15 marca 2019 r. polski organ nadzorczy wymierzył pierwszą karę administracyjną na niebagatelną kwotę niemal miliona złotych za nieprzestrzeganie przepisów RODO, a konkretnie brak realizacji obowiązku informacyjnego – o czym mogli Państwo przeczytać tutaj.

W dzisiejszym wpisie skupimy się na omówieniu najistotniejszych kwestii w zakresie spełniania wspomnianego obowiązku przez administratora.

Obowiązek informacyjny – wprowadzenie

Obowiązek informacyjny, jak sama nazwa wskazuje, to nic innego jak podanie osobie, której dane dotyczą, informacji wymaganych przepisami RODO. To właśnie dzięki niemu zainteresowana osoba uzyskuje podstawowe informacje na temat przetwarzania jej danych osobowych. Realizacja tego obowiązku leży po stronie podmiotu przetwarzającego dane osobowe, a odbywa się najczęściej poprzez wręczenie lub wysłanie tak zwanej klauzuli informacyjnej osobie której dane dotyczą po to, aby ta nie musiała samodzielnie poszukiwać informacji opowiadających obowiązkowi informacyjnego pośród innych treści np. w ramach obszernych regulaminów.

Treść obowiązku informacyjnego

Treść obowiązku informacyjnego regulują dwa przepisy – art. 13 oraz art. 14 RODO – w zależności od źródła, z którego administrator pozyskał dane osobowe.

Artykuł 13 RODO znajduje zastosowanie, gdy administrator pozyskuje dane osobowe bezpośrednio od osoby, której dane dotyczą. To znaczy w sytuacji, kiedy osoba samodzielnie przekazuje administratorowi dane osobowe (np. wypełniając formularz internetowy) lub kiedy administrator samodzielnie pozyskuje dane w drodze obserwacji (np. przy zastosowaniu automatycznych rejestratorów, takich jak kamery czy urządzenia sieciowe).

Natomiast art. 14 RODO wymaga uwzględnienia gdy dane zostaną pozyskane nie bezpośrednio od osoby, której one dotyczą a od zewnętrznego administratora danych (np. udostępnienie danych osobowych przez kontrahenta, partnera biznesowego, właściciela bazy danych) lub ze źródeł publicznie dostępnych (np. pozyskanie danych z CEIDG, KRS lub GUS).

Obowiązek informacyjny wobec osób, których dane pozyskano bezpośrednio

Jeżeli dane osobowe pozyskujemy bezpośrednio od osoby, której one dotyczą, prawidłowo sformułowany obowiązek informacyjny, stosownie do art. 13 RODO, powinien zawierać:

1. tożsamość i dane kontaktowe administratora (ewentualnie jego przedstawiciela),
2. dane kontaktowe inspektora ochrony danych (jeżeli został powołany),
3. cele przetwarzania danych osobowych oraz podstawę prawną przetwarzania,
4. wyjaśnienie prawnie uzasadnionego interesu realizowanego przez administratora lub przez stronę trzecią (jeżeli podstawą przetwarzania danych jest art. 6 ust. 1 lit. f RODO),
5. listę odbiorców danych osobowych lub ich kategorie (jeżeli przetwarzane dane osobowe będą przekazywane np. do podmiotów przetwarzających dane lub innych administratorów danych),
6. informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz informację o sposobach uzyskania kopii tych zabezpieczeń lub o miejscu ich udostępnienia;
7. okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe – kryteria ustalania tego okresu,
8. informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania albo o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych,
9. informacje o prawie do cofnięcia zgody (jeżeli stanowiła ona podstawę prawną przetwarzania danych),
10. informacje o prawie wniesienia skargi do organu nadzorczego,
11. informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym albo warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych,
12. informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, z uwzględnieniem informacji o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Dane osobowe pozyskane od podmiotu trzeciego

Jeżeli podstawą realizacji obowiązku informacyjnego będzie art. 14 RODO, oprócz ww. informacji administrator jest zobowiązany podać:

1. kategorie danych, które przetwarza,
2. źródło pozyskania danych.

Realizacja obowiązku informacyjnego

Ze względu na to jaką wagę dla ochrony danych osobowych, a przez to dla polskiego organu nadzorczego mają omawiane przez nas w dniu dzisiejszym kwestie, czas w jakim winien zostać spełniony obowiązek informacyjny ma istotne znaczenie.

W przypadku, kiedy administrator zamierza pozyskiwać dane osobowe bezpośrednio od osoby fizycznej, powinien zrealizować obowiązek informacyjny uprzednio lub w trakcie pozyskiwania danych. W praktyce będzie się to odnosiło do wręczenia lub umożliwienia osobie, której dane dotyczą, zapoznania się treścią klauzuli informacyjnej. Jako przykłady rozwiązań w tym zakresie wskazujemy umieszczenie klauzuli informacyjnej w treści formularza służącego do pozyskiwania danych osobowych, spełnienie obowiązku informacyjnego na wstępie rozmowy telefonicznej lub przekazanie podstawowych informacji (tzw. skrócona klauzula informacyjna) z jednoczesnym odesłaniem do jej pełnej treści poprzez podany link.

Natomiast w sytuacji gdy dane osobowe administrator pozyskuje nie od osoby, której dane dotyczą, termin realizacji obowiązku informacyjnego jest dłuższy i wynosi maksymalnie 30 dni od momentu pozyskania danych osobowych. Termin ten może ulec skróceniu jeżeli dane są wykorzystywane do komunikacji z osobą, której te dane dotyczą – wówczas obowiązek informacyjny powinien zostać spełniony podczas pierwszego kontaktu z tą osobą oraz kiedy dane mają zostać ujawnione innemu odbiorcy – wówczas administrator powinien zrealizować obowiązek informacyjny najpóźniej przy pierwszym ujawnianiu. Jeżeli zaś chodzi o sposoby realizacji obowiązku informacyjnego w tym przypadku zalecamy przesłanie e-maila lub listu pocztą tradycyjną z klauzulą informacyjną lub odesłaniem do strony WWW, na której znajduje się pełna treść klauzuli; załączenie klauzuli informacyjnej do pierwszej wiadomości e-mailowej lub do listu przesłanego pocztą tradycyjną lub zawarcie na stałe w stopce e-maila klauzuli informacyjnej lub odesłania do jej pełnej treści.

Uwagi na marginesie obowiązku informacyjnego

Dodatkowo należy pamiętać, że wszelkie informacje, które zostały przekazane osobie zainteresowanej listem, mailem, czy za pośrednictwem formularza do pozyskiwania danych powinny być dla niej dostępne niezależnie w innym miejscu lub w ramach innego dokumentu, na wypadek, gdyby ta osoba zechciała zapoznać się ponownie z całością klauzuli informacyjnej (przykładem takich rozwiązań są zakładki „RODO” pojawiające się na stronach internetowych administratorów).

Ogólny wzór klauzuli informacyjnej w najbliższym czasie pojawi się na naszej stronie internetowej.

W razie jakichkolwiek pytań odnośnie obowiązku informacyjnego pozostajemy do Państwa dyspozycji. W celu ułatwienia korespondencji, możecie Państwo skorzystać z poniższego formularza kontaktowego: