Obowiązek informacyjny

Obowiązek informacyjny

Artykuły 13 i 14 RODO przewidują dwa warianty obowiązków informacyjnych. Artykuł 13 reguluje obowiązek informacyjny spełniany w przypadku pierwotnego pozyskiwania danych od osoby, której dane dotyczą. Natomiast artykuł 14 odnosi się do obowiązku informacyjnego realizowanego w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą.

Adresatem obowiązku informacyjnego jest administrator. Nie realizuje go natomiast podmiot przetwarzający, chyba że robi to w imieniu administratora. Obowiązek ten musi realizować administrator aktywnie, bez wniosku lub jakiegokolwiek innego żądania czy inicjatywy osoby, której dane dotyczą.

Administrator, dokonując oceny, który z obowiązków informacyjnych realizować, musi uwzględnić źródło danych osobowych. Jeżeli źródłem tym jest sam podmiot danych, wówczas obowiązkiem administratora jest przekazanie temu podmiotowi informacji obejmujących:

  • tożsamość i dane kontaktowe administratora oraz – gdy ma to zastosowanie – tożsamość i dane kontaktowe jego przedstawiciela;
  • dane kontaktowe inspektora ochrony danych, jeżeli został powołany;
  • cele przetwarzania danych osobowych;
  • podstawę prawną przetwarzania, a jeżeli podstawą tą jest art. 6 ust. 1 lit. f RODO – także informację o prawnie uzasadnionych interesach realizowanych przez administratora lub przez stronę trzecią;
  • informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli występują w ramach danego przetwarzania;
  • informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, 47 lub 49 ust. 1 ak. 2 RODO, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych, o ile do takich transferów ma dochodzić w ramach danego przetwarzania;
  • okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
  • informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
  • informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem – jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a lub art. 9 ust. 2 lit. a RODO;
  • informacje o prawie wniesienia skargi do organu nadzorczego;
  • informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania, i jakie są ewentualne konsekwencje niepodania danych;
  • informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4 RODO, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Prawodawca unijny w pierwszej kolejności wymaga od administratora podania danych wskazanych w lit. a–f powyżej. Podkreśla jednocześnie, że informacje wymienione w lit. g–l mają być podane poza tymi podstawowymi jako inne, niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania. Jeżeli w ocenie administratora podmiot danych powinien dysponować także innymi informacjami niż wymienione w przepisie art. 13 RODO, należy rekomendować przekazanie takich informacji.

Ponadto jeżeli administrator planuje przetwarzać dane w celu innym niż cel, dla którego te dane zostały zebrane, przed podjęciem takiego dalszego przetwarzania powinien poinformować osobę, której dane dotyczą, o tym innym celu oraz udzielić jej wszelkich informacji niezbędnych do zapewnienia przejrzystości przetwarzania wskazanych w art. 13 ust. 2 lit. a-f RODO.

Obowiązek informacyjny w świetle art. 13 RODO jest więc szerszy niż obowiązek realizowany na gruncie art. 24 ustawy z 29.08.1997 r. o ochronie danych osobowych. Nowością dla administratora jest informowanie o: podstawach prawnych przetwarzania (w tym wyjaśnienia dotyczące uzasadnionych interesów), transferach danych do państw trzecich lub organizacji międzynarodowej, okresach przechowywania danych, uprawnieniach podmiotu danych (w tym o możliwości i skutkach cofnięcia zgody), prawie wniesienia skargi do organu nadzorczego, zautomatyzowanym podejmowaniu decyzji. Zakres klauzul informacyjnych ulega także zmianie ze względu na szersze niż w ustawie o ochronie danych osobowych z 1997 r. rozumienie pojęcia odbiorcy i objęcie nim także podmiotu przetwarzającego.

Nie ulega wątpliwości, że przekazanie osobie, której dane dotyczą, tak dużego pakietu informacji na etapie zbierania od niej danych osobowych wymaga gruntownego przemyślenia oraz osadzenia w praktyce danego administratora i kontekście danego przetwarzania. Administrator musi także pamiętać, że obowiązek informacyjny powinien być spełniany w czasie pozyskiwania danych, podczas tej czynności, nie następczo, kiedy dane zostaną już zebrane.

Przygotowując klauzule informacyjne, należy mieć na uwadze zasadę przejrzystości. Obowiązek informacyjny powinien być realizowany w sposób klarowny, zrozumiały dla podmiotu danych. Klauzula powinna być więc konstruowana jasnym i prostym językiem. Oznacza to, że sposób realizacji obowiązku informacyjnego, w tym sposób formułowania klauzuli, będzie zależeć od kilku czynników, w tym tego, kim jest podmiot danych, w jakiego rodzaju relacji występuje względem administratora, w jaki sposób, z wykorzystaniem jakich środków zbierane są dane od osoby, której dotyczą. Inaczej należy realizować obowiązek informacyjny np. względem dziecka, a inaczej względem dorosłego pacjenta lub też wobec klienta będącego profesjonalistą i występującego w relacji z administratorem właśnie w takim, zawodowym charakterze. Inne będą także możliwości realizacji obowiązku informacyjnego w ramach tradycyjnego, papierowego formularza, w przypadku formularza online, polityki prywatności lub regulaminu, a inne jeżeli obowiązek będzie realizowany w aplikacji mobilnej lub ustnie, np. w czasie rozmowy telefonicznej.

Niezależnie od tego, w jaki sposób administrator decyduje się przekazać podmiotowi danych informacje wymagane zgodnie z art. 13 RODO, powinien pamiętać, że realizacja obowiązku informacyjnego ma służyć osobie, której dane dotyczą, oraz zapewnieniu rzetelności i przejrzystości przetwarzania. Ma więc sprzyjać:

  • uzyskaniu przez podmiot danych informacji niezbędnych do zrozumienia kontekstu i konsekwencji przetwarzania jego danych osobowych,

  • podjęciu stosownej decyzji co do przekazania danych administratorowi,
  • sprawowaniu faktycznej kontroli nad przetwarzanymi na temat podmiotu danymi,
  • wspieraniu korzystania przez podmiot danych z przysługujących mu praw.

Przepisy rozporządzenia nie wymagają od administratora stosowania prawniczego lub informatycznego języka. Istotne, aby klauzula informacyjna stanowiła jasny komunikat o przetwarzaniu danych dla osoby, której te dane dotyczą.

Prawodawca unijny przewiduje jedno wyłączenie obowiązku informacyjnego określonego w art. 13 RODO. Obowiązuje ono tylko wówczas, gdy osoba, której dane dotyczą, dysponuje informacjami, które miałby przekazać administrator zgodnie z wyżej powołanym przepisem. Ponadto wyłączenie to obowiązuje jedynie w takim zakresie, w jakim podmiot danych już posiada określone informacje. Możliwa jest więc całościowa lub częściowa rezygnacja z obowiązku informacyjnego, w zależności od konkretnych okoliczności. W każdym przypadku kluczowa dla możliwości skorzystania z wyłączenia z art. 13 ust. 4 RODO będzie dokonywana przez administratora ocena poziomu świadomości podmiotu danych w określonym kontekście przetwarzania.

Ważne! Należy zwrócić szczególną uwagę na możliwość realizacji obowiązku informacyjnego częściowo, tj. w zakresie, w jakim podmiot danych nie dysponuje informacjami, do których przekazania zobowiązany jest administrator. Jeżeli więc z okoliczności zbierania danych bezsprzecznie wynika, że osoba, której dane dotyczą, wie, kim jest administrator i jak się z nim skontaktować, zna cel przetwarzania (np. sama go determinuje) oraz podstawę (np. korzysta z uprawnienia wynikającego z przepisu, składając ustalone w odpowiednich przepisach prawa dokumenty i dostarczając dane na urzędowych formularzach zawierających precyzyjne wskazanie podstaw każdego z elementów danego wniosku), ale nie dysponuje pozostałymi informacjami, np. nie wie, czy administrator powołał inspektora ochrony danych osobowych i jak się z nim skontaktować, nie wie, jakie przysługują jej prawa w związku z konkretnym przetwarzaniem ani też czy dane mogą być w ramach tego przetwarzania przekazywane do państwa trzeciego itd., to administrator ma obowiązek przedstawić jej te informacje.

W art. 14 RODO uregulowany jest drugi z obowiązków informacyjnych, który powstaje, jeżeli administrator pozyskuje dane z innego źródła niż od samego podmiotu tych danych. W takim przypadku poza informacjami opisanymi powyżej musi wskazać, jakie dane (jakie kategorie danych) i skąd pozyskał. Pełen katalog informacji, których przekazanie może być konieczne, obejmuje więc:

  • tożsamość i dane kontaktowe administratora oraz – gdy ma to zastosowanie – tożsamość i dane kontaktowe przedstawiciela administratora;
  • dane kontaktowe inspektora ochrony danych, jeżeli został wyznaczony;
  • cele przetwarzania, do których mają posłużyć dane osobowe;

  • podstawę prawną przetwarzania;
  • kategorie odnośnych danych osobowych;
  • informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;

  • gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46 , 47  lub 49 ust. 1  ak. 2 RODO, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych;

  • okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe – kryteria ustalania tego okresu;

  • jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f  RODO – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;

  • informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;

  • jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a  lub art. 9 ust. 2 lit. a  RODO – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;

  • informacje o prawie wniesienia skargi do organu nadzorczego;

  • źródło pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych;

  • informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1  i 4  RODO, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Przepis art. 14 ust. 3 RODO wskazuje, w jakim terminie należy zrealizować obowiązek informacyjny. Administrator ma obowiązek przekazać wszystkie informacje w rozsądnym terminie po pozyskaniu danych osobowych, mając na uwadze konkretne okoliczności przetwarzania danych osobowych. Przekazanie to musi nastąpić najpóźniej w ciągu miesiąca od pozyskania danych. Jeżeli natomiast dane mają być stosowane do komunikacji z podmiotem danych, obowiązek informacyjny należy zrealizować najpóźniej przy pierwszej takiej komunikacji. Jeżeli z kolei administrator planuje ujawnić dane innemu odbiorcy, obowiązek ten należy zrealizować najpóźniej przy pierwszym ujawnieniu danych temu odbiorcy.

Obowiązek informacyjny określony w art. 14 RODO należy więc realizować w terminie wskazanym na grafie poniżej:

 

 

Jeżeli z kolei administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym te dane zostały pozyskane, przed takim dalszym przetwarzaniem informuje osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji wskazanych w lit. h–n powyżej.

Artykuł 14 ust. 5 RODO przewiduje wyjątki od obowiązku przekazania podmiotowi danych informacji wskazanych powyżej. Z realizacji obowiązku informacyjnego można zrezygnować, gdy:

  • osoba, której dane dotyczą, dysponuje już informacjami wymaganymi zgodnie z art. 14  RODO;
  • udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku; w szczególności w przypadku przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, z zastrzeżeniem warunków i zabezpieczeń, o których mowa w art. 89 ust. 1  RODO, lub o ile obowiązek informacyjny może uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania. W takich przypadkach administrator podejmuje odpowiednie środki, aby chronić prawa i wolności oraz prawnie uzasadnione interesy osoby, której dane dotyczą, w tym udostępnia informacje publicznie;

  • pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą;

  • dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy.

W przypadku analizy możliwości skorzystania z jakichkolwiek zwolnień z obowiązków informacyjnych należy także brać pod uwagę przepis art. 11 RODO, zgodnie z którym jeżeli cele, w których administrator przetwarza dane osobowe, nie wymagają lub już nie wymagają zidentyfikowania przez niego osoby, której dane dotyczą, administrator nie ma obowiązku zachowania, uzyskania ani przetwarzenia dodatkowych informacji w celu zidentyfikowania osoby, której dane dotyczą, wyłącznie po to, aby zastosować się do wymogów RODO.

Korzystanie z praw gwarantowanych przez RODO

Korzystanie z praw gwarantowanych przez RODO

Urząd Ochrony Danych Osobowych opracował 10 wskazówek, jak korzystać z praw gwarantowanych przez RODO.

Masz prawo wiedzieć, co będzie się działo z Twoimi danymi

Powinieneś wiedzieć, kto, na jakiej podstawie i po co przetwarza Twoje dane osobowe. Firma bądź instytucja, która nimi dysponuje, powinna Cię o tym poinformować. Ma też obowiązek wskazać, jakie prawa daje Ci RODO. A masz prawo m.in. do: dostępu do swoich danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia, wniesienia sprzeciwu czy do tego, by być poinformowanym o zautomatyzowanym podejmowaniu decyzji, w tym profilowaniu. Realizując obowiązek informacyjny, administrator musi też wskazać, jak długo będzie przechowywał Twoje dane, oraz podać dane kontaktowe inspektora ochrony danych (IOD), jeśli go wyznaczył.

Masz prawo w każdej chwili wycofać zgodę

Jeśli podstawą przetwarzania Twoich danych jest wyrażona przez Ciebie – świadomie i dobrowolnie – zgoda,masz prawo w dowolnym momencie ją wycofać i nie może to rodzić dla Ciebie żadnych negatywnych konsekwencji (np. podwyższenia opłaty za usługi). Pamiętaj, że cofnięcie zgody powinno być równie łatwe jak jej udzielenie.

Powinieneś być informowany w sposób dla Ciebie zrozumiały

Wszelkie przekazywane Ci informacje związane z przetwarzaniem Twoich danych powinny być sformułowane jasnym i prostym, zrozumiałym dla Ciebie językiem. Dotyczy to również komunikatów informacyjnych związanych z korzystaniem z usług internetowych czy aplikacji mobilnych. Jeśli ich nie rozumiesz lub nie są dla Ciebie wystarczająco zrozumiałe, zwracaj się do administratora o przekazanie dodatkowych wyjaśnień.

Nie zawsze masz z prawo do bycia zapomnianym

Wprawdzie RODO przyznało Ci prawo do bycia zapomnianym (usunięcia danych), ale pamiętaj, że nie jest ono bezwzględne. Możesz żądać jego realizacji np. wówczas, gdy: dane stały się zbędne do realizacji zakładanych celów, dane były przetwarzane niezgodnie z prawem albo wycofałeś swoją zgodę i nie ma innej przesłanki legalizującej ich wykorzystywanie. Pamiętaj jednak, że nie w każdej sytuacji masz prawo do bycia zapomnianym. Tak jest choćby wtedy, gdy dany podmiot (np. szkoła, gmina czy przychodnia) musi wykorzystywać Twoje dane, by zrealizować nałożony na niego obowiązek prawny.

Masz prawo do informacji o naruszeniu Twoich danych

Wyciek danych, ich zagubienie czy udostępnienie osobom niepowołanym – to się zdarza. I jeżeli rodzi to dla Ciebie poważne zagrożenie, to nie dziw się, że administrator Cię o tym informuje – taki ma obowiązek. Zastosuj się więc do jego wskazówek, dzięki którym możesz zminimalizować zagrożenie. Czasami np. zmiana hasła w systemie internetowym czy zastrzeżenie dokumentów pozwoli Ci zabezpieczyć swoje dane i uniknąć np. kradzieży tożsamości i związanych z tym konsekwencji, jak np. zaciągnięcie w Twoim imieniu pożyczki. W razie wątpliwości kontaktuj się z administratorem lub z wyznaczonym przez niego inspektorem ochrony danych osobowych, który ma Ci w takiej sytuacji pomóc.

Jeśli wniesiesz sprzeciw – marketing nie może być prowadzony

Jeżeli Twoje dane są wykorzystywane w celach marketingowych, a więc do przedstawiania Ci oferty towarów czy usług, w dowolnym momencie możesz się temu sprzeciwić. Jeżeli to zrobisz, Twoich danych nie wolno już wykorzystywać do takich celów.

Chroń dzieci przed nieuczciwymi praktykami

Jeśli jesteś rodzicem lub opiekunem prawnym osoby poniżej 16. roku życia, pamiętaj, że gdy korzysta ona z tzw. usług społeczeństwa informacyjnego (świadczonych drogą elektroniczną), a więc portali społecznościowych, aplikacji czy gier, to Ty decydujesz o udzieleniu zgody na przetwarzanie jej danych osobowych. To ważne, bo dzieci często są mniej świadome ryzyka i konsekwencji przetwarzania ich danych osobowych. RODO wskazuje, że należy im zapewnić szczególną ochronę, gdy ich dane są wykorzystywane do celów marketingowych czy tworzenia profili osobowych. Zwracaj uwagę, czy komunikaty kierowane do nich przez administratora są sformułowane językiem, który są one w stanie zrozumieć.

Realizacji swoich praw żądaj najpierw od administratora

Jeżeli uważasz, że ktoś nieprawidłowo postępuje z Twoimi danymi, to z nim (lub z wyznaczonym przez niego IOD) skontaktuj się w pierwszej kolejności i zażądaj wyjaśnień lub spełnienia Twojego żądania, np. sprostowania danych, odnotowania sprzeciwu, usunięcia danych.

Możesz dochodzić odszkodowania przed sądem

Pamiętaj! Jeśli podmiot, który dysponuje Twoimi danymi, wykorzystuje je niezgodnie z RODO, a Ty poniosłeś przez to szkodę majątkową lub niemajątkową, możesz dochodzić od niego odszkodowania, wszczynając postępowanie przed sądem. Masz do tego prawo niezależnie od tego, czy zamierzasz złożyć skargę do Prezesa UODO.

Masz prawo złożyć skargę do Prezesa UODO

Niezależnie od wskazanych wyżej praw, możesz też złożyć na administratora skargę do Prezesa Urzędu Ochrony Danych Osobowych. Pamiętaj, aby było to skuteczne, wskaż: Twoje imię i nazwisko, adres zamieszkania. Podaj też pełną nazwę/imię i nazwisko oraz adres siedziby/zamieszkania, tego, kogo skarżysz oraz dokładnie opisz naruszenie. Określ, jakich działań oczekujesz od Prezesa UODO. Nie zapomnij też o podpisie! Szczegółowe informacje dotyczące składania skarg są dostępne na stronie internetowej urzędu www.uodo.gov.pl w zakładce „Skargi”.