25 maja 2018 r. wchodzi w życie Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej: „RODO”). Obowiązek informacyjny w RODO w sposób rewolucyjny zmienia podejście w sprawie postępowania z danymi osobowymi. Nakładając m.in. na administratorów danych osobowych (dalej: „ADO”) szereg nowych obowiązków, nieprzewidzianych dotychczas obowiązującą ustawą o ochronie danych osobowych z dnia 29 sierpnia 1997 r. (t.j. Dz. U. z 2016 r. poz. 922 z późn. zm.) (dalej: „UODO”), w tym obowiązek informacyjny.
Informowanie osób, których dane dotyczą o ich przetwarzaniu, stanowi jeden z podstawowych obowiązków ADO. Na czym jednak ten obowiązek polega i dlaczego nowe przepisy wprowadzają nieznane dotychczas podejście do problematyki danych osobowych? Odpowiedź na tak postawione pytania zostanie udzielona poniżej.
Czym są dane osobowe?
Zanim bliżej przyjrzymy się obowiązkowi informacyjnemu na gruncie RODO, należałoby na wstępie odpowiedzieć na pytanie, czym w ogóle są dane osobowe i jakie dane identyfikujące osobę RODO kwalifikuje jako dane osobowe?
W preambule RODO czytamy, że postęp gospodarczy, jak również rozwój nowych technologii – zwłaszcza informatycznych, spotęgował zagrożenia strefy prywatności człowieka, jaką stanowią jego dane osobowe, co musiało w konsekwencji doprowadzić do rozszerzenia zakresu pojęcia danych osobowych.
RODO wskazuje, że do danych osobowych zalicza się: imię i nazwisko, numer identyfikacyjny (a więc NIP, PESEL czy też numer dowodu osobistego), dane o lokalizacji, identyfikator internetowy (np. numer IP, adres e-mail) lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej, w tym także DNA i RNA, a więc dane dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej.
Kogo dotyczy obowiązek informacyjny w RODO?
Przedsiębiorca w zakresie prowadzonej działalności gospodarczej, na mocy RODO, będzie pełnił rolę administratora danych osobowych. Już samo gromadzenie przez przedsiębiorcę danych osobowych jego klientów, osób zatrudnionych czy z nim współpracujących sprawia, że spoczywa na nim obowiązek zapewnienia bezpieczeństwa administrowania takimi danymi, a w konsekwencji stosowania przepisów określonych w RODO.
Wejście w życie RODO wywołuje skutki m.in. dla przedsiębiorców prowadzących sklepy internetowe, także tych którzy sprzedają towar za pośrednictwem platform zakupowych, świadczących usługi drogą elektroniczną, udostępniających newslettery czy też sprzedających bilety na różnego rodzaju wydarzenia. Już na pierwszy rzut oka widać zatem, że podmiotowy zakres zastosowania nowych regulacji jest bardzo szeroki.
Zgodnie z art. 4 pkt 7 RODO, ADO oznacza zarówno osobę fizyczną, osobę prawną, jak i inną jednostkę, która samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Obowiązek informacyjny w RODO spoczywa zatem zarówno na przedsiębiorcy prowadzącym jednoosobową działalność gospodarczą, jak i spółkach prawa handlowego – zarówno tych posiadających osobowość prawną, jak sp. z o.o. czy S.A., jak i osobowych, tj. jawnej, partnerskiej, komandytowej i komandytowo-akcyjnej. Zaznaczyć przy tym należy, że nie uzyskują statusu ADO osoby pełniące funkcje kierownicze, tj. członkowie zarządu czy też pozostała kadra kierownicza. Status ADO uzyskuje jedynie spółka jako taka.
Obowiązek informacyjny – zakres informowania
Obowiązek informacyjny na gruncie RODO to obowiązek przekazania osobie, której dane dotyczą kompleksowej informacji na temat przetwarzania danych osobowych.
Obowiązek ten aktualizuje się już na etapie pozyskiwania danych osobowych, a także na etapie podjęcia decyzji o dalszym ich przetwarzaniu. Ponadto ADO ma obowiązek przekazania informacji dotyczących przetwarzania danych osobowych także na każdym etapie ich przetwarzania, jeśli o przekazanie informacji na ich temat zwróci się osoba, której te dane dotyczą (art. 15 RODO).
Podstawowy obowiązek informacyjny ADO określony został w art. 13 i 14 RODO. Z przepisów tych stworzyć można następujące zestawienie informacji, jakie ADO ma obowiązek przekazać osobie, której dane osobowe przetwarza:
Art. 13, 14 RODO | Art. 24-25 i art. 32 UODO |
1. swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela; | powtórzenie z UODO
|
2. gdy ma to zastosowanie - dane kontaktowe inspektora ochrony danych; | nowość (brak w UODO) |
3. cele przetwarzania danych osobowych oraz podstawę prawną przetwarzania; | w zakresie podania podstawy prawnej – nowość (brak w UODO) |
4. jeżeli przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią - prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią; | nowość (brak w UODO) |
5. informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją; | powtórzenie z UODO |
6. gdy ma to zastosowanie - informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania; | nowość (brak w UODO) |
7. okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu; | nowość (brak w UOD) |
8. informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych; | Ograniczenie przetwarzania, prawo do przenoszenia danych – nowość (brak w UODO) |
9. jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) - informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem; | nowość (brak w UODO) |
10. informacje o prawie wniesienia skargi do organu nadzorczego; | nowość (brak w UODO) |
11. informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych; | nowość (brak w UODO) |
12. informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz - przynajmniej w tych przypadkach - istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą. | nowość (brak w UODO) |
Przedsiębiorca, aby spełnić wyżej opisany obowiązek informacyjny określony w RODO, powinien skrupulatnie zweryfikować posiadaną dokumentację i regulaminy w zakresie przetwarzania danych osobowych.
Zasada przejrzystości – w jakiej formie należy spełnić obowiązek informacyjny i w jakim terminie?
Art. 12 ust. 1 RODO określa, że przekazywane informacje związane z przetwarzaniem danych osobowych muszą realizować zasadę przejrzystości, która wymaga, by wszelkie komunikaty kierowane do osoby, której dane dotyczą, były łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem. Ponadto ustawodawca unijny przyjmuje, że informacja podana przy użyciu znaków graficznych może okazać się bardziej zrozumiała i przejrzysta dla odbiorcy. Z tego względu w art. 12 ust. 7 RODO wskazuje się, że: Informacje, których udziela się osobom, których dane dotyczą, na mocy art. 13 i 14, można opatrzyć standardowymi znakami graficznymi, które w widoczny, zrozumiały i czytelny sposób przedstawią sens zamierzonego przetwarzania.
Informacji, o których mowa w RODO, udziela się na piśmie, a także w stosownych przypadkach w formie elektronicznej. Jeżeli osoba, której dane dotyczą, tego zażąda, informacji można udzielić ustnie, o ile innymi sposobami potwierdzi się tożsamość osoby, której dane dotyczą.
Niewątpliwie obowiązek informacyjny można spełnić już przy uzyskiwaniu zgody na przetwarzanie danych osobowych. Najłatwiejszą formą będzie przekazanie wszystkich niezbędnych informacji dot. RODO w regulaminie świadczenia usług bądź sklepu internetowego. Niemniej jednak RODO przewiduje miesięczny termin na wypełnienie obowiązku informacyjnego od chwili pozyskania danych osobowych albo chwili od otrzymania żądania o przekazanie stosownych informacji od osoby, której dane dotyczą.
Odpowiedzialność za uchybienie obowiązkowi informacyjnemu
Pomimo że ADO może zlecić wykonywanie obowiązków z zakresu administrowania danymi osobowymi, to właśnie na nim ciąży odpowiedzialność za właściwą ochronę danych osobowych wynikającą z przepisów prawa. Tymczasem za brak należytego wypełnienia obowiązku informacyjnego przewidziane zostały surowe sankcje.
Na uwagę zasługuje w tym zakresie w szczególności art. 83 RODO, który określa, że naruszenia przepisów dotyczących obowiązków informacyjnych podlegają administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa - w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Należy uznać, że jest to kara rażąco wysoka. Co więcej, niezależnie od tego GIODO będzie stosować krajowe regulacje dot. sankcji za nienależyte wykonywanie obowiązków informacyjnych.
Mając na uwadze fakt, że sankcją za uchybienie obowiązkom informacyjnym jest ryzyko nałożenia bardzo wysokiej kary pieniężnej, należy w sposób szczególnie wnikliwy i ostrożny podejść do nowo zakreślonych obowiązków i przygotować dokumentację związaną z ochroną danych osobowych z zachowaniem najwyższej staranności.