LexDigital

Obowiązek informacyjny RODO — czyli jakie informacje powinien przekazać administrator na temat przetwarzania danych osobowych

Jak przekazać informacje o przetwarzaniu danych w sposób klarowny dla osoby której, dane dotyczą? Czy administrator w Twojej firmie podejmuje prawidłowe kroki dla realizacji obowiązku informacyjnego?

Obowiązek informacyjny RODO — czyli jakie informacje powinien przekazać administrator na temat przetwarzania danych osobowych

Czego dowiesz się z artykułu:

  1. Co kryje się pod pojęciem obowiązku informacyjnego?
  2. Jakie kluczowe informacje powinny znaleźć się w klauzuli informacyjnej?
  3. Kiedy powinieneś spełnić obowiązek informacyjny RODO?
  4. Czym jest warstwowe spełnianie obowiązku informacyjnego?
  5. Co grozi administratorowi za brak spełnienia obowiązku informacyjnego?
klauzuli informacyjnej, art 6 ust 1 lit


Co kryje się pod pojęciem obowiązku informacyjnego?

Obowiązek informacyjny to nałożony na administratora danych wymóg prawny wskazany w rozporządzeniu o ochronie danych osobowych. polegający Polega on na przekazaniu osobie, której dane dotyczą, określonego zestawu informacji o przetwarzaniu jej danych osobowych. Obowiązek spełniany jest w sytuacji zbierania danych osobowych.

Obowiązek informacyjny, wymagałoby niewspółmiernie dużego wysiłku

W RODO nie znajdziemy definicji pojęcia "zbieranie danych", natomiast termin ten występuje w kontekście przykładowego katalogu operacji, które składają się na przetwarzanie danych osobowych. Także znajdziemy ten termin w art. 13 i 14 RODO dotyczących obowiązków informacyjnych. Jak zatem powinniśmy rozumieć pojęcie "zbierania danych"? Najprościej mówiąc, jest to wejście w posiadanie danych osobowych w celu ich dalszego przetwarzania.

Co istotne, nie ma przy tym znaczenia, w jaki sposób administrator nabył dane osoby lub osób, których dane dotyczą. Czy osoba, której dane dotyczą, sama i z własnej inicjatywy dostarcza swoje dane osobowe administratorowi danych, czy administrator pozyskuje te dane od osoby, której one dotyczą, czy z innych źródeł, za jej wiedzą lub bez takiej wiedzy – kluczowe jest wejście w posiadanie danych osobowych.

inspektora ochrony danych


Jak spełnić obowiązek informacyjny RODO wobec osoby, której dane dotyczą?

Wymagania RODO nie precyzują, w jakiej formie Administrator danych powinien przekazywać osobie, której dotyczą dane, informacje dotyczące o przetwarzaniu jej danych.

Należy pamiętać jednak, że dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą.

Musimy jednak pamiętać o zasadzie rozliczalności — tzn Administrator powinien spełnić obowiązek w taki sposób, żeby być w stanie wykazać i potwierdzić fakt dopełnienia że dopełnił ciążącego na nim obowiązku informacyjnego.

Klauzula informacyjna nie wymaga podpisów osoby potwierdzających z zapoznaniem czy "kliknięcia checkboxów". Ważne, żeby administrator danych przekazał ją w na tyle przystępny osób, aby osoba której dane dotyczą nie musiała poszukiwać jej a utrudniony sposób.

Przekazanie wymaganych przez art. 13 i art. 14 ust RODO informacji może zatem nastąpić w formie pisemnej, w tym elektronicznej, ustnej (jeśli zażyczyła sobie tego osoba, której dane dotyczą) lub w inny sposób. Ważne, żeby administrator mógł to udowodnić spełnienie obowiązku wobec osób, których dane dotyczą.

email, newsletter, email marketing

O tym jakich błędów nie popełniać przy spełnianiu obowiązku informacyjnego przeczytasz w naszym artykule Klauzule zgodne z RODO — czyli dlaczego bezmyślne kopiowanie może przysporzyć więcej kłopotów niż pożytku. Znajdziesz tam więcej informacji na temat pozyskiwania danych, kwestie dostępu do danych oraz jakie są ewentualne konsekwencje niepodania danych.

Informacje o sposobach spełnienia obowiązku informacyjnego w przypadku prowadzenia e-biznesu znajdziesz w poradniku Jak przenieść sprzedaż ze sklepu stacjonarnego do Internetu – Poradnik LexDigital. Natomiast o tym jak spełnić obowiązek informacyjny na fakturze przeczytasz w publikacji Czy dane na fakturze to dane osobowe? W tych artykułach jasnym i prostym językiem zawarliśmy odpowiedzi na pytania o przetwarzaniu danych osobowych, przypadku zbierania danych oraz co może być warunkiem zawarcia umowy pomiędzy Tobą a Twoim klientem.

Jakie kluczowe informacje powinny znaleźć się w klauzuli informacyjnej?

Administrator, spełniając obowiązek informacyjny wobec osoby, od której bezpośrednio otrzymał dane osobowe (art. 13 RODO), zobowiązany jest podać następujące informacje:

  1. swoją tożsamość i dane kontaktowe,
  2. dane kontaktowe Inspektora Ochrony Danych (o ile został wyznaczony),
  3. cele przetwarzania danych (jeżeli dane osobowe zbierane są dla różnych celów, to należy wskazać wszystkie cele ich przetwarzania),
  4. podstawy prawne przetwarzania danych osobowych (podstawy przetwarzania danych wskazane zostały w art. 6 i 9 RODO i tak też należy rozumieć ten obowiązek – jako konieczność wskazania konkretnej podstawy prawnej spośród wymienionych w przepisach RODO),
  5. informacje o odbiorcach danych lub kategoriach odbiorców (zaufanym podmiotom, takim jak przedsiębiorstwa dostarczające i obsługujące wybrane systemy i rozwiązania informatyczne, dostawcom usług księgowych, prawnych, pocztowych i kurierskich),


    envelope, letter, gift
  6. informacje o zamiarze przekazania danych osobowy do państwa trzeciego lub organizacji międzynarodowej (o ile dotyczy),
  7. okres, przez który dane będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu,
  8. jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) RODO — informacje o prawnie uzasadnionym interesie realizowanym przez administratora lub przez stronę trzecią (uzasadnionym interesem administratora danych będzie np. marketing bezpośredni, ochrona przed roszczeniami, monitoring wizyjny),
  9. jeżeli przetwarzanie odbywa się na podstawie zgody na przetwarzanie danych, której dane dotyczą — informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięcie,
  10. prawa przysługujące podmiotom danych:

    W związku z przetwarzaniem danych osobowych, osoba, której dane dotyczą ma prawo do:

    • żądania dostępu do swoich danych osobowych,
    • żądania sprostowania swoich danych osobowych,
    • żądania usunięcia lub ograniczenia przetwarzania swoich danych osobowych,
    • wniesienia sprzeciwu co do przetwarzania Twoich danych,
    • wniesienia skargi do organu nadzorczego, którym w Polsce jest Prezes Urzędu Ochrony Danych Osobowych.
  11. informacje o zautomatyzowanym podejmowaniu decyzji.
Prawo do informacji

Jeżeli dane osobowe zostały pozyskane z innego źródła niż od osoby, której dotyczą, wówczas administrator zobowiązany jest spełnić obowiązek informacyjny zawierający ww. treści (art. 14 RODO) uzupełnione o źródło, z których posiada dane.

Przykładowy obowiązek informacyjny znajdziesz w naszym artykule Obowiązek informacyjny i nowe klauzule zgody. Potrzebujesz więcej wzorów lub szukasz konkretnego przykładu, jak wygląda obowiązek informacyjny RODO? Zajrzyj do naszych darmowych wzorów dokumentów tu.

Kiedy powinieneś spełnić obowiązek informacyjny wobec osoby, której dane dotyczą?

kalendarz, budzik, monety

Obowiązek informacyjny powinien zostać spełniony w momencie zbierania danych, a najpóźniej w chwili ich zebrania. Natomiast nie po tym, gdy dane zostaną już zgromadzone przez administratora.

Dla przykładu, w przypadku rekrutacji klauzulę informacyjną powinniśmy przekazać kandydatowi do pracy, zanim otrzymamy jego CV,. Ponieważ w momencie aplikowania na dane stanowisko kandydat powinien już wiedzieć, m.in.  kto jest administratorem jego danych, w jakim celu, na jakich podstawach i jak długo będzie przetwarzać jej dane.

W przypadku, kiedy administrator otrzymuje dane nie bezpośrednio od osoby, której dotyczą, wówczas obowiązek ten musi być spełniony w rozsądnym terminie po pozyskaniu danych osobowych. Najpóźniej w ciągu miesiąca, mając na uwadze konkretne okoliczności przetwarzania danych osobowych, najpóźniej przy pierwszej komunikacji z osobą, której dane dotyczą, jeżeli dane osobowe mają być stosowane do komunikacji z tą osobą lub najpóźniej przy ich pierwszym ujawnieniu, jeżeli planuje się ujawnić dane osobowe.

Ponowne przekazanie informacji na temat przetwarzania

W pewnych okolicznościach zachodzi potrzeba ponownego przekazania informacji wymaganych przez art. 13 RODO. Zgodnie ze wskazaniami Grupy Roboczej w Wytycznych Grupy Roboczej Art. 29 w sprawie przejrzystości na podstawie rozporządzenia 2016/679 (GR 260), administrator danych powinien informować osoby, których dane dotyczą, o wszelkich "istotnych lub dużych" zmianach zaistniałych w treści informacji.

laptop, office, hand

Co to oznacza?

Jeżeli zmienią się okoliczności przetwarzania danych, które spowodują zmianę treści informacji przekazywanych informacji, zmiany te należy zakomunikować także tym osobom, których dane zostały zebrane wcześniej i wobec których spełniono wcześniej obowiązek informacyjny o treści niezmienionej.

Grupa Robocza wskazuje, że czynniki, które administrator danych powinien uwzględnić przy ocenie, czym jest istotna lub duża zmiana, obejmują wpływ na osoby, których dane dotyczą (w tym ich zdolność do wykonywania swoich praw) oraz na ile zmiana będzie niespodziewana lub zaskakująca dla osób, których dane dotyczą.

startup, meeting, brainstorming

W ocenie Grupy Roboczej osoby, których dane dotyczą, zawsze powinny być informowane o następujących zmianach:

  • zmiana celu przetwarzania,
  • zmiana tożsamości administratora (w takim przypadku nowy administrator danych będzie miał własny obowiązek informacyjny, o którym mowa w art. 14 ust RODO),
  • zmiana sposobu, w jaki osoby, których dane dotyczą, mogą wykonywać swoje prawa w związku z przetwarzaniem danych.

Ostatni przypadek będzie powodował konieczność ponowienia obowiązku informacyjnego wynikającego z zasady przejrzystości. Co ważne, pojęcie zmiany sposobu przetwarzania jest bardzo obszerne i może oznaczać np. przypadek przekazania danych osobowych do państwa trzeciego, co w istotny sposób może wpływać na możliwość wykonywania prawa przez osoby, których dane dotyczą.

dokument, realizacja obowiązku informacyjnego, pozyskanie danych od osoby

Zmiana celu przetwarzania danych

W przypadku zmiany celu przetwarzania danych osobowych na inny cel niż cel, dla którego pierwotnie dane osobowe zostały zebrane, zgodnie z procedurą przewidzianą w art. 6 ust. 4 RODO, administrator danych powinien przed takim przetwarzaniem poinformować osobę, której dane dotyczą, o tym innym celu. Ponadto administrator danych powinien przekazać takiej osobie wszelkie inne "stosowne informacje", o których mowa w art. 13 ust. 2 RODO. W aspekcie zmiany celu przetwarzania danych informacjami takimi będą:

  • informacja o okresie przechowywania danych,
  • informacja o prawie cofnięcia zgody, jeżeli przetwarzanie odbywa się na podstawie zgody,
  • informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, jeżeli występuje.

Więcej o tym, jakie mogą być cele przetwarzania danych osobowych pisaliśmy w artykule "Cele przetwarzania danych osobowych. Prawnie uzasadnione interesy administratora jako podstawa przetwarzania danych". Przeczytasz go tu.

email, email marketing, newsletter


Czym jest warstwowe spełnianie obowiązku informacyjnego?

Tak zwane warstwowe wykonywanie obowiązku informacyjnego nie jest wskazane wprost w przepisach RODO. Aczkolwiek ze względu na znaczną ilość przekazywanych informacji należy mieć na względzie stanowisko Grupy Roboczej Art. 29, która zwraca uwagę, że przekazanie osobie, której dane dotyczą, wszystkich wymaganych prawem informacji może prowadzić do powstania po jej stronie stanu "przeładowania informacyjnego". Czyli może doprowadzić do tego, że staną się one niezrozumiałe, a podejście warstwowe może pomóc zrównoważyć kwestie kompletności i zrozumienia.

Warstwowy obowiązek informacyjny


Pierwsza warstwa informacyjna podstawowe pojęcia w ochronie danych osobowych

Podejście warstwowe zakłada podział informacji, o których mowa w komentowanym przepisie, na dwie warstwy.

Pierwsza warstwa powinna zawierać informacje na temat celów przetwarzania, tożsamości administratora i opisu praw osoby, której dane dotyczą – tak, by osoba, której dane dotyczą, była w stanie zrozumieć na podstawie informacji zawartych w pierwszej warstwie, jakie konsekwencje pociągnie za sobą dla niej to przetwarzanie.

Na informacje zawarte w pierwszej warstwie należy bezpośrednio zwrócić uwagę osoby, której dane dotyczą, w momencie pozyskiwania danych osobowych, np. wyświetlać je w momencie, kiedy osoba, której dane dotyczą, wypełnia formularz online (Wytyczne GR 260 rev. 01, s. 21).

inspektor ochrony danych osobowych, kancelaria, rozmowa


Druga warstwa informacyjna łatwość dostępu do informacji na temat ochrony danych osobowych

Druga warstwa informacyjna powinna zawierać pozostałe informacje, które nie zostały zawarte w pierwszej warstwie, a które należy przekazać osobie, której dane dotyczą. Informacje te nie muszą już być przekazane w sposób aktywny — wystarczy stworzenie możliwości zapoznania się z nimi, np. przez odpowiednie odesłania do dokumentów zawartych na stronie internetowej.

Grupa Robocza Art. 29 w wytycznych podkreśla jednak, że warstwowe oświadczenia o ochronie prywatności nie mogą być zwykłymi podstronami, które wymagają kilku kliknięć ze strony użytkownika, aby dotrzeć do danej informacji. Co więcej, struktura i wygląd pierwszej warstwy powinny dawać osobie, której dane dotyczą, jasny obraz, jakie informacje są dostępne na temat przetwarzania jej danych osobowych, oraz gdzie i w jaki sposób może je znaleźć.

Istotne jest również, żeby informacje zawarte w poszczególnych warstwach obowiązku informacyjnego były ze sobą spójne.

wniesienia sprzeciwu wobec przetwarzania sprostowania usunięcia lub ograniczenia

Warstwowe podejście do obowiązku informacyjnego, a środki komunikacji.

Grupa Robocza art. 29 wskazuje, że warstwowe podejście do spełnienia obowiązku informacyjnego można także zastosować w kontekście innym niż internetowy. Na przykład: w kontaktach osobistych lub w rozmowie telefonicznej, gdzie administratorzy danych mogą zastosować różne sposoby w celu ułatwienia podawania informacji.

Oznacza to, że możliwość zastosowania podejścia warstwowego istnieje w zasadzie w każdym przypadku, a w szczególności w takich sytuacjach, do których podejście warstwowe wydaje się naturalne, w szczególności w rozmowie telefonicznej.

information, icon, help


Co grozi administratorowi za brak spełnienia obowiązku informacyjnego?

Jedna z pierwszych kar finansowych nałożonych przez Prezesa Urzędu Ochrony Danych Osobowych w marcu 2019 roku na firmę Bisnode Polska sp. z o.o. dotyczyła właśnie braku spełnienia obowiązków informacyjnych wobec wszystkich osób fizycznych, których dane osobowe przetwarzała spółka. Brak spełnienia obowiązku dotyczył osób prowadzących aktualnie lub w przeszłości jednoosobową działalność gospodarczą oraz osób fizycznych, które zawiesiły wykonywanie tej działalności. Wysokość kary to 943 470 złotych.

Kary finansowe RODO


Z kolei we wrześniu 2021 irlandzki organ nadzorczy nałożył karę w wysokości 225 000 000 euro na WhatsApp Ireland Ltd. za to, że spółka niewystarczająco poinformowała swoich użytkowników o tym, w jaki sposób dzieli się ich danymi z Facebookiem i innymi usługami należącymi do rodziny kalifornijskiego giganta. W decyzji podkreślono wagę przejrzystego informowania przez administratorów danych osobowych, co zamierzają zrobić z gromadzonymi przez siebie danymi.

Dla przypomnienia górne granice sankcji wskazanych przez RODO to 20 milionów euro lub do 4% wartości rocznego światowego obrotu przedsiębiorstwa w przypadku naruszenia m.in. podstawowych zasad przetwarzania danych osobowych, w tym warunków zgody, naruszenia praw osób, których dane dotyczą, przekazywania danych osobowych odbiorcy w państwie trzecim czy nieprzestrzeganie nakazu ograniczenia przetwarzania.

kary rodo

Drugi obowiązujący próg to 10 milionów euro lub do 2% wartości rocznego światowego obrotu przedsiębiorstwa w przypadku m.in. niedopełnienia obowiązków administratora i podmiotu przetwarzającego, podmiotu certyfikującego czy podmiotu monitorującego. 

Więcej na temat kar przeczytasz w naszym artykule Kary RODO - skąd tyle szumu wokół kar finansowych? 





Polecane

Systemowe Zarządzanie bezpieczeństwem systemów sztucznej inteligencji

Systemowe Zarządzanie bezpieczeństwem systemów sztucznej inteligencji

Sztuczna inteligencja (AI) coraz częściej stanowi ważny czynnik wspierania procesów biznesowych organizacji. Jest wykorzystywana na masową skalę i nie jest już zarezerwowana jakiemuś szczególnemu sektorowi działalności. Opracowywane prognozy plasują AI jako jeden z głównych czynników, który ma napędzać gospodarki przyszłości.

Anonimizacja danych osobowych i anonimizacja dokumentów

Anonimizacja danych osobowych i anonimizacja dokumentów

Poza oczywistymi korzyściami wynikającymi z anonimizacji danych polegającymi na uzyskiwaniu zgodności z przepisami prawa, istnieje jeszcze wiele innych. Anonimizacja umożliwia organizacjom przetwarzanie informacji wrażliwych w sposób bezpieczny, minimalizując ryzyko naruszenia prywatności użytkowników czy ujawnienia tajemnicy przedsiębiorstwa. Umożliwia korzystanie z informacji w celach badawczych i statystycznych bez naruszania prywatności jednostek.

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie to potężne narzędzie, które może pomóc firmom lepiej zrozumieć swoich klientów i dostosować swoje usługi do ich potrzeb. Jednak w dobie coraz większej troski o prywatność danych, legalne i odpowiedzialne profilowanie staje się niezwykle istotne. W naszym artykule przeanalizujemy, czym dokładnie jest profilowanie, jakie są jego korzyści, a przede wszystkim jak można je stosować w zgodzie z przepisami prawa i z poszanowaniem prywatności użytkowników.

Popularne

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

komputronik biofarm lpp apart wykop volkswagen tpay netguru novol pearson impel phyto-pharm veolia cuf-podatki talex gethero tesgas uep fibaro akademia-kozminskiego bilety24 bims cichy-zasada currency >
<img src= kir ministerstwo cyfryzacji pierre-fabre polomarket porr przelewy24 swiss-krono vox wielkopolska-izba-lekarska wsb wtk