Obowiązek informacyjny

Obowiązek informacyjny

Artykuły 13 i 14 RODO przewidują dwa warianty obowiązków informacyjnych. Artykuł 13 reguluje obowiązek informacyjny spełniany w przypadku pierwotnego pozyskiwania danych od osoby, której dane dotyczą. Natomiast artykuł 14 odnosi się do obowiązku informacyjnego realizowanego w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą.

Adresatem obowiązku informacyjnego jest administrator. Nie realizuje go natomiast podmiot przetwarzający, chyba że robi to w imieniu administratora. Obowiązek ten musi realizować administrator aktywnie, bez wniosku lub jakiegokolwiek innego żądania czy inicjatywy osoby, której dane dotyczą.

Administrator, dokonując oceny, który z obowiązków informacyjnych realizować, musi uwzględnić źródło danych osobowych. Jeżeli źródłem tym jest sam podmiot danych, wówczas obowiązkiem administratora jest przekazanie temu podmiotowi informacji obejmujących:

  • tożsamość i dane kontaktowe administratora oraz – gdy ma to zastosowanie – tożsamość i dane kontaktowe jego przedstawiciela;
  • dane kontaktowe inspektora ochrony danych, jeżeli został powołany;
  • cele przetwarzania danych osobowych;
  • podstawę prawną przetwarzania, a jeżeli podstawą tą jest art. 6 ust. 1 lit. f RODO – także informację o prawnie uzasadnionych interesach realizowanych przez administratora lub przez stronę trzecią;
  • informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli występują w ramach danego przetwarzania;
  • informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, 47 lub 49 ust. 1 ak. 2 RODO, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych, o ile do takich transferów ma dochodzić w ramach danego przetwarzania;
  • okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
  • informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
  • informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem – jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a lub art. 9 ust. 2 lit. a RODO;
  • informacje o prawie wniesienia skargi do organu nadzorczego;
  • informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania, i jakie są ewentualne konsekwencje niepodania danych;
  • informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4 RODO, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Prawodawca unijny w pierwszej kolejności wymaga od administratora podania danych wskazanych w lit. a–f powyżej. Podkreśla jednocześnie, że informacje wymienione w lit. g–l mają być podane poza tymi podstawowymi jako inne, niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania. Jeżeli w ocenie administratora podmiot danych powinien dysponować także innymi informacjami niż wymienione w przepisie art. 13 RODO, należy rekomendować przekazanie takich informacji.

Ponadto jeżeli administrator planuje przetwarzać dane w celu innym niż cel, dla którego te dane zostały zebrane, przed podjęciem takiego dalszego przetwarzania powinien poinformować osobę, której dane dotyczą, o tym innym celu oraz udzielić jej wszelkich informacji niezbędnych do zapewnienia przejrzystości przetwarzania wskazanych w art. 13 ust. 2 lit. a-f RODO.

Obowiązek informacyjny w świetle art. 13 RODO jest więc szerszy niż obowiązek realizowany na gruncie art. 24 ustawy z 29.08.1997 r. o ochronie danych osobowych. Nowością dla administratora jest informowanie o: podstawach prawnych przetwarzania (w tym wyjaśnienia dotyczące uzasadnionych interesów), transferach danych do państw trzecich lub organizacji międzynarodowej, okresach przechowywania danych, uprawnieniach podmiotu danych (w tym o możliwości i skutkach cofnięcia zgody), prawie wniesienia skargi do organu nadzorczego, zautomatyzowanym podejmowaniu decyzji. Zakres klauzul informacyjnych ulega także zmianie ze względu na szersze niż w ustawie o ochronie danych osobowych z 1997 r. rozumienie pojęcia odbiorcy i objęcie nim także podmiotu przetwarzającego.

Nie ulega wątpliwości, że przekazanie osobie, której dane dotyczą, tak dużego pakietu informacji na etapie zbierania od niej danych osobowych wymaga gruntownego przemyślenia oraz osadzenia w praktyce danego administratora i kontekście danego przetwarzania. Administrator musi także pamiętać, że obowiązek informacyjny powinien być spełniany w czasie pozyskiwania danych, podczas tej czynności, nie następczo, kiedy dane zostaną już zebrane.

Przygotowując klauzule informacyjne, należy mieć na uwadze zasadę przejrzystości. Obowiązek informacyjny powinien być realizowany w sposób klarowny, zrozumiały dla podmiotu danych. Klauzula powinna być więc konstruowana jasnym i prostym językiem. Oznacza to, że sposób realizacji obowiązku informacyjnego, w tym sposób formułowania klauzuli, będzie zależeć od kilku czynników, w tym tego, kim jest podmiot danych, w jakiego rodzaju relacji występuje względem administratora, w jaki sposób, z wykorzystaniem jakich środków zbierane są dane od osoby, której dotyczą. Inaczej należy realizować obowiązek informacyjny np. względem dziecka, a inaczej względem dorosłego pacjenta lub też wobec klienta będącego profesjonalistą i występującego w relacji z administratorem właśnie w takim, zawodowym charakterze. Inne będą także możliwości realizacji obowiązku informacyjnego w ramach tradycyjnego, papierowego formularza, w przypadku formularza online, polityki prywatności lub regulaminu, a inne jeżeli obowiązek będzie realizowany w aplikacji mobilnej lub ustnie, np. w czasie rozmowy telefonicznej.

Niezależnie od tego, w jaki sposób administrator decyduje się przekazać podmiotowi danych informacje wymagane zgodnie z art. 13 RODO, powinien pamiętać, że realizacja obowiązku informacyjnego ma służyć osobie, której dane dotyczą, oraz zapewnieniu rzetelności i przejrzystości przetwarzania. Ma więc sprzyjać:

  • uzyskaniu przez podmiot danych informacji niezbędnych do zrozumienia kontekstu i konsekwencji przetwarzania jego danych osobowych,

  • podjęciu stosownej decyzji co do przekazania danych administratorowi,
  • sprawowaniu faktycznej kontroli nad przetwarzanymi na temat podmiotu danymi,
  • wspieraniu korzystania przez podmiot danych z przysługujących mu praw.

Przepisy rozporządzenia nie wymagają od administratora stosowania prawniczego lub informatycznego języka. Istotne, aby klauzula informacyjna stanowiła jasny komunikat o przetwarzaniu danych dla osoby, której te dane dotyczą.

Prawodawca unijny przewiduje jedno wyłączenie obowiązku informacyjnego określonego w art. 13 RODO. Obowiązuje ono tylko wówczas, gdy osoba, której dane dotyczą, dysponuje informacjami, które miałby przekazać administrator zgodnie z wyżej powołanym przepisem. Ponadto wyłączenie to obowiązuje jedynie w takim zakresie, w jakim podmiot danych już posiada określone informacje. Możliwa jest więc całościowa lub częściowa rezygnacja z obowiązku informacyjnego, w zależności od konkretnych okoliczności. W każdym przypadku kluczowa dla możliwości skorzystania z wyłączenia z art. 13 ust. 4 RODO będzie dokonywana przez administratora ocena poziomu świadomości podmiotu danych w określonym kontekście przetwarzania.

Ważne! Należy zwrócić szczególną uwagę na możliwość realizacji obowiązku informacyjnego częściowo, tj. w zakresie, w jakim podmiot danych nie dysponuje informacjami, do których przekazania zobowiązany jest administrator. Jeżeli więc z okoliczności zbierania danych bezsprzecznie wynika, że osoba, której dane dotyczą, wie, kim jest administrator i jak się z nim skontaktować, zna cel przetwarzania (np. sama go determinuje) oraz podstawę (np. korzysta z uprawnienia wynikającego z przepisu, składając ustalone w odpowiednich przepisach prawa dokumenty i dostarczając dane na urzędowych formularzach zawierających precyzyjne wskazanie podstaw każdego z elementów danego wniosku), ale nie dysponuje pozostałymi informacjami, np. nie wie, czy administrator powołał inspektora ochrony danych osobowych i jak się z nim skontaktować, nie wie, jakie przysługują jej prawa w związku z konkretnym przetwarzaniem ani też czy dane mogą być w ramach tego przetwarzania przekazywane do państwa trzeciego itd., to administrator ma obowiązek przedstawić jej te informacje.

W art. 14 RODO uregulowany jest drugi z obowiązków informacyjnych, który powstaje, jeżeli administrator pozyskuje dane z innego źródła niż od samego podmiotu tych danych. W takim przypadku poza informacjami opisanymi powyżej musi wskazać, jakie dane (jakie kategorie danych) i skąd pozyskał. Pełen katalog informacji, których przekazanie może być konieczne, obejmuje więc:

  • tożsamość i dane kontaktowe administratora oraz – gdy ma to zastosowanie – tożsamość i dane kontaktowe przedstawiciela administratora;
  • dane kontaktowe inspektora ochrony danych, jeżeli został wyznaczony;
  • cele przetwarzania, do których mają posłużyć dane osobowe;

  • podstawę prawną przetwarzania;
  • kategorie odnośnych danych osobowych;
  • informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;

  • gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46 , 47  lub 49 ust. 1  ak. 2 RODO, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych;

  • okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe – kryteria ustalania tego okresu;

  • jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f  RODO – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;

  • informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;

  • jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a  lub art. 9 ust. 2 lit. a  RODO – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;

  • informacje o prawie wniesienia skargi do organu nadzorczego;

  • źródło pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych;

  • informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1  i 4  RODO, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Przepis art. 14 ust. 3 RODO wskazuje, w jakim terminie należy zrealizować obowiązek informacyjny. Administrator ma obowiązek przekazać wszystkie informacje w rozsądnym terminie po pozyskaniu danych osobowych, mając na uwadze konkretne okoliczności przetwarzania danych osobowych. Przekazanie to musi nastąpić najpóźniej w ciągu miesiąca od pozyskania danych. Jeżeli natomiast dane mają być stosowane do komunikacji z podmiotem danych, obowiązek informacyjny należy zrealizować najpóźniej przy pierwszej takiej komunikacji. Jeżeli z kolei administrator planuje ujawnić dane innemu odbiorcy, obowiązek ten należy zrealizować najpóźniej przy pierwszym ujawnieniu danych temu odbiorcy.

Obowiązek informacyjny określony w art. 14 RODO należy więc realizować w terminie wskazanym na grafie poniżej:

 

 

Jeżeli z kolei administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym te dane zostały pozyskane, przed takim dalszym przetwarzaniem informuje osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji wskazanych w lit. h–n powyżej.

Artykuł 14 ust. 5 RODO przewiduje wyjątki od obowiązku przekazania podmiotowi danych informacji wskazanych powyżej. Z realizacji obowiązku informacyjnego można zrezygnować, gdy:

  • osoba, której dane dotyczą, dysponuje już informacjami wymaganymi zgodnie z art. 14  RODO;
  • udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku; w szczególności w przypadku przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, z zastrzeżeniem warunków i zabezpieczeń, o których mowa w art. 89 ust. 1  RODO, lub o ile obowiązek informacyjny może uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania. W takich przypadkach administrator podejmuje odpowiednie środki, aby chronić prawa i wolności oraz prawnie uzasadnione interesy osoby, której dane dotyczą, w tym udostępnia informacje publicznie;

  • pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą;

  • dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy.

W przypadku analizy możliwości skorzystania z jakichkolwiek zwolnień z obowiązków informacyjnych należy także brać pod uwagę przepis art. 11 RODO, zgodnie z którym jeżeli cele, w których administrator przetwarza dane osobowe, nie wymagają lub już nie wymagają zidentyfikowania przez niego osoby, której dane dotyczą, administrator nie ma obowiązku zachowania, uzyskania ani przetwarzenia dodatkowych informacji w celu zidentyfikowania osoby, której dane dotyczą, wyłącznie po to, aby zastosować się do wymogów RODO.