Poradnik Przedsiębiorcy

Obowiązek informacyjny dotyczący danych osobowych po wejściu RODO

Administratorzy danych bardzo często stają przed dylematem, w jaki sposób i w jakiej formie spełnić obowiązek informacyjny wobec osób, których dane przetwarzają. Niestety nie zawsze jest to proste. Każdy administrator jest inny, tak jak i różne bywają okoliczności, cele i sposoby przetwarzania danych. Należy pamiętać o podstawowej zasadzie – osoba, której dane przetwarzamy, musi wiedzieć, dlaczego to robimy i co z tego wynika.

Kiedy występuje obowiązek informacyjny?

Zawsze, kiedy jako administrator rozpoczynamy przetwarzanie danych jakiejś osoby fizycznej, jesteśmy zobowiązani do spełnienia wobec niej obowiązku informacyjnego. Powinniśmy to zrobić przed rozpoczęciem przetwarzania, np. podczas uzyskiwania zgody na przetwarzanie danych. Jeśli pozyskujemy dane osobowe w sposób inny niż od osoby, której dotyczą – najpóźniej w ciągu miesiąca od ich pozyskania lub podczas pierwszego kontaktu z osobą, albo jeśli planujemy przekazać te dane innemu odbiorcy – najpóźniej przy pierwszym przekazaniu.

Osoba, której dane rozpoczynamy przetwarzać, musi odpowiednio wcześnie otrzymać pełną wiedzę na temat administratora danych, celu ich przetwarzania, odbiorców danych czy praw, które jej w związku z tym przysługują. Stanowi to warunek wyrażenia świadomej zgody na przetwarzanie danych [Bielak-Jomaa Edyta (red.), Lubasz Dominik (red.), RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, art. 13 ust. 8].

Forma przedstawienia informacji

Co do zasady informacja powinna zostać przekazana na piśmie lub w formie elektronicznej, np. poprzez umieszczenie linku na stronie internetowej czy przesłanie mailem. Można się spotkać z określeniem klauzula informacyjna, która jest dokumentem zawierającym wszystkie opisane niżej informacje. Jeśli osoba, której dane przetwarzamy, tego sobie zażyczy, możemy przekazać jej wszystkie informacje ustnie (art. 12 ust. 1 RODO).

Klauzula informacyjna musi być:

- zwięzła,

- przejrzysta,

- zrozumiała,

- wyrażona w łatwo dostępnej formie, jasnym i prostym językiem.

Oznacza to, że niezwykle ważne jest, w jaki sposób napiszemy informację o przetwarzaniu danych. Musi być stworzona w taki sposób, by nie było wątpliwości, że została prawidłowo zrozumiana przez osobę, do której jest skierowana. Zwłaszcza, że jej odbiorcą mogą być również dzieci – choćby w przypadku skierowanych do nich serwisów internetowych. Ważny jest nie tylko język, ale i szata graficzna, która powinna być przyjazna dla oka. Należy stosować odpowiednio dużą czcionkę, punkty, odstępy, pogrubienia. Musi być też na tyle krótka, by zaznajomienie się z nią nie stanowiło problemu dla odbiorcy. Nie ma jednego prawidłowego wzoru. Dobrą praktyką jest dać taką informację do przeczytania kilku znajomym, by zwrócili nam uwagę na niejasności, których my nie dostrzegamy.

Co musi zawierać klauzula informacyjna?

Występują różnice w zawartości klauzuli informacyjnej w zależności od tego, czy pozyskujemy informacje od osoby, której dotyczą, czy z innych źródeł.

Jeśli pozyskujemy dane od osoby, której dotyczą, musi zawierać (art. 13 RODO):

  • tożsamość administratora danych i dane kontaktowe (naszą nazwę, adres, mail, telefon),

  • dane kontaktowe inspektora ochrony danych (niektóre podmioty są zobligowane do powołania takiej osoby, jednak w większości przypadków nie jest to obowiązkowe),

  • cele przetwarzania danych osobowych i podstawę prawną tego przetwarzania (czyli wskazanie przepisów prawa, które zezwalają nam na przetwarzanie tych danych),

  • jeśli dane są przetwarzane na podstawie prawnie uzasadnionych interesów administratora lub osoby trzeciej, należy wymienić te interesy, np. wizerunek z monitoringu jest przetwarzany w celu ochrony mienia i osób znajdujących się na terenie/budynku należącym do administratora, a ochrona mienia i osób jest uzasadnionym interesem administratora,

  • informacje o odbiorcach danych osobowych (konkretne firmy, którym powierzamy lub udostępniamy dane osobowe, np. „Janina Kowalska – biegły rewident”) lub informacje o kategoriach odbiorców danych, np. biura rachunkowe, firmy ubezpieczeniowe, firmy zajmujące się analizą ruchu na stronie WWW,

  • informację, czy będziemy przekazywali te dane do państwa trzeciego lub organizacji międzynarodowej (w takim przypadku należy podać również stwierdzenie odpowiedniego stopnia ochrony danych – określa je Komisja Europejska dla państw spoza Unii Europejskiej. Dodatkowo należy wskazać zabezpieczenia tych danych oraz poinformować o możliwości uzyskania kopii albo o miejscu ich udostępnienia),

  • okres, przez który będziemy przechowywali te dane albo sposób obliczenia tego okresu, np. dane będą przechowywane nie dłużej niż 5 lat; dane będą przechowywane przez okres 10 lat, licząc od dnia upływu okresu gwarancji,

  • informację o prawach osób, których dane dotyczą (prawo dostępu do danych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec przetwarzania, prawo do przenoszenia danych),

  • jeśli przetwarzamy dane na podstawie zgody osoby, konieczne jest poinformowanie o prawie do cofnięcia tej zgody w każdej chwili oraz o tym, że cofnięcie zgody nie ma wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem, np. zgodę wyrażono 1 kwietnia, osoba wycofała zgodę 30 czerwca – od 1 kwietnia do 30 czerwca przetwarzaliśmy dane zgodnie z prawem na podstawie wyrażonej zgody, po 30 czerwca nie możemy przetwarzać danych, na przetwarzanie których zgoda została cofnięta,

  • informację o prawie wniesienia skargi na nasze działanie związane z przetwarzanie danych osobowych do Prezesa Urzędu Ochrony Danych Osobowych,

  • informację, czy dokonujemy profilowania osób, czyli czy na podstawie zebranych informacji określamy (np. za pomocą systemu informatycznego) ich cechy i preferencje, np. na podstawie informacji o przebywaniu w lokalizacji nowego osiedla i po zakupie dużej lodówki w sklepie internetowym można wyświetlić tej osobie reklamę zakupu pralki z wyższej półki cenowej, ponieważ prawdopodobnie właśnie się wprowadziła i skoro potrzebuje lodówki, to możliwe że nie ma również innych sprzętów, a jeśli było ją stać na drogą lodówkę, to może być zainteresowana też droższą pralką (to jest właśnie profilowanie),

  • jeśli stosujemy zautomatyzowane podejmowanie decyzji wobec osób, których dane przetwarzamy, należy poinformować o zasadach podejmowania tych decyzji – często stosowane przez instytucje finansowe i ubezpieczeniowe obliczające zdolność kredytową lub wysokość ubezpieczenia na podstawie wprowadzanych danych na stronie internetowej.

Jeśli pozyskujemy dane osobowe w sposób inny niż od osoby, której dane dotyczą, dodatkowo należy podać (art. 14 RODO):

  • nazwy podmiotów, od których pozyskaliśmy dane lub poinformować, że pochodzą one ze źródeł publicznie dostępnych, np. z portalu społecznościowego,

  • kategorie danych, które przetwarzamy (osoba nie wie, jakie dane pozyskaliśmy – musimy ją o tym poinformować), np. dane korespondencyjne, dane telefoniczne, dane wrażliwe itp.

Kiedy nie musimy stosować obowiązku informacyjnego?

RODO w art. 14 ust. 5 przewiduje kilka wyjątków od ogólnej zasady konieczności informowania osób, których dane przetwarzamy i są to przypadki, gdy:

  • osoba, której dane przetwarzamy, już dysponuje tymi informacjami, np. została już wcześniej przez nas poinformowana (obowiązek informacyjny nie musi być powtarzany),

  • udzielenie takich informacji jest niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku, np. przetwarzanie danych do celów archiwalnych w interesie publicznym, do celów badań naukowych, historycznych lub statystycznych,

  • pozyskiwanie lub ujawnianie danych jest ściśle określone w prawie krajowym albo prawie Unii Europejskiej (wtedy to te przepisy przewidują odpowiednie procedury informowania osób, których dane są przetwarzane),

  • dane osobowe muszą pozostać poufne, np. w związku z obowiązkiem zachowania tajemnicy zawodowej,

  • kiedy przetwarzane przez nas dane są zanonimizowane, a więc na ich podstawie nie ma możliwości zidentyfikowania osób, których dotyczą.

Inne przypadki konieczności spełnienia obowiązku informacyjnego

Może się zdarzyć, że osoba, której dane przetwarzamy, zwróci się do nas z prośbą o udostępnienie kopii posiadanych przez nas danych na jej temat oraz wszystkich informacji wymienionych powyżej. Przekazujemy je nieodpłatnie. W przypadku jednak, gdy prośby stają się ewidentnie zbyt częste, nadmierne lub niezasadne, możemy odmówić przekazania informacji lub zażądać wniesienia opłaty uwzględniającej koszty udzielenia informacji i prowadzenia korespondencji. Niestety to na administratorze danych ciąży obowiązek wykazania, że prośby te są nadmierne lub niezasadne (art. 12 ust. 5 RODO).

Podsumowanie

RODO wprowadza pełną jawność w przetwarzaniu danych osobowych. Osoba, której dane przetwarzamy, ma prawo uzyskać wiedzę o podmiotach uczestniczących w przetwarzaniu jej danych, o procedurach związanych z tymi danymi, zabezpieczeniach oraz swoich prawach, które przysługują jej z tego tytułu. Zgoda wyrażona na przetwarzanie danych osobowych musi być świadoma. Warunkiem tego jest posiadanie wiedzy o tym, na co się zgadzamy. Na administratorze danych ciąży obowiązek przekazania informacji w taki sposób, by jej zrozumienie nie stanowiło problemu. Należy uwzględnić odbiorców, do których ją kierujemy – zwłaszcza, jeśli będą to dzieci. Dotyczy to nie tylko języka, którym będzie napisana (nie może być to język branżowy, techniczny, prawniczy), lecz także jej szaty graficznej. Niezrozumienie treści klauzuli informacyjnej może być podstawą do uznania zgody na przetwarzanie danych osobowych za nieważną.