Artykuły 13 i 14 RODO przewidują dwa warianty obowiązków informacyjnych. Artykuł 13 reguluje obowiązek informacyjny spełniany w przypadku pierwotnego pozyskiwania danych od osoby, której dane dotyczą. Natomiast artykuł 14 odnosi się do obowiązku informacyjnego realizowanego w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą.

Adresatem obowiązku informacyjnego jest administrator. Nie realizuje go natomiast podmiot przetwarzający, chyba że robi to w imieniu administratora. Obowiązek ten musi realizować administrator aktywnie, bez wniosku lub jakiegokolwiek innego żądania czy inicjatywy osoby, której dane dotyczą.

Administrator, dokonując oceny, który z obowiązków informacyjnych realizować, musi uwzględnić źródło danych osobowych. Jeżeli źródłem tym jest sam podmiot danych, wówczas obowiązkiem administratora jest przekazanie temu podmiotowi informacji obejmujących:

  • tożsamość i dane kontaktowe administratora oraz – gdy ma to zastosowanie – tożsamość i dane kontaktowe jego przedstawiciela;
  • dane kontaktowe inspektora ochrony danych, jeżeli został powołany;
  • cele przetwarzania danych osobowych;
  • podstawę prawną przetwarzania, a jeżeli podstawą tą jest art. 6 ust. 1 lit. f RODO – także informację o prawnie uzasadnionych interesach realizowanych przez administratora lub przez stronę trzecią;
  • informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli występują w ramach danego przetwarzania;
  • informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, 47 lub 49 ust. 1 ak. 2 RODO, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych, o ile do takich transferów ma dochodzić w ramach danego przetwarzania;
  • okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
  • informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
  • informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem – jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a lub art. 9 ust. 2 lit. a RODO;
  • informacje o prawie wniesienia skargi do organu nadzorczego;
  • informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania, i jakie są ewentualne konsekwencje niepodania danych;
  • informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4 RODO, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Prawodawca unijny w pierwszej kolejności wymaga od administratora podania danych wskazanych w lit. a–f powyżej. Podkreśla jednocześnie, że informacje wymienione w lit. g–l mają być podane poza tymi podstawowymi jako inne, niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania. Jeżeli w ocenie administratora podmiot danych powinien dysponować także innymi informacjami niż wymienione w przepisie art. 13 RODO, należy rekomendować przekazanie takich informacji.

Ponadto jeżeli administrator planuje przetwarzać dane w celu innym niż cel, dla którego te dane zostały zebrane, przed podjęciem takiego dalszego przetwarzania powinien poinformować osobę, której dane dotyczą, o tym innym celu oraz udzielić jej wszelkich informacji niezbędnych do zapewnienia przejrzystości przetwarzania wskazanych w art. 13 ust. 2 lit. a-f RODO.

Obowiązek informacyjny w świetle art. 13 RODO jest więc szerszy niż obowiązek realizowany na gruncie art. 24 ustawy z 29.08.1997 r. o ochronie danych osobowych. Nowością dla administratora jest informowanie o: podstawach prawnych przetwarzania (w tym wyjaśnienia dotyczące uzasadnionych interesów), transferach danych do państw trzecich lub organizacji międzynarodowej, okresach przechowywania danych, uprawnieniach podmiotu danych (w tym o możliwości i skutkach cofnięcia zgody), prawie wniesienia skargi do organu nadzorczego, zautomatyzowanym podejmowaniu decyzji. Zakres klauzul informacyjnych ulega także zmianie ze względu na szersze niż w ustawie o ochronie danych osobowych z 1997 r. rozumienie pojęcia odbiorcy i objęcie nim także podmiotu przetwarzającego.

Nie ulega wątpliwości, że przekazanie osobie, której dane dotyczą, tak dużego pakietu informacji na etapie zbierania od niej danych osobowych wymaga gruntownego przemyślenia oraz osadzenia w praktyce danego administratora i kontekście danego przetwarzania. Administrator musi także pamiętać, że obowiązek informacyjny powinien być spełniany w czasie pozyskiwania danych, podczas tej czynności, nie następczo, kiedy dane zostaną już zebrane.

Przygotowując klauzule informacyjne, należy mieć na uwadze zasadę przejrzystości. Obowiązek informacyjny powinien być realizowany w sposób klarowny, zrozumiały dla podmiotu danych. Klauzula powinna być więc konstruowana jasnym i prostym językiem. Oznacza to, że sposób realizacji obowiązku informacyjnego, w tym sposób formułowania klauzuli, będzie zależeć od kilku czynników, w tym tego, kim jest podmiot danych, w jakiego rodzaju relacji występuje względem administratora, w jaki sposób, z wykorzystaniem jakich środków zbierane są dane od osoby, której dotyczą. Inaczej należy realizować obowiązek informacyjny np. względem dziecka, a inaczej względem dorosłego pacjenta lub też wobec klienta będącego profesjonalistą i występującego w relacji z administratorem właśnie w takim, zawodowym charakterze. Inne będą także możliwości realizacji obowiązku informacyjnego w ramach tradycyjnego, papierowego formularza, w przypadku formularza online, polityki prywatności lub regulaminu, a inne jeżeli obowiązek będzie realizowany w aplikacji mobilnej lub ustnie, np. w czasie rozmowy telefonicznej.

Niezależnie od tego, w jaki sposób administrator decyduje się przekazać podmiotowi danych informacje wymagane zgodnie z art. 13 RODO, powinien pamiętać, że realizacja obowiązku informacyjnego ma służyć osobie, której dane dotyczą, oraz zapewnieniu rzetelności i przejrzystości przetwarzania. Ma więc sprzyjać:

  • uzyskaniu przez podmiot danych informacji niezbędnych do zrozumienia kontekstu i konsekwencji przetwarzania jego danych osobowych,

  • podjęciu stosownej decyzji co do przekazania danych administratorowi,
  • sprawowaniu faktycznej kontroli nad przetwarzanymi na temat podmiotu danymi,
  • wspieraniu korzystania przez podmiot danych z przysługujących mu praw.

Przepisy rozporządzenia nie wymagają od administratora stosowania prawniczego lub informatycznego języka. Istotne, aby klauzula informacyjna stanowiła jasny komunikat o przetwarzaniu danych dla osoby, której te dane dotyczą.

Prawodawca unijny przewiduje jedno wyłączenie obowiązku informacyjnego określonego w art. 13 RODO. Obowiązuje ono tylko wówczas, gdy osoba, której dane dotyczą, dysponuje informacjami, które miałby przekazać administrator zgodnie z wyżej powołanym przepisem. Ponadto wyłączenie to obowiązuje jedynie w takim zakresie, w jakim podmiot danych już posiada określone informacje. Możliwa jest więc całościowa lub częściowa rezygnacja z obowiązku informacyjnego, w zależności od konkretnych okoliczności. W każdym przypadku kluczowa dla możliwości skorzystania z wyłączenia z art. 13 ust. 4 RODO będzie dokonywana przez administratora ocena poziomu świadomości podmiotu danych w określonym kontekście przetwarzania.

Ważne! Należy zwrócić szczególną uwagę na możliwość realizacji obowiązku informacyjnego częściowo, tj. w zakresie, w jakim podmiot danych nie dysponuje informacjami, do których przekazania zobowiązany jest administrator. Jeżeli więc z okoliczności zbierania danych bezsprzecznie wynika, że osoba, której dane dotyczą, wie, kim jest administrator i jak się z nim skontaktować, zna cel przetwarzania (np. sama go determinuje) oraz podstawę (np. korzysta z uprawnienia wynikającego z przepisu, składając ustalone w odpowiednich przepisach prawa dokumenty i dostarczając dane na urzędowych formularzach zawierających precyzyjne wskazanie podstaw każdego z elementów danego wniosku), ale nie dysponuje pozostałymi informacjami, np. nie wie, czy administrator powołał inspektora ochrony danych osobowych i jak się z nim skontaktować, nie wie, jakie przysługują jej prawa w związku z konkretnym przetwarzaniem ani też czy dane mogą być w ramach tego przetwarzania przekazywane do państwa trzeciego itd., to administrator ma obowiązek przedstawić jej te informacje.

W art. 14 RODO uregulowany jest drugi z obowiązków informacyjnych, który powstaje, jeżeli administrator pozyskuje dane z innego źródła niż od samego podmiotu tych danych. W takim przypadku poza informacjami opisanymi powyżej musi wskazać, jakie dane (jakie kategorie danych) i skąd pozyskał. Pełen katalog informacji, których przekazanie może być konieczne, obejmuje więc:

  • tożsamość i dane kontaktowe administratora oraz – gdy ma to zastosowanie – tożsamość i dane kontaktowe przedstawiciela administratora;
  • dane kontaktowe inspektora ochrony danych, jeżeli został wyznaczony;
  • cele przetwarzania, do których mają posłużyć dane osobowe;

  • podstawę prawną przetwarzania;
  • kategorie odnośnych danych osobowych;
  • informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;

  • gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46 , 47  lub 49 ust. 1  ak. 2 RODO, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych;

  • okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe – kryteria ustalania tego okresu;

  • jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f  RODO – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;

  • informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;

  • jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a  lub art. 9 ust. 2 lit. a  RODO – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;

  • informacje o prawie wniesienia skargi do organu nadzorczego;

  • źródło pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych;

  • informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1  i 4  RODO, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Przepis art. 14 ust. 3 RODO wskazuje, w jakim terminie należy zrealizować obowiązek informacyjny. Administrator ma obowiązek przekazać wszystkie informacje w rozsądnym terminie po pozyskaniu danych osobowych, mając na uwadze konkretne okoliczności przetwarzania danych osobowych. Przekazanie to musi nastąpić najpóźniej w ciągu miesiąca od pozyskania danych. Jeżeli natomiast dane mają być stosowane do komunikacji z podmiotem danych, obowiązek informacyjny należy zrealizować najpóźniej przy pierwszej takiej komunikacji. Jeżeli z kolei administrator planuje ujawnić dane innemu odbiorcy, obowiązek ten należy zrealizować najpóźniej przy pierwszym ujawnieniu danych temu odbiorcy.

Obowiązek informacyjny określony w art. 14 RODO należy więc realizować w terminie wskazanym na grafie poniżej:

 

 

Jeżeli z kolei administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym te dane zostały pozyskane, przed takim dalszym przetwarzaniem informuje osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji wskazanych w lit. h–n powyżej.

Artykuł 14 ust. 5 RODO przewiduje wyjątki od obowiązku przekazania podmiotowi danych informacji wskazanych powyżej. Z realizacji obowiązku informacyjnego można zrezygnować, gdy:

  • osoba, której dane dotyczą, dysponuje już informacjami wymaganymi zgodnie z art. 14  RODO;
  • udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku; w szczególności w przypadku przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, z zastrzeżeniem warunków i zabezpieczeń, o których mowa w art. 89 ust. 1  RODO, lub o ile obowiązek informacyjny może uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania. W takich przypadkach administrator podejmuje odpowiednie środki, aby chronić prawa i wolności oraz prawnie uzasadnione interesy osoby, której dane dotyczą, w tym udostępnia informacje publicznie;

  • pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą;

  • dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy.

W przypadku analizy możliwości skorzystania z jakichkolwiek zwolnień z obowiązków informacyjnych należy także brać pod uwagę przepis art. 11 RODO, zgodnie z którym jeżeli cele, w których administrator przetwarza dane osobowe, nie wymagają lub już nie wymagają zidentyfikowania przez niego osoby, której dane dotyczą, administrator nie ma obowiązku zachowania, uzyskania ani przetwarzenia dodatkowych informacji w celu zidentyfikowania osoby, której dane dotyczą, wyłącznie po to, aby zastosować się do wymogów RODO.

Newsletter

Zapisz się do naszego Newslettera, aby otrzymywać wartościowe treści dotyczące ochrony danych osobowych oraz informacje o naszych usługach i ofertach specjalnych. 

Dziękujemy! Udało Ci się dołączyć do naszej listy subskrybentów.