skip to Main Content

Obowiązek informacyjny administratora danych osobowych

Elementarz RODO
1. Co to są dane osobowe?
2. Przetwarzanie danych osobowych w rozumieniu RODO
3. Kiedy musisz stosować RODO?
4. ADO, czyli administrator danych osobowych
5. Podstawy przetwarzania danych osobowych
6. Zgoda na przetwarzanie danych osobowych
7. Dokumentacja wymagana przez RODO
8. Prawnie uzasadnione interesy realizowane przez administratora
9. Przetwarzanie danych osobowych w celach marketingowych
10. Przetwarzanie wrażliwych danych osobowych
11. Obowiązek informacyjny administratora danych osobowych

RODO[1]Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) nakłada na administratora danych osobowych wiele wymagań. Jednym z pierwszych, które administrator powinien spełnić jest obowiązek informacyjny w stosunku do osób, których dane osobowe zbiera. Niestety bardzo często nie jest on wypełniany, a osoby podające swoje dane nie wiedzą w jakim celu są przetwarzane, ani kto jest ich administratorem. W tym poście chciałbym nie tylko uświadomić administratorów, że taki obowiązek istnieje, ale także pokazać kiedy i jak go zrealizować.

Na czym polega obowiązek informacyjny?

Na gruncie RODO administrator jest zobowiązany wykonać obowiązek informacyjny w dwóch sytuacjach:

  1. w przypadku zbierania danych osobowych od osoby, której one dotyczą (art. 13 RODO);
  2. w przypadku zbierania danych osobowych nie od osoby, której one dotyczą (art. 14 RODO).

W każdej z powyższych sytuacji, obowiązek informacyjny wygląda trochę inaczej.

Zbieranie danych osobowych od osoby, której one dotyczą

Zgodnie z art. 13 RODO, w przypadku zbierania danych osobowych od osoby, której one dotyczą, administrator jest obowiązany, podczas pozyskiwania danych, przekazać tej osobie wszystkie następujące informacje:

  1. swoją tożsamość i dane kontaktowe;
  2. gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
  3. cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania;
  4. jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) RODO – prawnie uzasadnione interesy realizowane przez administratora;
  5. informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
  6. gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję Europejską odpowiedniego stopnia ochrony.

Poza informacjami wskazanymi powyżej, które powinny być przekazane zawsze, administrator, podczas pozyskiwania danych osobowych, powinien podać osobie, której dane dotyczą, także następujące inne informacje w zakresie niezbędnym do zapewnienia rzetelności i przejrzystości przetwarzania (w praktyce najbezpieczniej jest uznać, że należy przekazać wszystkie poniższe informacje):

  1. okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
  2. informacje o prawie do żądania od administratora dostępu do danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
  3. jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) (zgoda) RODO lub art. 9 ust. 2 lit. a) RODO (przetwarzanie szczególnych kategorii danych osobowych) – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
  4. informacje o prawie wniesienia skargi do organu nadzorczego;
  5. informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
  6. informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu oraz istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Poniżej przygotowałem krótkie omówienie niektórych punktów. Skupiłem się na tych najważniejszych. Te budzące najmniej wątpliwości i te, które mają zastosowanie najrzadziej, pominąłem. Nie rozwinąłem także wątków p. 8 i 12 – w przyszłości zamierzam poświęcić tym zagadnieniu odrębne posty.

Tożsamość i dane kontaktowe administratora

Wypełnianie obowiązku informacyjnego najlepiej rozpocząć od podania adresu siedziby i pełnej nazwy administratora (w przypadku spółki lub innej jednostki organizacyjnej), albo imienia i nazwiska oraz adresu zamieszkania lub prowadzenia działalności administratora (w przypadku osoby fizycznej). Podanie jedynie skrótu nazwy administratora jest niedopuszczalne – sądy administracyjne w wielu wyrokach uznawały to za nieprawidłowe wykonanie obowiązku informacyjnego.

Kwestią dyskusyjną jest co dokładnie należy rozumieć przez dane kontaktowe administratora. Jedni uważają, że wystarczy adres, inni że trzeba podać jeszcze numer telefonu. A ja – jak zwykle – preferuję bezpieczne podejście i zalecam dorzucić jeszcze adres e-mail.

Cel oraz podstawa przetwarzania

Każda osoba, której dane są przetwarzane powinna uzyskać informację o celu przetwarzania. Ponadto, administrator powinien ją poinformować na jakiej podstawie prawnej przetwarza jej dane. Omówienie możliwych podstaw przetwarzania znajdziesz tutaj.

Prawnie uzasadniony interes administratora

Jeżeli zbierasz dane osobowe powołując się na swój prawnie uzasadniony interes jako administratora, musisz sprecyzować jaki to konkretnie cel i przekazać stosowną informację osobie, której dane przetawarzasz. Więcej o tym, co można uznać za prawnie uzasadniony cel administratora możesz znaleźć w tym poście.

Odbiorcy danych osobowych

Osoba, której dane są przetwarzane ma również prawo wiedzieć czy i komu je przekazujesz. Poinformują ją o tym, nawet jeżeli zamierzasz przekazywać dane podmiotom trzecim dopiero w przyszłości. Jeżeli jesteś w stanie określić konkretne podmioty, którym przekazujesz lub będziesz przekazywać dane, to super – nie widzę ryzyka uznania, że nieprawidłowo zrealizowałeś ten element obowiązku informacyjnego. Jeśli jednak nie jest to możliwe, podaj chociaż jakie kategorie odbiorców danych osobowych przewidujesz – im dokładniej to określisz, tym lepiej.

Informacja o prawie cofnięcia zgody

Kwestię prawa do cofnięcia zgody szczegółowo omówiłem w tym poście. Zachęcam do lektury. Jeżeli przetwarzasz dane osobowe na podstawie zgody, musisz o tym prawie poinformować osobę, która zgody udzieliła.

Dobrowolność albo obowiązek podania danych

Obowiązek podania danych osobowych może wynikać wyłącznie z ustawy. Zasadę taką ustanawia Konstytucja – art. 51 ust. 1, zgodnie z którym „Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby”. Jeżeli nie ma przepisu nakładającego obowiązek podania danych osobowych, ich podanie jest dobrowolne. Jeżeli administrator uzależnia wykonanie usługi od podania danych osobowych usługobiorcy, podanie danych jest dobrowolne. Nie ma prawnego obowiązku ich podania. Jeżeli usługobiorca odmówi przekazania swoich danych, nie będzie mógł skorzystać z usługi. W takiej sytuacji administrator powinien poinformować, że podanie danych jest dobrowolne, ale konieczne w celu realizacji usługi.

Zbieranie danych nie od osoby, której dane dotyczą

Drugim przypadkiem, w którym na administratorze spoczywa obowiązek informacyjny, jest zbieranie danych osobowych nie od osoby której dane dotyczą. Jakie to mogą być sytuacje? Chodzi np. o otrzymanie danych od innego administratora danych (np. w przypadku kupienia zbioru danych osobowych – Naczelny Sąd Administracyjny w Warszawie w wyroku z dnia 13 lipca 2013 r., sygn. OSK 507/04, jeszcze pod rządami poprzedniej ustawy o ochronie danych osobowych, uznał, że zakup bazy danych osobowych jest tożsamy z procesem zbierania i pozyskiwania danych) lub stworzenie swojego zbioru danych z ogólnie dostępnych danych (np. w internecie). Więcej możliwości nie widzę.

Zgodnie z art. 14 RODO, jeżeli danych osobowych nie pozyskano od osoby, której dane dotyczą, administrator podaje osobie, której dane dotyczą, wszystkie następujące informacje:

  1. swoją tożsamość i dane kontaktowe;
  2. gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
  3. cele przetwarzania, do których mają posłużyć dane osobowe, oraz podstawę prawną przetwarzania;
  4. kategorie odnośnych danych osobowych;
  5. informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
  6. gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję Europejską odpowiedniego stopnia ochrony lub w przypadku przekazania.

Poza informacjami wskazanymi powyżej, które powinny być przekazane zawsze, administrator powinien podać osobie, której dane dotyczą, także następujące inne informacje w zakresie niezbędnym do zapewnienia rzetelności i przejrzystości przetwarzania (w praktyce najbezpieczniej jest uznać, że należy przekazać wszystkie poniższe informacje):

  1. okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
  2. jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) RODO – prawnie uzasadnione interesy realizowane przez administratora;
  3. informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
  4. jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) RODO (zgoda) lub art. 9 ust. 2 lit. a) RODO (przetwarzanie szczególnych kategorii danych osobowych) – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
  5. informacje o prawie wniesienia skargi do organu nadzorczego;
  6. źródło pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych;
  7. informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu oraz istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Konstrukcja jest bardzo podobna, jak w przypadku zbierania danych osobowych od osób, których dotyczą. W znacznej mierze zakres informacji pokrywa się. Są jednak dwa dodatkowe wymogi – trzeba podać kategorie przetwarzanych danych osobowych oraz źródło pochodzenia danych osobowych.

Kategorie danych osobowych

Administrator zbierając dane osobowe nie od osoby, której dane dotyczą, powinien poinformować tę osobę jakie kategorie danych osobowych są przez niego przetwarzane. Skoro osoba, której dane dotyczą, nie przekazała ich sama administratorowi, nie ma żadnej wiedzy w tym zakresie.

Źródło pochodzenia danych osobowych

W związku z tym, że dane osobowe są zbieranie nie od osoby, której dotyczą, administrator jest zobowiązany do poinformowania jej o źródle, z którego pozyskał dane. Jak wskazałem powyżej, możliwości widzę tylko dwie – uzyskanie danych od innego administratora (np. kupienie zbioru danych osobowych) lub pozyskanie danych z ogólnodostępnego źródła (np. z internetu).

Jak i kiedy wykonać obowiązek informacyjny?

RODO wymaga, aby administrator przekazywał informacje w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Pamiętaj o tym, jak będziesz przygotowywać klauzule informacyjne w swojej firmie.

Informacje w ramach obowiązku informacyjnego powinny być przekazane bezpośrednio osobie, której dane osobowe dotyczą. W sprawozdaniu z 2000 r. GIODO (Generalny Inspektor Ochrony Danych Osobowych – poprzednik obecnego Prezesa Urzędu Ochrony Danych Osobowych) wskazał, że podanie przez urząd w prasie lokalnej informacji o nazwach zbiorów danych osobowych prowadzonych przez urząd wraz z informacją o uprawnieniach osób, których dane znajdują się w tych zbiorach, nie można uznać za spełnienie obowiązku informacyjnego. Moim zdaniem słusznie – nie każdy przecież czyta prasę lokalną. A jeżeli nawet czyta, to może nie zauważyć takiego ogłoszenia. Administrator danych osobowych powinien zadbać, żeby informacje trafiły bezpośrednio do osoby, której zebrane dane dotyczą. Powinna ona mieć możliwość łatwego zapoznania się z tymi informacjami.

Nic nie stoi jednak na przeszkodzie, żeby obowiązek informacyjny został wykonany przez inny podmiot niż administrator danych. Istotne jest tylko to, żeby osoba, której dane zostały zebrane, otrzymała wszystkie i formacje wskazane przez art. 13 lub 14 RODO. Taka sytuacja może mieć miejsce w przypadku zbierania danych przez podmiot, któremu powierzono przetwarzanie danych osobowych.

Warto pamiętać także, że obowiązek informacyjny spoczywa tylko na podmiocie, który w wyniku przekazania danych osobowych staje się ich administratorem. W przypadku powierzenia przetwarzania danych osobowych (podmiot, któremu powierzono przetwarzanie danych nie staje się administratorem danych osobowych) obowiązek informacyjny nie powstaje.

Zbieranie danych od osoby, której dane dotyczą

W przypadku zbierania danych osobowych od osoby, której dane dotyczą, RODO wskazuje, że informacje muszą być podane w momencie pozyskania. Aby uniknąć wątpliwości czy obowiązek informacyjny został wykonany w odpowiednim momencie, radzę jednak, aby osoba, od której dane uzyskujesz, miała wszystkie informacje określone w art. 13 RODO już w momencie przekazania ci danych.

Jeżeli zbierasz dane osobowe na podstawie zgody, najlepiej zawrzeć wszystkie informacje tuż obok miejsca na wyrażenie zgody. Umożliwia to nie tylko odpowiednie wykonanie obowiązku informacyjnego, ale także uzyskanie potwierdzenia, że obowiązek informacyjny został spełniony (jeśli zgoda jest udzielana w formie pisemnej lub utrwalana w inny sposób – np. w formie elektronicznej lub nagrywana).

Jeżeli jednak przetwarzane dane osobowe na innej podstawie, zadbaj o to, żeby wymagane informacje znalazły się w miejscu widocznym dla osoby podającej swoje dane.

Zbieranie danych nie od osoby, której dane dotyczą

Jeśli dane osobowe nie są zbierane od osoby, której dotyczą, administrator ma ograniczone możliwości przekazania informacji wymaganych przez RODO. Pojawia się zatem pytanie, kiedy należy wykonać obowiązek informacyjny. Art. 14 ust. 3 RODO zawiera dość precyzyjne wytyczne w tym zakresie – zgodnie z nim wymagane informacje należy podać:

  • w rozsądnym terminie po pozyskaniu danych osobowych – najpóźniej w ciągu miesiąca – mając na uwadze konkretne okoliczności przetwarzania danych osobowych;
  • jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą – najpóźniej przy pierwszej takiej komunikacji z osobą, której dane dotyczą; lub
  • jeżeli administrator planuje się ujawnić dane osobowe innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu.

Zwolnienie z obowiązku informacyjnego

Obowiązek informacyjny najlepiej przyjąć jako zasadę i wdrożyć w swojej firmie procedury zapewniające jego wykonanie przy każdym zbieraniu danych osobowych. Są jednak sytuacje, kiedy nie trzeba tego robić – RODO przewiduje jeden wyjątek w przypadku zbierania danych osobowych od osoby, której dane dotyczą i cztery wyjątki w przypadku zbierania danych z innych źródeł.

Wyjątek w przypadku zbierania danych od osoby, której dotyczą

Zgodnie z art. 13 ust. 4 RODO, obowiązku informacyjnego nie trzeba wykonywać, jeżeli osoba, której dane dotyczą, dysponuje już tymi informacjami. Jeżeli więc któraś z informacji znajduje się już w posiadaniu tej osoby, można pominąć te informacje w ramach wykonywania obowiązku informacyjnego. Należy jednak pamiętać, że administrator w razie kontroli powinien być w stanie wykazać, że dana osoba te informacje już posiadała.

Wyjątki w przypadku zbierania danych z innych źródeł

Art. 14 ust. 5 RODO przewiduje, że obowiązku informacyjnego nie trzeba wykonywać, w zakresie, w jakim:

  1. osoba, której dane dotyczą, dysponuje już wskazanymi powyżej informacjami;
  2. udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku, w tym w szczególności w przypadku przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych (w takich przypadkach administrator podejmuje odpowiednie środki, by chronić prawa i wolności oraz prawnie uzasadnione interesy osoby, której dane dotyczą, w tym udostępnia informacje publicznie);
  3. pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii Europejskiej lub prawem państwa członkowskiego, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą;
  4. dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii Europejskiej lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy.

Pierwsza sytuacja została omówiona już powyżej. Druga wydaje się tak abstrakcyjna, że niemalże na pewno nie będzie miała zastosowania do twojej działalności. Dlatego poniżej zamieściłem jedynie krótki komentarz do p. 3 i 4.

Ad. 3. Pozyskiwanie uregulowane prawem

Jako przykład można wskazać przetwarzanie danych osobowych przez ubezpieczyciela w celu oceny ryzyka ubezpieczeniowego lub wykonania umowy ubezpieczenia, w zakresie niezbędnym z uwagi na cel i rodzaj ubezpieczenia, którego zasady są określone w art. 41 ustawy o działalności ubezpieczeniowej.

Ad. 4. Ustawowy obowiązek zachowania tajemnicy

Przy tym zwolnieniu można wskazać jako przykład przetwarzanie danych osobowych przez radców prawnych i adwokatów. Bardzo często otrzymują oni dane osobowe innych osób od swoich klientów (np. przeciwnych stron w procesie) i są prawem zobowiązani do zachowania ich w poufności.

Niewykonanie obowiązku informacyjnego

Niezrealizowanie przez administratora obowiązku informacyjnego (albo wykonanie go w nieprawidłowy sposób) stanowi naruszenie RODO i wiąże się z ryzykiem nałożenia kary przez Prezesa Urzędu Ochrony Danych Osobowych.

Przypisy

Przypisy
1 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
Tomasz Korolko

Partner

Back To Top