Jak prawidłowo spełnić obowiązek informacyjny w RODO?

Obowiązek informacyjny dotyczący przetwarzania danych osobowych to nic innego jak poinformowanie osoby o fakcie przetwarzania jej danych osobowych. Prawo do informacji o tym, co dzieje się z naszymi danymi osobowymi jest jednym z podstawowych praw zagwarantowanych przez unijne rozporządzenie dotyczące ochrony danych osobowych (RODO).

Administrator musi spełnić obowiązek informacyjny względem osoby, której dane przetwarza w następujących sytuacjach: 

• gdy zbiera dane bezpośrednio od osoby, której dane dotyczą, zgodnie z art. 13 RODO, 
• gdy pozyskał dane z innych źródeł niż ta osoba, zgodnie z art. 14 RODO, 
• gdy zmienia lub dodaje nowy cel przetwarzania, zgodnie z art. 13 ust. 3 oraz art. 14 ust. 4 RODO, 
• gdy realizuje żądanie dostępu do danych, zgodnie z art. 15 RODO. 

Klauzula informacyjna – jakie informacje należy przekazać? 

Pozyskując dane od osoby, której one dotyczą administrator powinien przekazać następujący zbiór informacji: 

• tożsamość i dane kontaktowe administratora, w przypadku wyznaczenia Inspektora Danych Osobowych – również dane kontaktowe Inspektora,
• cele przetwarzania danych oraz podstawę prawną dla każdego z tych celów, 
• w przypadku przetwarzania danych opierających się na prawnie uzasadnionym interesie administratora, należy wskazać ten prawnie uzasadniony interes, 
• informacje o odbiorcach danych osobowych lub kategorie odbiorców, 
• informacje o planowanym eksporcie danych, wraz z informacjami zawartymi w art. 13 ust. 1 lit. f RODO, 
• informacje o prawach przysługujących osobie, której dane są przetwarzane tj.: prawie  dostępu do danych, sprostowania, usunięcia, ograniczenia przetwarzania, sprzeciwu, przenoszenia danych oraz skargi do organu nadzorczego, 
• informacje określające, czy podanie danych jest wymogiem ustawowym związanym z zawarciem umowy, czy jest obowiązkowe i jakie są konsekwencje niepodania danych, 
• w przypadku z zautomatyzowanego podejmowania decyzji lub profilowania: informacje o przypadkach podejmowania decyzji, informacje o zasadach ich podejmowania oraz o konsekwencjach dla osoby, której dane dotyczą. 

W przypadku pozyskania danych zgodnie z art. 14 RODO ( a więc z tzw. innych źródeł), administrator zobowiązany jest przekazać wszystkie powyższe informacje, jak również dodatkowo wskazać kategorie danych, które pozyskał, a także źródło danych, w tym źródła publicznie dostępne, jeśli z nich korzysta.

Obowiązek informacyjny – kiedy informować o przetwarzaniu  

Obowiązek informacyjny powinien zostać spełniony względem wszystkich osób, których dane przetwarzamy. W przypadku pozyskiwania informacji bezpośrednio od podmiotu danych, spełnienie obowiązku informacyjnego powinno nastąpić już podczas gromadzenia danych.   

W przypadku, gdy pozyskujemy dane z innych źródeł, osoba której dane dotyczą nie bierze udziału w procesie gromadzenia danych, często nie ma nawet o tym wiedzy. RODO nakazuje spełnić obowiązek informacyjny w rozsądnym, jak najszybszym terminie po pozyskaniu danych osobowych, jednak nie później niż w ciągu miesiąca.  

Szczególnym przypadkiem jest zbieranie danych w celu komunikacji – tutaj przekazanie informacji powinno nastąpić najpóźniej przy pierwszej takim kontakcie. Podobnie w przypadku zamiaru ujawnienia danych innemu odbiorcy, w takim przypadku obowiązek informacyjny powinien zostać spełniony najpóźniej przy ich pierwszym ujawnieniu. 

Obowiązek informacyjny, kiedy nie musi być spełniony? 

Realizacja obowiązku informacyjnego nie zawsze jest wymagana, RODO wskazuje bowiem kilka wyjątków.  

W przypadku zbierania danych od osób, których dane dotyczą zwolnienie z wypełnienia obowiązku informacyjnego możliwe jest tylko wtedy, gdy osoba ta posiada pełen katalog informacji o administratorze, o którym mowa w artykule 13 RODO. 

W przypadku, gdy dane pozyskane zostały z innego źródła, niż od osoby, której one dotyczą administrator nie musi przekazywać danych wymaganych przez artykuł 14 RODO, gdy: 

• udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku; w szczególności w przypadku przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, 
• pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą, 

• dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy. 

Nie wyklucza to jednak możliwości udzielenia takich informacji, na przykład poprzez umieszczenie treści obowiązku informacyjnego w widocznym miejscu, na przykład na stronie internetowej administratora lub w siedzibie administratora. 

Obowiązek informacyjny  w praktyce – jak informować? 

Obowiązek informacyjny dotyczący przetwarzania danych osobowych powinien być spełniany pisemnie lub kanałami komunikacji elektronicznej, co nie wyklucza również formy ustnej (telefonicznej). Forma ustna wypełnienia obowiązku informacyjnego możliwa jest na żądanie osoby, której dane zbieramy, przy jednoczesnym potwierdzeniu jej tożsamości w sposób niebudzący wątpliwości. Uzasadnionymi przypadkami formy ustnej będzie np. gromadzenie danych od osób niewidomych. Rozporządzenie, obok zbioru informacji wymaganych do właściwego spełnienia obowiązku informacyjnego, wskazuje także ogólne wytyczne dotyczące formy przekazu. Nakłada na administratora obowiązek posługiwania się prostym językiem. Komunikat ma zostać przekazany w sposób zwięzły i przejrzysty. Co to oznacza? 

W treści obowiązku informacyjnego nie należy  używać specjalistycznych terminów czy określeń. Treść klauzuli informacyjnej ma być  zrozumiała dla każdej osoby, bez względu na jej wykształcenie i wiek. Przekazywane informacje powinny być opisane w sposób konkretny, bez posługiwania się  zwrotami niedookreślonymi, jak np. niektóre, może. 

Przekazanie informacji musi nastąpić w formie łatwo dostępnej. Podmiot powinien mieć możliwość łatwego zapoznania się z klauzulą i odnalezienia jej treści w miejscu przewidywalnym, np. w polityce prywatności na stronie internetowej.   

 Zasada rozliczalności a obowiązek informacyjny   

Pamiętajmy, że to na administratorze ciąży obowiązek wykazania, że obowiązek informacyjny przetwarzania danych został spełniony w prawidłowej formie i za pomocą odpowiednio dobranego rodzaju komunikacji. Powyższe związane jest z zasadą rozliczalności. Wskazuje ona, że administrator danych osobowych powinien przetwarzać dane zgodnie z przepisami, ale także być w stanie rozliczyć się z wykonywania wszelkich czynności wymaganych przez RODO. Jest to niezwykle ważne w przypadku kontroli organu nadzorczego.