Obowiązek informacyjny z RODO – jak go spełnić?

Wraz z wejściem w życie RODO, a bardziej wraz z pojawieniem się pierwszych wysokich RODO kar pojawiał się dostrzegalny wzrost zainteresowania wokół spełnienia obowiązku informacyjnego. 

Dobrym przykładem wysokiej kary za niewypełnienie tego obowiązku jest kara nałożona na spółkę w wysokości 943 tysięcy złotych właśnie za niespełnienie obowiązku informacyjnego dotyczącego przetwarzania danych. 

Zgodnie z treścią komentarza Prezesa Urzędu Ochrony Danych Osobowych brak spełnienia tego obowiązku spowodował, że osoby, których dane były przetwarzane, nie mogły zrealizować praw wynikających z przepisów RODO, choćby żądania usunięcia danych czy też sprostowania danych osobowych. Jak widać niespełnienie obowiązku informacyjnego może nas sporo kosztować.

Dlaczego jest tak ważny?

Istnienie obowiązku informacyjnego jest uzasadnione między innymi przeciwdziałaniem sytuacjom, w których nasze dane osobowe np. imię, mail, adres, są przetwarzane nie tylko bez podstawy prawnej, ale także bez naszej świadomości. 

Podkreślić należy, że brak świadomości przetwarzania danych jest bardzo istotny. Brak wiedzy, że nasze dane są przetwarzane powoduje, że nie możemy realizować swoich podstawowych praw, bo nie mamy świadomości, że nasze dane są gdzieś i przez kogoś zbierane, gromadzone i przechowywane.

Można powiedzieć, że źródłem obowiązku informacyjnego jest przekonanie, że każdy z nas ma prawo wiedzieć co się dzieje z danymi osobowymi, które komuś przekazujemy. Żeby jednak to nasze prawo nie pozostało jedynie frazesem, prawną wydmuszką, która niczemu nie służy to mamy takie narzędzie jak obowiązek informacyjny.

Dzięki wprowadzeniu obowiązku informacyjnego osoba, które dane przetwarzamy ma faktyczną kontrolę na tym jakie informacje na jej temat posiadają konkretne osoby, instytucje, organizacje, firmy etc. 

Co to jest? 

Poprzez spełnienie obowiązku informacyjnego rozumiemy po prostu poinformowanie danej osoby o konkretnych okolicznościach przetwarzania przez nas jej danych osobowych. Dokładną treść obowiązku przeczytasz poniżej. 

Treść obowiązku informacyjnego jest zależny od tego czy dane osobowe są pozyskiwane od osoby, której dane dotyczą (art. 13 RODO) oraz od tego czy pochodzą one z innych źródeł (art. 14 RODO).  

Przykład:

1. Dane są pozyskiwane od osoby, której dotyczą – zapis do newslettera – tutaj zapisujący się sam podaje swoje dane i osoba posiadająca bazę danych ma dane bezpośrednio od tej osoby.  
2. Dane nie są pozyskiwane od osoby, której dotyczą – zakup baz danych – tutaj kupujący bazę danych ma wszystkie dane nie od osób, których dotyczą, ale od sprzedającego bazę danych. 

Ustalenie od kogo mamy dane jest istotne z punktu widzenia RODO. Ta wiedza będzie determinować kształt obowiązku informacyjnego. 

Dlatego w przypadku kiedy zmienia się administrator danych przy przejęciu przedsiębiorstwa czy cesji wierzytelności nowy administrator co do zasady ma obowiązek ponowić obowiązek informacyjny. 

RODO mit – mimo, że z RODO wynika w sposób bezpośredni okoliczność, od której uzależniony jest kształt obowiązku informacyjnego to często spotykam się z opinią, że inna będzie treść obowiązku informacyjnego w przypadku wyboru formy elektronicznej, a inna formy tradycyjnej. Nie ma to jednak żadnego znaczenia. Niezależnie od sposobu kontaktu administrator ma obowiązek poinformować podmiot o przetwarzaniu danych. 

Kiedy należy spełnić obowiązek informacyjny? 

Każdy administrator danych osobowych ma obowiązek poinformować osobę o przetwarzaniu jej danych w następujących przypadkach: 

1. zbierania danych w sposób bezpośredni od tej osoby 
2. zbieranie danych z innych źródeł aniżeli od tej osoby 
3. zmieniając cel przetwarzania danych – jeżeli administrator zmienia cel przetwarzania danych powinien poinformować o nowym celu przetwarzania
4. wykonując zadanie otrzymania dostępu do danych – jeżeli administrator otrzyma żądanie dostępu do danych powinien także pamiętać o wykonaniu obowiązku informacyjnego. 

Z RODO (art. 13) wynika, że administrator danych ma obowiązek poinformować o przetwarzaniu danych podczas ich pozyskiwania. Jest to dość niefortunne określenie momentu spełnienia obowiązku. Wielu przedsiębiorców otrzymuje zapytanie o ofertę drogą mailową i nie wiedzą kiedy i jak w takiej sytuacji poinformować podmiot o przetwarzaniu danych. Nie możemy tego przecież zrobić zanim dostaniemy wiadomość mejlem. Natomiast po otrzymaniu wiadomości jesteśmy już w faktycznym posiadaniu adresu email i innych danych. 

W takich sytuacjach można to zrobić podczas udzielania odpowiedzi na maila. Krótko w stopce wiadomości poinformować o najważniejszych kwestach i wskazać miejsce, gdzie osoba może poczytać o przetwarzaniu przez nas danych np. link do polityki prywatności. 

Jak spełnić obowiązek informacyjny? 

Spełniając obowiązek informacyjny należy zmienić tok myślenia i zacząć od końca. Ważne jest abyśmy zastanowili się jak udowodnimy spełnienie obowiązku informacyjnego w przypadku ewentualnej kontroli. 

Pamiętać tutaj należy, że to po naszej stronie jako przedsiębiorcy będzie wykazanie, że spełniliśmy obowiązek informacyjny. 

Właśnie z tego powodu forma ustna, czy inna która zniknie bez możliwości wykazania nie będzie tutaj najlepszym wyjściem. Uważam, że najlepiej zrobić to w formie elektronicznej lub na piśmie.  

RODO mit – spełniając obowiązek informacyjny należy wysłać list polecony. Tylko poprzez otrzymanie potwierdzenia odbioru udowodnimy jego spełnienie. 

Obowiązek informacyjny wobec osób kontaktujących się z nami drogą mailową możemy spełnić poprzez umieszczenie jego skróconej wersji w stopce maila. Obowiązek informacyjny wobec osób czytających nasz blog spełniamy w Polityce Prywatności i Plików Cookies umieszczonej na naszej stronie internetowej, w gabinecie stomatologicznym otrzymujemy obowiązek informacyjny napisany na kartce papieru, a jego podpisanie oznacza, że zapoznaliśmy się z nim, a tym samym administrator danych spełnił swoją powinność. 

Treść obowiązku informacyjnego

Osoba, której dane przetwarzamy powinna być poinformowana co najmniej o:

1. Danych identyfikujących administratora
2. Dane dotyczące przedstawiciela administratora, jeśli taki jest 
3. Dane kontaktowe do inspektora danych, jeśli został powołany
4. Celu w jakim przetwarzamy są dane 
5. Podstawie prawnej przetwarzania 
6. Informacje dotyczące odbiorcach danych jeśli istnieją 
7. Przekazaniu danych do państw trzecich, jeśli to dotyczy 
8. Okresie, przez który dane osobowe będą przechowywane 
9. Prawach przysługujących osobie, której dane przetwarzamy tj. prawie do:

• dostępu do danych 
• sprostowania danych 
• usunięcia danych 
• ograniczenia ich przetwarzania 
• wniesienia sprzeciwu
• przenoszenia danych 
• cofnięcia zgody 

10. O tym czy podanie danych ma charakter dobrowolny czy może wynikający z ustawy. 

Zawsze jednak ostateczna treść obowiązku informacyjnego jest uzależniona od tego czy administrator ma swojego przedstawiciela, czy powołał inspektora ochrony danych, dane będą przekazywane innym odbiorcom, dane będą przekazywane do państwa trzeciego lub organizacji międzynarodowej, czy dochodzi do zautomatyzowanego podejmowania decyzji, w tym profilowania, czy administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym dane osobowe zostały zebrane. 

W przypadku pozyskiwania danych, w sposób wtórny, czyli nie od podmiotu, których dotyczą powinniśmy nieco rozszerzyć katalog przekazanych informacji o:

1. Typy i rodzaje danych np. dane dotyczące pracownika, dane kontaktowe
2. Źródła ich pochodzenia – mogą nimi być inni administratorzy lub źródła publicznie dostępne.  

Warto tutaj podkreślić, że zgodnie z RODO nowy administrator powinien zrealizować obowiązek informacyjny przed upływem miesiąca od chwili pozyskania danych. Oznacza to, że administrator gromadzący w sposób pośredni dane powinien przekazać osobie, której dotyczą wszystkie niezbędne informacje po uzyskaniu danych w rozsądnym terminie, jednak nie później niż w ciągu miesiąca. 

Test Kowalskiego i obowiązek informacyjny

Podczas przygotowywanie obowiązku informacyjnego należy pamiętać, że ma być on napisany w sposób prosty, przejrzysty i bez skomplikowanego słownictwa. Każda osoba, która na co dzień nie ma styczności z RODO czy ze specyfiką branży ma go zrozumieć, ma być dla niej czytelny.

Warto zatem unikać złożonych zdań i stosów kart. Wtedy taki obowiązek nie spełnia swojej roli. Nikt go nawet nie spróbuje przeczytać. 

Jak zatem osiągnąć taki cel? Poprzez wykonanie testu Kowalskiego. Najlepiej przekazać swój projekt osobie mało zorientowanej i  sprawdzić czy rozumie przekaz. 

Podsumowując: 

1. Administrator danych ma obowiązek poinformować osobę o tym, że przetwarza jej dane. 
2. Zakres obowiązku informacyjnego zależy od tego czy dane są zbierane w sposób wtórny czy pierwotny. 
3. Obowiązek spełnia się przy pierwszym kontakcie z podmiotem danych. 
4. Konstruując treść obowiązku informacyjnego pamiętaj o tym, aby Twój przekaz był przejrzysty i jasny dla odbiorcy. 
5. Spełniając obowiązek informacyjny zastanów się w jaki sposób wykażesz jego realizacje podczas ewentualnej kontroli.

Masz pytania?

Napisz do mnie!