Obowiązek określony w art. 13 i 14 RODO
Prawodawca unijny we wskazanych wyżej przepisach, zobowiązał administratorów danych osobowych do przekazania osobom fizycznym informacji o przetwarzaniu ich danych osobowych. Porządkowo dodajmy, że zgodnie z określoną w art. 4 pkt 7 RODO definicją, mianem administratora danych osobowych określa się podmiot który ustala cele i sposoby przetwarzania danych osobowych. Takim administratorem może być przykładowo spółka Super Wypoczynek Sp. z o.o. prowadząca hotel. Spółka, jako administrator danych osobowych zobowiązana jest do poinformowania osób fizycznych których dane przetwarza. Osobami tymi mogą być nimi między innymi pracownicy, współpracownicy, goście hotelowi, kandydaci do pracy, czy kontrahenci spółki. Co istotne, nie jest to wyłącznie poinformowanie o fakcie przetwarzania danych osobowych, lecz konieczność przekazania szeregu informacji których wymaga RODO.
Obowiązek informacyjny, klauzula informacyjna, klauzula RODO…
W przeciwieństwie do pojęcia administratora, RODO nie dysponuje legalną definicją wyżej wymienionego obowiązku. Praktyka wypracowała różnorakie nazewnictwo, wśród których najpopularniejsze to: obowiązek informacyjny, klauzula informacyjna czy klauzula RODO. W każdym jednak przypadku, mowa o spoczywającym na administratorze danych osobowych obowiązku określonym w art. 13 lub 14 RODO.
Kiedy należy przekazać informacje o przetwarzaniu danych osobowych?
To zależy od tego, w jaki sposób dane zostały przez administratora pozyskane. Wyżej przytoczone zostały dwa przepisy. Pierwszy, artykuł 13 RODO, który obliguje administratora do przekazania informacji o przetwarzaniu danych osobowych w przypadku bezpośredniego pozyskania danych osobowych. Drugi z kolei, przewiduje przypadek pośredniego pozyskania danych osobowych, czyli nie bezpośrednio od osoby której dane dotyczą. Przykładem pośredniego pozyskania danych osobowych może być między innymi pozyskanie ich ze strony internetowej czy od pracodawcy osoby fizycznej.
Gdy dane pozyskiwane są pośrednio, z uwagi na specyfikę tego przypadku w artykule 14 RODO określony został moment w którym należy przekazać informacje o przetwarzaniu danych osobowych. Ponadto, w ustępie piątym tegoż artykułu przewidziano wyłączenie, zgodnie z którym w określonych przypadkach nie ma bezwzględnego obowiązku przekazywania tych informacji.
Ważne! Przypadek nieuzasadnionego zastosowania przez administratora wyłączenia, był przedmiotem pierwszej w Polsce administracyjnej kary pieniężnej za naruszenie przepisów RODO. Zarówno o karze, jak i o istocie wyłączenia z art. 14 ust. 5 RODO, mieliśmy już przyjemność pisać we wpisie zamieszczonym pod nazwą Pierwsza administracyjna kara pieniężna RODO w Polsce.
Jakie informacje należy przekazać?
Gdy mamy do czynienia z bezpośrednim pozyskaniem danych osobowych, tj. jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, art. 13 ust. 1 RODO stanowi że: administrator podczas pozyskiwania danych osobowych podaje jej wszystkie następujące informacje:
a) swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
b) gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
c) cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania;
d) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;
e) informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
f) gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz informację o sposobach uzyskania kopii tych zabezpieczeń lub o miejscu ich udostępnienia.
ust. 2. Poza informacjami, o których mowa w ust. 1, podczas pozyskiwania danych osobowych administrator podaje osobie, której dane dotyczą, następujące inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania:
a) okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
b) informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
c) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
d) informacje o prawie wniesienia skargi do organu nadzorczego;
e) informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
f) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą
Z kolei, w przypadku pośredniego pozyskania danych osobowych (art. 14 RODO) ponad wyżej wymienione informacje należy wskazać dodatkowo. Po pierwsze, kategorię odnośnych danych osobowych; Po drugie, źródło pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych
Przekładając powyższe na rzeczywistość, administrator pozyskując dane osobowe nie bezpośrednio od osoby której dane dotyczą, musi dodatkowo poinformować osobę fizyczną, że przykładowo: kategoria danych osobowych to: imię, nazwisko, stanowisko, służbowy adres e-mail, a dane te zostały pozyskane za pośrednictwem powszechnie dostępnej strony www Pani/Pana profilu biznesowego na portalu LinkedIn.
Czy rzeczywiście klauzule informacyjne RODO muszą być aż tak rozbudowane?
I tak i nie. Ogólnie obowiązek informacyjny pod rządami RODO musi być rozbudowany, ponieważ jak zostało wyżej przytoczone, przepisy prawne wymagają aby przekazać dużą ilość informacji. Rzutuje to niewątpliwie na obszerności klauzuli informacyjnej. W naszej ocenie, nie ma jednak bezwzględnej konieczności aby w każdym przypadku, wszelkie prawnie wymagane informacje przekazywane były „na raz, w jednym miejscu”. Dobrym przykładem może być problem zamieszczenia klauzuli obowiązku informacyjnego przy formularzu kontaktowym na stronie internetowej administratora. W przypadku umieszczenia w tym miejscu całkowitej treści obowiązku informacyjnego, statystycznie objętość informacji o przetwarzaniu danych osobowych stanowić będzie ponad 95% objętości całego formularza, który z założenia przyjmuje lakoniczna formę ograniczającą się do Skontaktuj się z nami: Imię, adres e-mail oraz klawisz wyślij.
Uważamy że obowiązek informacyjny z art. 13 RODO nie jest nieprawidłowo spełniony, gdy administrator zadecyduje o jego „warstwowej” realizacji. Oczywiście pod warunkiem zachowania wymogów prostoty, jasności i przejrzystości informowania, o których mowa w art. 12 RODO. Odnośnie „warstwowego”, czy też „stopniowego” spełniania obowiązków informacyjnych zamierzamy poświęcić kolejny z wpisów na naszym blogu. W niektórych przypadkach bowiem realizacja obowiązku informacyjnego w takiej formie jest zdecydowanie bardziej dogodna i estetyczna.
Opracował: Zespół Lasota Consulting Sp. z o.o.
Uważasz że materiał jest godny polecenia? Kliknij poniżej i udostępnij go!