzania. Administrator powinien dołożyć wszelkich starań by informacje o przetwarzaniu danych, były łatwo dostępne, ponieważ w inny wypadku można mu zarzucić działanie w złej woli - utrudnianie zdobycia informacji o tym, jak przetwarza dane. Dlatego większość firm decyduje się na umieszczenie informacji o przetwarzaniu danych, regulaminach czy polityce prywatności w stopce strony, która jest dostępna na każdej jej podstronie.

    Jak realizować obowiązek informacyjny?

    Obowiązek informacyjny wiąże się z koniecznością odpowiedniego poinformowania osoby, której dane przetwarzamy, a więc należy zrobić to w sposób jasny, czytelny i zwięzły, aby uniknąć błędów w komunikacji. Jest to kluczowe dla administratorów, którzy zbierają większe ilości danych, ponieważ jeśli informacje o katalogu danych i celach przetwarzania nie są jasno wyrażone, to w dowolnie dalekiej przyszłości będzie można mu zarzucić działanie w złej woli, a to może prowadzić do problemów prawnych, gdy większa ilość osób dopatrzy się takich nadużyć. Dlatego warto korzystać z odpowiednio przygotowanych wzorów RODO lub podjąć współpracę z prawnikiem, który zadba, żeby informacja o przetwarzaniu była przekazana w odpowiedni sposób.

    Sam w sobie obowiązek informacyjny może być spełniony w trzech formach: pisemnie, elektronicznie lub ustnie. Podstawą dobrze spełnionego obowiązku informacyjnego jest czytelność w formie pisemnej, możliwość odczytu maszynowego w formie elektronicznej oraz wyrażenie chęci i potwierdzenie tożsamości osoby zainteresowanej w formie ustnej.

    W celu spełnienia obowiązku informacyjnego administrator powinien przedstawić, m.in.:

    • swoją tożsamość i dane kontaktowe, a dodatkowo dane kontaktowe inspektora ochrony danych, jeśli został powołany
    • ściśle określone cele przetwarzania danych
    • podstawę prawną do spełniania celów przetwarzania danych - prawne uzasadnienie swoich interesów
    • informację o odbiorcach danych osobowych
    • informacje czy dane przekazywane są do państw trzecich oraz organizacji międzynarodowych
    • okres przechowywania danych osobowych
    • informacje o możliwości cofnięcia zgody do przetwarzania danych osobowych
    • informacje o możliwości wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych
    • informacje czy przetwarzanie danych odbywa się na podstawie ustawowym czy umownym
    • informacje czy pozyskiwane dane podlegają profilowaniu i konsekwencjach tych działań, dla podmiotu, którego dotyczą

    Dodatkowe kryteria powstają, gdy dane nie pochodzą od osoby, której dotyczą. W takiej sytuacji administrator musi dodatkowo poinformować o źródle pochodzenia danych osobowych oraz kategoriach przetwarzania tych danych.

    Kategorie wpisów

    Kategorie wpisów

    Już 14 września o 13:00!
    Szkolenie: Jak zacząć sprzedawać dzięki LinkedIn?