Portal prowadzi Kancelaria
Babiaczyk Skrocki i Wspólnicy

Nowe obowiązki informacyjne według RODO

Dane osobowe 14.12.2017

Informowanie osób, których dane dotyczą, o ich wykorzystywaniu jest niezbędne dla zapewnienia rzetelności i przejrzystości przetwarzania danych osobowych. Podmiot danych musi mieć świadomość m.in. tego, kto odpowiada za prawidłowość przetwarzania danych, w jakim celu zostały one zebrane, komu są lub mogą być przekazywane oraz jak długo będą przechowywane. Stanowi to dla osoby, której dane dotyczą narzędzie kontroli oraz dochodzenia swoich praw. Ogólne rozporządzenie o ochronie danych osobowych (dalej RODO), które zastąpi obecnie obowiązujące przepisy o ochronie danych osobowych, kładzie jeszcze większy nacisk na realizację tego obowiązku.

Powstanie obowiązku informacyjnego

Przesłanką powstania obowiązku informacyjnego jest (i) zbieranie albo (ii) pozyskanie danych osobowych.

W przypadku zebrania danych osobowych od osoby, której dane dotyczą wymagane informacje powinny być przekazane przed ich zbieraniem lub najpóźniej w momencie ich zbierania.

W sytuacji pozyskania danych osobowych w sposób inny niż od osoby, której dane dotyczą administrator jest zobowiązany przekazać podmiotowi danych wyżej wymienione informacje w rozsądnym terminie – uwzględniają konkretne okoliczności, najpóźniej w ciągu miesiąca. Jeśli jednak dane mają być stosowane do komunikacji z osobą, której dane dotyczą administrator powinien wywiązać się z tego obowiązku najpóźniej przy pierwszej komunikacji, zaś jeśli planuje ujawnić dane innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu.

Przejrzyste informowanie

Rozporządzenie wymaga od administratorów danych osobowych, by wszelkie przekazywane informacje w sprawie przetwarzania adresowane do osób, których dane dotyczą, formułowane były w zwięzłej i łatwo dostępnej formie, jasnym i prostym językiem. W szczególności komunikaty kierowane do dzieci powinny być dla nich zrozumiałe. Informacji udziela się na piśmie lub w innych sposób, również w formie elektronicznej. Można je przekazać również ustnie, jeśli życzy sobie tego osoba, której dane dotyczą. Co istotne, informacje na temat przetwarzania należy przekazać bezpłatnie. Rozporządzenie zastrzega jednak, że jeżeli zadania podmiotu danych są ewidentnie nieuzasadnione lub nadmierne, w szczególności ze względu na swój ustawiczny charakter, administrator może pobrać stosowną opłatę albo odmówić podjęcia działań. Obowiązek wykazania, że żądanie ma ewidentnie nieuzasadniony lub nadmierny charakter, spoczywa jednak na administratorze. Należy mieć również na uwadze, że warunkiem prawidłowego spełnienia obowiązku informacyjnego jest przekazanie informacji osobie, której dane dotyczą, dlatego należy każdorazowo potwierdzić tożsamość podmiotu danych. Ponadto, pochopne udzielenie informacji osobie nieuprawnionej – podszywającej się pod podmiot danych, może narazić na szkodę osobę, której dane dotyczą poprzez kradzież jej tożsamości w celu uzyskania dostępu do poczty elektronicznej czy bankowości internetowej.

Zakres informacji

Rozporządzenie zwiększa zakres informacji, które należy przekazać w stosunku do obecnie obowiązujących przepisów. Dotychczas podmiot przetwarzający dane osobowe zobowiązany był przekazać:

  • dane jakie go dotyczą, takie jak adres i siedziba administratora danych;
  • cel przetwarzania danych lub podstawę prawną przetwarzania czy
  • źródło tych danych.

Nowe przepisy nakładają na administratorów ponadto obowiązek poinformowania o:

  • okresie, przez które dane osobowe mają być przechowywane lub o kryteriach ustalenia tego okresu;
  • prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania;
  • prawie do cofnięcia zgody na przetwarzanie w dowolnym momencie;
  • prawie wniesienia skargi do organu nadzorczego;
  • ewentualnym fakcie profilowania i jego konsekwencjach;
  • danych kontaktowych inspektora ochrony danych, jeśli został on wyznaczony;
  • odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją, a także
  • o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – gdy ma to zastosowanie.

Ponadto, jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym dane osobowe zostały zebrane, przed takim dalszym przetwarzaniem powinien  poinformować o tym osobę, której dane dotyczą.

Jednym z nowych obowiązków jest także obowiązek powiadomienia o sprostowaniu lub usunięciu danych każdego odbiorcę, któremu ujawniono dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku.

Wyłączenia od obowiązku informacyjnego

Rozporządzenie przewiduje pewne wyłączenia od obowiązku informacyjnego. Po pierwsze dotyczy to sytuacji, w której (i) osoba której dane dotyczą, dysponuje już takimi informacjami. Ponadto, jeżeli udzielenie wymaganych informacji jest (ii) niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku, w szczególności w przypadku przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych. Wyłączenie dotyczy również sytuacji gdy, (iii) pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą lub (iv) dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej np. tajemnicy lekarskiej.

Podsumowując, obowiązki informacyjne administratorów danych są kluczowe dla zgodności przetwarzania z prawem, a ich naruszenie może spowodować nałożenie na administratora kary pieniężnej w wysokości nawet do 20 mln euro, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Mimo, że RODO zacznie obowiązywać w całej Unii Europejskiej dopiero od 25 maja 2018 r., warto już teraz przygotować się do nadchodzących zmian. W związku z rozszerzeniem zakresu obowiązku informacyjnego należy dokonać dogłębnej analizy obecnie stosowanych klauzul informacyjnych, tak być móc zaplanować z wyprzedzeniem jakie treści należy zmienić lub uzupełnić zgodnie z wymogami rozporządzenia.