Jednym z podstawowych praw osób fizycznych, opisanych w RODO, jest prawo do posiadania informacji na temat tego, co dzieje się
z udostępnionymi przez nas danymi oraz kto może mieć do nich dostęp.
Dla jednych (osób udostępniających dane), prawo to będzie wiązało się ze zwiększeniem poczucia kontroli nad tym, gdzie znajdują się ich dane, dla drugich (administratorów danych) prawo to wywołuje konkretny obowiązek informacyjny.
Pomimo faktu, że instytucja obowiązku informacyjnego istniała już na gruncie ustawy o ochronie danych osobowych z 29 sierpnia 1997 r., dopiero teraz, od momentu wejścia w życie przepisów RODO, przykłada się do niego należytą uwagę.
W jakich sytuacjach muszę spełniać obowiązek informacyjny?
Każdy administrator danych jest zobowiązany do tego, aby informować osoby których dane dotyczą o fakcie przetwarzania przez niego danych wtedy, kiedy:
- Pozyskuje dane bezpośrednio od tej osoby (art. 13 RODO),
- Pozyskuje dane z innych źródeł niż w sposób bezpośredni od tej osoby (art. 14 RODO)
- Zmienia cel przetwarzania pozyskanych danych lub dodaje nowy (art. 13 ust. 3,
art. 14 ust. 4 RODO) - Realizuje prawo dostępu do danych przez osobę, której dane dotyczą (art. 15 RODO)
Jak widać, realizacja obowiązku przez administratora danych wiąże się z koniecznością analizy przepisów RODO oraz zaistniałej sytuacji.
W zależności od tego, z jaką sytuacją mamy do czynienia, przekazujemy inny katalog informacji.
Pozyskiwanie danych bezpośrednio od osoby, której dane dotyczą
W sposób bezpośredni od osoby, pozyskujemy dane w większości przypadków. Podczas rekrutacji, w momencie zatrudnienia
czy też zawierania umowy o współpracy, pozyskujemy dane bezpośrednio od tej osoby.
Zatem jaki zestaw informacji musimy przekazać tej osobie, aby prawidłowo realizować obowiązek informacyjny?
W tym przypadku mamy do czynienia z podstawowym katalogiem informacji, który będzie mógł być rozszerzony o dodatkowe elementy
w zależności od zaistniałej sytuacji.
Przede wszystkim należy podać podstawowe wiadomości na temat podmiotu, który jest administratorem danych oraz celu w jakim przetwarza dane osobowe.
Takimi danymi są:
- Dane kontaktowe Administratora i Inspektora Ochrony Danych (jeżeli został powołany)
- Cel przetwarzania danych oraz podstawa prawna przetwarzania (w tym prawnie uzasadniony interes realizowany przez administratora jeżeli występuje)
- Informacje o odbiorcach danych lub kategoriach odbiorców
- Informacje na temat ewentualnego eksportu danych poza UE
- Okres przechowywania danych lub sposób w jaki można go określić.
Ponadto, w obowiązku informacyjnym musi zostać także zawarta informacja na temat przysługujących osobom, których dane dotyczą praw, t.j:
- prawo dostępu do danych,
- sprostowania,
- usunięcia,
- ograniczenia przetwarzania,
- sprzeciwu,
- przenoszenia danych,
- skargi do organu nadzorczego,
- cofnięcia zgody (jeżeli przetwarzanie odbywa się na podstawie dobrowolnie wyrażonej zgody)
Co więcej, administrator zobowiązany jest do tego, aby poinformować:
- czy podanie danych jest wymogiem ustawowym
- czy podanie danych jest wymogiem wynikających z zawartej umowy
- jakie są konsekwencje niepodania danych
- czy podanie danych jest obowiązkowe czy zupełnie dobrowolne
- czy ewentualne decyzje wydawane przez administratora oparte są na zautomatyzowanym podejmowaniu decyzji lub profilowaniu
Jak widać, zestaw informacji jaki zobowiązany jest przekazać administrator każdej z osób, której przetwarzana dane osobowe jest bardzo szeroki 😊.
Pozyskiwanie danych z innych źródeł niż w sposób bezpośredni od osoby, której dane dotyczą
W przypadku pozyskiwania danych z innych źródeł, zakres informacji w porównaniu z tym opisanym powyżej zostaje rozszerzony o dwie informacji, jakimi są:
- kategorie danych jakie zostały pozyskane z tego źródła
- informację na temat źródła danych (ze szczególnym wyróżnieniem źródeł ogólnie dostępnych)
Kiedy możemy mieć do czynienia z sytuacją w której pozyskujemy dane z innych źródeł?
Z pewnością w przypadku pozyskiwania danych z ogólnodostępnych zbiorów/spisów (KRS, CEIDG)
Zmiana celu przetwarzania pozyskanych danych oraz realizacja prawa dostępu
W przypadku zaistnienia sytuacji w której administratora danych planuje zmienić cel pozyskiwania danych lub realizuje prawo dostępu
do danych, zobowiązany jest do tego aby:
- poinformować o nowym lub zmienionym celu
- udzielić osobie informacji będących przedmiotem zapytania
- udzielić informacji zawartych w podstawowym katalogu, jeżeli osoba której dane dotyczą ich nie posiada
Opisane powyżej różnice, występujące w zależności od tego, z jaką sytuacją mamy do czynienia wymuszają na administratorze konieczność dokonania każdorazowej analizy sposobu pozyskiwania danych. Bez takiej informacji, nie jest możliwe aby w sposób skuteczny i właściwy spełnić nałożony obowiązek informacyjny.
W jakim momencie muszę informować?
Moment, w którym należy rzeczywiście spełnić obowiązek informacyjny jest jednym z najczęściej poruszanych zagadnień odkąd zaczęło obowiązywać RODO.
Czy odbierając telefon muszę za każdym razem recytować całą regułkę?
Jak mam to zrobić kontaktując się z klientem drogą mailową?
Czy podczas pozyskiwania danych na spotkaniu z klientem, obowiązek informacyjny mam mieć przyklejony do czoła? 😉
Te i inne pytania rodziły się w głowie każdej z osób, która odpowiadała za dostosowanie przepisów RODO w ich organizacji.
Odpowiedź na to pytanie jest proste: Podczas pozyskiwania danych
Nie wcześniej, nie później tylko w momencie w którym pozyskujemy dane.
Jeżeli pozyskujemy dane drogą elektroniczną (np. dane osób, chcących przystąpić do naszego newslettera) wtedy w pierwszej wiadomości skierowanej do takiej osoby załączamy treść obowiązku informacyjnego.
Jeżeli pozyskujemy dane gości hotelowych, obowiązek informacyjny powinniśmy realizować poprzez udostępnienie takiej informacji
w recepcji w dobrze widocznym miejscu.
Wymienione powyżej przykłady, mają wyłącznie wartość informacyjną – każdy przypadek pozyskiwania danych może być inny i to
w odniesieniu do konkretnego przykładu należy wybrać najlepsze rozwiązanie.
„Co autor miał na myśli”
czyli jak skutecznie przekazać treść obowiązku informacyjnego?
Świadomość tego, kogo musimy informować oraz w którym momencie przekazać treść obowiązku informacyjnego opisałem powyżej. Natomiast, jak należy skutecznie opisać wymagane informacje?
Każdy dobrze sporządzony obowiązek informacyjny, musi być przede wszystkim czytelny. Używajmy prostego, zrozumiałego języka (jak ognia unikajmy prawniczej „nowomowy” 😉) oraz jeżeli to możliwe, zrezygnujmy z podawania podstaw prawnych (zamiast „przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a), napiszmy, że przetwarzania odbywa się na podstawie dobrowolnie wyrażonej zgody”.
Obowiązek informacyjny musi być także dostępny, co oznacza że dostęp do niego musi być prosty
i bezpośredni oraz w możliwie najbliżej odległości od podmiotu danych.
W tym miejscu na podkreślenie zasługuje fakt, że nie ma obowiązku pełnego informowania (tzn. przedstawiania pełnej treści) przy pierwszym kontakcie.
Zarówno w stopce mailowej, w komunikacie telefonicznym, czy w grafice wywieszonej przed budynkiem, możemy zamieścić informacje
w krótszej formie, z odesłaniem do pełnej wersji obowiązku informacyjnego.
Skuteczne spełnienie obowiązku informacyjnego nie jest proste. Obowiązek informowania
o sposobach przetwarzania danych przez administratora pełni bardzo istotną rolę przy możliwości rzeczywistego korzystania z przyznanych przez RODO praw.
Na bardzo duże znaczenie prawa do informacji zwrócił uwagę także Urząd Ochrony Danych Osobowych w swojej decyzji z 26 marca 2019 r. kiedy to poprzez niewłaściwe spełnienie obowiązku informacyjnego została nałożona kara w wysokości ponad 940 000,00 zł.
Moja opinia na temat nałożonej pierwszej kary w Polsce na gruncie RODO, pojawi się na blogu już niebawem 😊
