Obowiązek informacyjny RODO — czyli jakie informacje powinien przekazać administrator na temat przetwarzania danych osobowych
Jak przekazać informacje o przetwarzaniu danych w sposób klarowny dla osoby której, dane dotyczą? Czy administrator w Twojej firmie podejmuje prawidłowe kroki dla realizacji obowiązku informacyjnego?
Czego dowiesz się z artykułu:
- Co kryje się pod pojęciem obowiązku informacyjnego?
- Jakie kluczowe informacje powinny znaleźć się w klauzuli informacyjnej?
- Kiedy powinieneś spełnić obowiązek informacyjny RODO?
- Czym jest warstwowe spełnianie obowiązku informacyjnego?
- Co grozi administratorowi za brak spełnienia obowiązku informacyjnego?
Co kryje się pod pojęciem obowiązku informacyjnego?
Obowiązek informacyjny to nałożony na administratora danych wymóg prawny wskazany w rozporządzeniu o ochronie danych osobowych. polegający Polega on na przekazaniu osobie, której dane dotyczą, określonego zestawu informacji o przetwarzaniu jej danych osobowych. Obowiązek spełniany jest w sytuacji zbierania danych osobowych.
W RODO nie znajdziemy definicji pojęcia "zbieranie danych", natomiast termin ten występuje w kontekście przykładowego katalogu operacji, które składają się na przetwarzanie danych osobowych. Także znajdziemy ten termin w art. 13 i 14 RODO dotyczących obowiązków informacyjnych. Jak zatem powinniśmy rozumieć pojęcie "zbierania danych"? Najprościej mówiąc, jest to wejście w posiadanie danych osobowych w celu ich dalszego przetwarzania.
Co istotne, nie ma przy tym znaczenia, w jaki sposób administrator nabył dane osoby lub osób, których dane dotyczą. Czy osoba, której dane dotyczą, sama i z własnej inicjatywy dostarcza swoje dane osobowe administratorowi danych, czy administrator pozyskuje te dane od osoby, której one dotyczą, czy z innych źródeł, za jej wiedzą lub bez takiej wiedzy – kluczowe jest wejście w posiadanie danych osobowych.
Jak spełnić obowiązek informacyjny RODO wobec osoby, której dane dotyczą?
Wymagania RODO nie precyzują, w jakiej formie Administrator danych powinien przekazywać osobie, której dotyczą dane, informacje dotyczące o przetwarzaniu jej danych.
Należy pamiętać jednak, że dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą.
Musimy jednak pamiętać o zasadzie rozliczalności — tzn Administrator powinien spełnić obowiązek w taki sposób, żeby być w stanie wykazać i potwierdzić fakt dopełnienia że dopełnił ciążącego na nim obowiązku informacyjnego.
Klauzula informacyjna nie wymaga podpisów osoby potwierdzających z zapoznaniem czy "kliknięcia checkboxów". Ważne, żeby administrator danych przekazał ją w na tyle przystępny osób, aby osoba której dane dotyczą nie musiała poszukiwać jej a utrudniony sposób.
Przekazanie wymaganych przez art. 13 i art. 14 ust RODO informacji może zatem nastąpić w formie pisemnej, w tym elektronicznej, ustnej (jeśli zażyczyła sobie tego osoba, której dane dotyczą) lub w inny sposób. Ważne, żeby administrator mógł to udowodnić spełnienie obowiązku wobec osób, których dane dotyczą.
O tym jakich błędów nie popełniać przy spełnianiu obowiązku informacyjnego przeczytasz w naszym artykule Klauzule zgodne z RODO — czyli dlaczego bezmyślne kopiowanie może przysporzyć więcej kłopotów niż pożytku. Znajdziesz tam więcej informacji na temat pozyskiwania danych, kwestie dostępu do danych oraz jakie są ewentualne konsekwencje niepodania danych.
Informacje o sposobach spełnienia obowiązku informacyjnego w przypadku prowadzenia e-biznesu znajdziesz w poradniku Jak przenieść sprzedaż ze sklepu stacjonarnego do Internetu – Poradnik LexDigital. Natomiast o tym jak spełnić obowiązek informacyjny na fakturze przeczytasz w publikacji Czy dane na fakturze to dane osobowe? W tych artykułach jasnym i prostym językiem zawarliśmy odpowiedzi na pytania o przetwarzaniu danych osobowych, przypadku zbierania danych oraz co może być warunkiem zawarcia umowy pomiędzy Tobą a Twoim klientem.
Jakie kluczowe informacje powinny znaleźć się w klauzuli informacyjnej?
Administrator, spełniając obowiązek informacyjny wobec osoby, od której bezpośrednio otrzymał dane osobowe (art. 13 RODO), zobowiązany jest podać następujące informacje:
- swoją tożsamość i dane kontaktowe,
- dane kontaktowe Inspektora Ochrony Danych (o ile został wyznaczony),
- cele przetwarzania danych (jeżeli dane osobowe zbierane są dla różnych celów, to należy wskazać wszystkie cele ich przetwarzania),
- podstawy prawne przetwarzania danych osobowych (podstawy przetwarzania danych wskazane zostały w art. 6 i 9 RODO i tak też należy rozumieć ten obowiązek – jako konieczność wskazania konkretnej podstawy prawnej spośród wymienionych w przepisach RODO),
- informacje o odbiorcach danych lub kategoriach odbiorców (zaufanym podmiotom, takim jak przedsiębiorstwa dostarczające i obsługujące wybrane systemy i rozwiązania informatyczne, dostawcom usług księgowych, prawnych, pocztowych i kurierskich),
- informacje o zamiarze przekazania danych osobowy do państwa trzeciego lub organizacji międzynarodowej (o ile dotyczy),
- okres, przez który dane będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu,
- jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) RODO — informacje o prawnie uzasadnionym interesie realizowanym przez administratora lub przez stronę trzecią (uzasadnionym interesem administratora danych będzie np. marketing bezpośredni, ochrona przed roszczeniami, monitoring wizyjny),
- jeżeli przetwarzanie odbywa się na podstawie zgody na przetwarzanie danych, której dane dotyczą — informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięcie,
- prawa przysługujące podmiotom danych:
W związku z przetwarzaniem danych osobowych, osoba, której dane dotyczą ma prawo do:
- żądania dostępu do swoich danych osobowych,
- żądania sprostowania swoich danych osobowych,
- żądania usunięcia lub ograniczenia przetwarzania swoich danych osobowych,
- wniesienia sprzeciwu co do przetwarzania Twoich danych,
- wniesienia skargi do organu nadzorczego, którym w Polsce jest Prezes Urzędu Ochrony Danych Osobowych.
- informacje o zautomatyzowanym podejmowaniu decyzji.
Jeżeli dane osobowe zostały pozyskane z innego źródła niż od osoby, której dotyczą, wówczas administrator zobowiązany jest spełnić obowiązek informacyjny zawierający ww. treści (art. 14 RODO) uzupełnione o źródło, z których posiada dane.
Przykładowy obowiązek informacyjny znajdziesz w naszym artykule Obowiązek informacyjny i nowe klauzule zgody. Potrzebujesz więcej wzorów lub szukasz konkretnego przykładu, jak wygląda obowiązek informacyjny RODO? Zajrzyj do naszych darmowych wzorów dokumentów tu.
Kiedy powinieneś spełnić obowiązek informacyjny wobec osoby, której dane dotyczą?
Obowiązek informacyjny powinien zostać spełniony w momencie zbierania danych, a najpóźniej w chwili ich zebrania. Natomiast nie po tym, gdy dane zostaną już zgromadzone przez administratora.
Dla przykładu, w przypadku rekrutacji klauzulę informacyjną powinniśmy przekazać kandydatowi do pracy, zanim otrzymamy jego CV,. Ponieważ w momencie aplikowania na dane stanowisko kandydat powinien już wiedzieć, m.in. kto jest administratorem jego danych, w jakim celu, na jakich podstawach i jak długo będzie przetwarzać jej dane.
W przypadku, kiedy administrator otrzymuje dane nie bezpośrednio od osoby, której dotyczą, wówczas obowiązek ten musi być spełniony w rozsądnym terminie po pozyskaniu danych osobowych. Najpóźniej w ciągu miesiąca, mając na uwadze konkretne okoliczności przetwarzania danych osobowych, najpóźniej przy pierwszej komunikacji z osobą, której dane dotyczą, jeżeli dane osobowe mają być stosowane do komunikacji z tą osobą lub najpóźniej przy ich pierwszym ujawnieniu, jeżeli planuje się ujawnić dane osobowe.
Ponowne przekazanie informacji na temat przetwarzania
W pewnych okolicznościach zachodzi potrzeba ponownego przekazania informacji wymaganych przez art. 13 RODO. Zgodnie ze wskazaniami Grupy Roboczej w Wytycznych Grupy Roboczej Art. 29 w sprawie przejrzystości na podstawie rozporządzenia 2016/679 (GR 260), administrator danych powinien informować osoby, których dane dotyczą, o wszelkich "istotnych lub dużych" zmianach zaistniałych w treści informacji.
Co to oznacza?
Jeżeli zmienią się okoliczności przetwarzania danych, które spowodują zmianę treści informacji przekazywanych informacji, zmiany te należy zakomunikować także tym osobom, których dane zostały zebrane wcześniej i wobec których spełniono wcześniej obowiązek informacyjny o treści niezmienionej.
Grupa Robocza wskazuje, że czynniki, które administrator danych powinien uwzględnić przy ocenie, czym jest istotna lub duża zmiana, obejmują wpływ na osoby, których dane dotyczą (w tym ich zdolność do wykonywania swoich praw) oraz na ile zmiana będzie niespodziewana lub zaskakująca dla osób, których dane dotyczą.
W ocenie Grupy Roboczej osoby, których dane dotyczą, zawsze powinny być informowane o następujących zmianach:
- zmiana celu przetwarzania,
- zmiana tożsamości administratora (w takim przypadku nowy administrator danych będzie miał własny obowiązek informacyjny, o którym mowa w art. 14 ust RODO),
- zmiana sposobu, w jaki osoby, których dane dotyczą, mogą wykonywać swoje prawa w związku z przetwarzaniem danych.
Ostatni przypadek będzie powodował konieczność ponowienia obowiązku informacyjnego wynikającego z zasady przejrzystości. Co ważne, pojęcie zmiany sposobu przetwarzania jest bardzo obszerne i może oznaczać np. przypadek przekazania danych osobowych do państwa trzeciego, co w istotny sposób może wpływać na możliwość wykonywania prawa przez osoby, których dane dotyczą.
Zmiana celu przetwarzania danych
W przypadku zmiany celu przetwarzania danych osobowych na inny cel niż cel, dla którego pierwotnie dane osobowe zostały zebrane, zgodnie z procedurą przewidzianą w art. 6 ust. 4 RODO, administrator danych powinien przed takim przetwarzaniem poinformować osobę, której dane dotyczą, o tym innym celu. Ponadto administrator danych powinien przekazać takiej osobie wszelkie inne "stosowne informacje", o których mowa w art. 13 ust. 2 RODO. W aspekcie zmiany celu przetwarzania danych informacjami takimi będą:
- informacja o okresie przechowywania danych,
- informacja o prawie cofnięcia zgody, jeżeli przetwarzanie odbywa się na podstawie zgody,
- informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, jeżeli występuje.
Więcej o tym, jakie mogą być cele przetwarzania danych osobowych pisaliśmy w artykule "Cele przetwarzania danych osobowych. Prawnie uzasadnione interesy administratora jako podstawa przetwarzania danych". Przeczytasz go tu.
Czym jest warstwowe spełnianie obowiązku informacyjnego?
Tak zwane warstwowe wykonywanie obowiązku informacyjnego nie jest wskazane wprost w przepisach RODO. Aczkolwiek ze względu na znaczną ilość przekazywanych informacji należy mieć na względzie stanowisko Grupy Roboczej Art. 29, która zwraca uwagę, że przekazanie osobie, której dane dotyczą, wszystkich wymaganych prawem informacji może prowadzić do powstania po jej stronie stanu "przeładowania informacyjnego". Czyli może doprowadzić do tego, że staną się one niezrozumiałe, a podejście warstwowe może pomóc zrównoważyć kwestie kompletności i zrozumienia.
Pierwsza warstwa informacyjna — podstawowe pojęcia w ochronie danych osobowych
Podejście warstwowe zakłada podział informacji, o których mowa w komentowanym przepisie, na dwie warstwy.
Pierwsza warstwa powinna zawierać informacje na temat celów przetwarzania, tożsamości administratora i opisu praw osoby, której dane dotyczą – tak, by osoba, której dane dotyczą, była w stanie zrozumieć na podstawie informacji zawartych w pierwszej warstwie, jakie konsekwencje pociągnie za sobą dla niej to przetwarzanie.
Na informacje zawarte w pierwszej warstwie należy bezpośrednio zwrócić uwagę osoby, której dane dotyczą, w momencie pozyskiwania danych osobowych, np. wyświetlać je w momencie, kiedy osoba, której dane dotyczą, wypełnia formularz online (Wytyczne GR 260 rev. 01, s. 21).
Druga warstwa informacyjna — łatwość dostępu do informacji na temat ochrony danych osobowych
Druga warstwa informacyjna powinna zawierać pozostałe informacje, które nie zostały zawarte w pierwszej warstwie, a które należy przekazać osobie, której dane dotyczą. Informacje te nie muszą już być przekazane w sposób aktywny — wystarczy stworzenie możliwości zapoznania się z nimi, np. przez odpowiednie odesłania do dokumentów zawartych na stronie internetowej.
Grupa Robocza Art. 29 w wytycznych podkreśla jednak, że warstwowe oświadczenia o ochronie prywatności nie mogą być zwykłymi podstronami, które wymagają kilku kliknięć ze strony użytkownika, aby dotrzeć do danej informacji. Co więcej, struktura i wygląd pierwszej warstwy powinny dawać osobie, której dane dotyczą, jasny obraz, jakie informacje są dostępne na temat przetwarzania jej danych osobowych, oraz gdzie i w jaki sposób może je znaleźć.
Istotne jest również, żeby informacje zawarte w poszczególnych warstwach obowiązku informacyjnego były ze sobą spójne.
Warstwowe podejście do obowiązku informacyjnego, a środki komunikacji.
Grupa Robocza art. 29 wskazuje, że warstwowe podejście do spełnienia obowiązku informacyjnego można także zastosować w kontekście innym niż internetowy. Na przykład: w kontaktach osobistych lub w rozmowie telefonicznej, gdzie administratorzy danych mogą zastosować różne sposoby w celu ułatwienia podawania informacji.
Oznacza to, że możliwość zastosowania podejścia warstwowego istnieje w zasadzie w każdym przypadku, a w szczególności w takich sytuacjach, do których podejście warstwowe wydaje się naturalne, w szczególności w rozmowie telefonicznej.
Co grozi administratorowi za brak spełnienia obowiązku informacyjnego?
Jedna z pierwszych kar finansowych nałożonych przez Prezesa Urzędu Ochrony Danych Osobowych w marcu 2019 roku na firmę Bisnode Polska sp. z o.o. dotyczyła właśnie braku spełnienia obowiązków informacyjnych wobec wszystkich osób fizycznych, których dane osobowe przetwarzała spółka. Brak spełnienia obowiązku dotyczył osób prowadzących aktualnie lub w przeszłości jednoosobową działalność gospodarczą oraz osób fizycznych, które zawiesiły wykonywanie tej działalności. Wysokość kary to 943 470 złotych.
Z kolei we wrześniu 2021 irlandzki organ nadzorczy nałożył karę w wysokości 225 000 000 euro na WhatsApp Ireland Ltd. za to, że spółka niewystarczająco poinformowała swoich użytkowników o tym, w jaki sposób dzieli się ich danymi z Facebookiem i innymi usługami należącymi do rodziny kalifornijskiego giganta. W decyzji podkreślono wagę przejrzystego informowania przez administratorów danych osobowych, co zamierzają zrobić z gromadzonymi przez siebie danymi.
Dla przypomnienia górne granice sankcji wskazanych przez RODO to 20 milionów euro lub do 4% wartości rocznego światowego obrotu przedsiębiorstwa w przypadku naruszenia m.in. podstawowych zasad przetwarzania danych osobowych, w tym warunków zgody, naruszenia praw osób, których dane dotyczą, przekazywania danych osobowych odbiorcy w państwie trzecim czy nieprzestrzeganie nakazu ograniczenia przetwarzania.
Drugi obowiązujący próg to 10 milionów euro lub do 2% wartości rocznego światowego obrotu przedsiębiorstwa w przypadku m.in. niedopełnienia obowiązków administratora i podmiotu przetwarzającego, podmiotu certyfikującego czy podmiotu monitorującego.
Więcej na temat kar przeczytasz w naszym artykule Kary RODO - skąd tyle szumu wokół kar finansowych?
Sprawdź także:
Aktualna klauzula RODO do CV 2024. Jak poprawnie sformułować zgodę?
Dane osobowe wrażliwe, a dane osobowe zwykłe