Portal prowadzi Kancelaria
Babiaczyk Skrocki i Wspólnicy

Nowe obowiązki informacyjne administratorów danych osobowych

Dane osobowe 22.08.2017

Jednym z podstawowych obowiązków administratorów danych jest informowanie osób, których dane dotyczą o fakcie ich przetwarzania. W porównaniu do obecnie obowiązujących  w Polsce przepisów, ogólne rozporządzenie o ochronie danych osobowych z 27 kwietnia 2016 r. (dalej zwane również: RODO),  znacznie poszerzyło zakres informacji, jakie należy przekazać osobie, której dane osobowe są zbierane.

Podstawowy katalog danych objętych obowiązkiem informacyjnym to:

  1. tożsamość i dane kontaktowe administratora danych;
  2. cele oraz podstawa prawna przetwarzania;
  3. okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
  4. informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
  5. informacje o prawie wniesienia skargi do organu nadzorczego.

Ponadto:

  1. Jeżeli zebranie danych osobowych ma nastąpić na podstawie zgody osoby, której dane dotyczą, administrator powinien przekazać informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych.
  2. Jeżeli administrator danych wyznaczył w Polsce swojego przedstawiciela, wówczas powinien podać informacje identyfikujące tego przedstawiciela.
  3. Jeżeli został powołany inspektor ochrony danych, należy podać jego dane kontaktowe.
  4. Jeżeli przetwarzanie odbywa się na podstawie zgody, należy poinformować podmiot danych o prawie do cofnięcia zgody na przetwarzanie w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem.
  5. Jeżeli przetwarzanie odbywa się na innej podstawie prawnej niż zgoda podmiotu danych, należy wskazać prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią.
  6. Jeżeli dane osobowe są przekazywane innym podmiotom, należy podać informacje o odbiorcach danych osobowych lub o kategoriach odbiorców.
  7. Jeżeli administrator danych planuje ich przekazywanie do państwa trzeciego lub organizacji międzynarodowej, powinien poinformować o tym podmiot danych.
  8. Jeżeli administrator danych stosuje mechanizmy podejmowania zautomatyzowanych decyzji, w tym w oparciu o profilowanie, powinien podać istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Jeżeli z kolei dane osobowe zostały zebrane przez administratora w inny sposób, niż od osoby, której dotyczą, obowiązek informacyjny obejmuje ponadto, wskazanie kategorii danych osobowych, wskazanie prawnie uzasadnionego interesu administratora, jeżeli na tej podstawie odbywa się przetwarzanie danych; źródła pochodzenia danych osobowych, a gdy ma to zastosowanie – informację, czy pochodzą ze źródeł publicznie dostępnych.

Dalsze przetwarzanie danych w inny celu

Dodatkowo, jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż ten, w którym dane osobowe zostały pierwotnie zebrane, powinien zgodnie z przepisami RODO poinformować o tym celu osobę, której dane dotyczą przed dalszym przetwarzaniem.

Zwolnienie z obowiązku informacyjnego

Na zasadzie wyjątku administrator danych będzie zwolniony z wyżej wskazanych obowiązków informacyjnych, w sytuacji gdy osoba, której dane dotyczą, dysponuje już tymi informacjami. Należy jednak zachować w tym wypadku szczególną ostrożność, gdyż wykazanie, że podmiot danych dysponował taką wiedzą może okazać się bardzo trudne. Ponadto, w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą, administrator nie będzie musiał spełnić wobec niej obowiązków informacyjnych, gdy jest to niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku. Taka sytuacja może mieć miejsce w szczególności w przypadku przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych. Wówczas administrator powinien podjąć odpowiednie środki, by chronić prawa i wolności oraz prawnie uzasadnione interesy osoby, której dane dotyczą.

Zasada przejrzystości

Zgodnie z zasadą przejrzystości obowiązującą na gruncie RODO, wszelkie informacje i komunikaty związane z przetwarzaniem danych osobowych powinny być łatwo dostępne i zrozumiałe, a także sformułowane jasnym i prostym językiem, co ma zapewnić rzetelność i przejrzystość przetwarzania w stosunku do podmiotów danych.

Konsekwencje naruszenia obowiązków informacyjnych

Konsekwencje naruszenia obowiązków informacyjnych mogą być bardzo dotkliwe, gdyż RODO przewiduje możliwość wymierzenia przez organ nadzorczy kary finansowej w wysokości do 20 mln euro, a w przypadku przedsiębiorstw – w wysokości nawet do 2% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

Podsumowując, przepisy unijnego rozporządzenia o ochronie danych osobowych zwiększają zakres informacji, jakie administratorzy danych będą zobowiązani przekazywać podmiotom danych. Zmiany spowodują konieczność zmodyfikowania stosowanych do tej porty klauzul informacyjnych zamieszczanych najczęściej w treści zgody. Administratorzy będą musieli dostosować się do nowych wymagań do 25 maja 2018 roku, chociaż zaleca się rozpoczęcie przygotowania już teraz.