Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/678 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych (...), znane powszechnie jako "RODO" zdecydowanie poszerza obowiązki informacyjne ciążące na administratorze danych osobowych ("ADO") względem osoby, której dane dotyczą.

Zgodnie z regulacją prawną obowiązującą do 24 maja 2018 r., zawartą w art. 24 ust.1 dawnej ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych ("UODO"), w przypadku zbierania danych osobowych od osoby, której dane te dotyczą, ADO zobowiązany był poinformować tę osobę o:

  • adresie swojej siedziby i pełnej nazwie, a w przypadku, w którym ADO jest osobą fizyczną - o adresie swego zamieszkania oraz swoim imieniu i nazwisku;
  • celu zbierania danych;
  • znanych oraz przewidywanych odbiorcach danych osobowych lub kategoriach odbiorców danych osobowych;
  • prawie dostępu do treści swoich danych oraz ich poprawiania;
  • dobrowolności albo obowiązku podania danych osobowych, a jeżeli obowiązek taki istnieje, również o jego podstawie prawnej.

Nieco odmienny obowiązek informacyjny ciążył na ADO w przypadku zbierania danych osobowych nie od osoby, której dane te dotyczą (art. 25 ust.1 UODO). Zamiast informacji o dobrowolności albo obowiązku podania danych osobowych (która to informacja w tym przypadku jest z oczywistych względów nieadekwatna), ADO zobowiązany był poinformować osobę, której dane dotyczą, o źródle, z którego ADO otrzymał jej dane osobowe oraz uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 8 UODO (prawie wniesienia umotywowanego żądania zaprzestania przetwarzania danych osobowych ze względu na szczególną sytuację osoby, której dane to dotyczą oraz prawie wniesienia sprzeciwu wobec przetwarzania danych osobowych).

Z punktu widzenia większości przedsiębiorców, najważniejsze znaczenie ma obowiązek informacyjny przewidziany na wypadek zbierania danych osobowych bezpośrednio od osób, których dane te dotyczą. Do tego typu zbierania danych osobowych dochodzi w przypadku wielu przedsiębiorców bardzo często. Z sytuacją taką mamy do czynienia w przypadku rejestracji klientów w sklepie internetowym, rejestracji subskrybentów newslettera, udziału w konkursach, podpisywania różnego rodzaju oświadczeń. Z klauzulą informacyjną spełniającą wymogi art. 24 ust.1 UODO spotkał się chyba każdy i umieszczana była ona częstokroć na jednej kartce pod treścią samego oświadczenia osoby przekazującej nam do przetwarzania swoje dane osobowe, czy też w ramach formularza rejestracyjnego.

RODO wprowadziło zupełnie nowe reguły gry. Treść klauzuli informacyjnej, którą trzeba od 25 maja 2018 r. przedstawiać osobom przekazującym nam swoje dane osobowe jest zdecydowanie bardziej rozbudowana i w zasadzie niemożliwym jest umieszczenie jej w ramach jakiegoś krótkiego formularza, czy też w postaci nierzucającej się w oczy informacji zawartej na stronie internetowej.

Zgodnie z art. 13 RODO, w przypadku zbierania danych osobowych od osoby, której dane te dotyczą, ADO zobowiązany jest poinformować tę osobę o:

  • swojej tożsamości i danych kontaktowych (a we właściwych przypadkach również o tożsamości i danych kontaktowych swego przedstawiciela)
  • danych kontaktowych inspektora ochrony danych osobowych - gdy ADO wyznaczył takiego inspektora;
  • celach przetwarzania danych osobowych oraz podstawie prawnej ich przetwarzania;
  • prawnie uzasadnionym interesie realizowanym przez ADO lub przez stronę trzecią - gdy przetwarzanie danych osobowych legitymizowane jest tym, iż jest ono niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez ADO lub stronę trzecią;
  • okresie, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, o kryteriach ustalania tego okresu;
  • prawie do żądania od ADO dostępu do danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania;
  • prawie do wniesienia sprzeciwu wobec przetwarzania danych;
  • prawie do przenoszenia danych;
  • prawie do cofnięcia w dowolnym momencie zgody na przetwarzanie danych osobowych (gdy odbywa się ono na podstawie zgody osoby, której dane dotyczą) bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
  • prawie wniesienia skargi do organu nadzorczego;
  • tym, czy podanie danych jest wymogiem ustawowym lub umownym, lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
  • zautomatyzowanym podejmowaniu decyzji, w tym profilowaniu;
  • zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej.

Niewątpliwym jest więc, że wypełnienie obowiązku informacyjnego ciążącego na ADO od 25 maja 2018 r. stało się sprawą uciążliwą i częstokroć kłopotliwą. Przykładowo, przy odbieraniu jednostronnego oświadczenia w jakimkolwiek przedmiocie od osoby, której dane osobowe zostają nam przekazane do przetwarzania, cały rewers kartki lub wręcz kolejną kartkę poświęcić musimy na przedstawienie w/w informacji wymaganych przez RODO. Wielu przedsiębiorców zostało ponadto zmuszonych dokonać reorganizacji prowadzonych przez nich stron internetowych, nie da się bowiem natłoku w/w informacji zamieścić przykładowo pod formularzem rejestracyjnym - przynajmniej nie bez utraty czytelności strony. Wyjść należy przy tym z założenia, że niewystarczającym może być umieszczenie w/w informacji w regulaminie czy ogólnych warunkach świadczenia usług - przedsiębiorca musi być w stanie wykazać, że osoba przekazująca mu dane osobowe zapoznała się z w/w informacjami, powinna więc w tym zakresie złożyć oświadczenie odrębne od np. akceptacji regulaminu świadczenia usług. ADO zwolniony będzie z obowiązku przedstawienia w/w informacji tylko w przypadku, w którym osoba, której dane dotyczą dysponuje już takim informacji - co ADO musi być w stanie wykazać.

Na marginesie zwrócić należ uwagę, że w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane te dotyczą, ADO zobowiązany jest do podania osobie, której dane dotyczą zestawu informacji wymienionych w art. 14 RODO (w szczególności dochodzi tu obowiązek poinformowania o źródle pozyskania danych osobowych oraz kategoriach przetwarzanych danych osobowych).

Biorąc pod uwagę jak znaczący zakres informacji przedstawić należy osobie, której dane osobowe przetwarzamy, fakt iż należy tego dokonać w sposób jasny i zrozumiały dla osoby informowanej oraz wysokość sankcji za naruszenie w/w obowiązku (do 20 milionów EURO lub 4% wartości światowego obrotu przedsiębiorcy), zasadnym wydaje się by każdy przedsiębiorca przetwarzający dane osobowe korzystał w tym zakresie z profesjonalnej obsługi prawnej świadczonej przez radcę prawnego lub adwokata. Do wymogów RODO dostosować należy bowiem szablony umów zawieranych przez przedsiębiorcę (handlowych, cywilnych, umów o pracę), treść stron internetowych, stosowane formularze stosowane przez przedsiębiorcę w obrocie gospodarczym. Rozważyć należy ponadto zamieszczenie w pewnych przypadkach treści w/w informacji w ogólnie dostępnym miejscu - np. na portierni w przypadku gdy ochrona rejestruje dane osób wchodzących oraz opuszczających teren przedsiębiorstwa.

Z naszego doświadczenia wynika, że przedsiębiorcom olbrzymich problemów przysparza m.in. prawidłowe określenie celów przetwarzania danych osobowych oraz podstaw prawnych, w oparciu o które dane te są przetwarzane. Prawidłowe sformułowanie treści obowiązku informacyjnego bez wsparcia kancelarii prawnej okazuje się częstokroć niemożliwe - m.in. w zakresie określenia kiedy dochodzić powinno do przetwarzania danych osobowych w oparciu o zgodę udzieloną przez osobę, której dane dotyczą, a kiedy przetwarzanie następuje w oparciu o inną podstawę prawną. Prawidłowe określenie podstawy prawnej przetwarzania danych jest natomiast kluczowe dla prawidłowego określenia czasu przetwarzania danych oraz właściwego poinformowania osoby, której dane dotyczą, o przysługujących jej uprawnieniach.

Wpisy powiązane:

Naruszenie ochrony danych osobowych.

Rejestr czynności przetwarzania danych osobowych.

Kary pieniężne wynikające z RODO.

Kary pieniężne RODO w Polsce w 2019 r.

Bezpieczeństwo przetwarzanych danych.

Zasady RODO.

Zasada rozliczalności.

Wdrożenie RODO.

Kontrola zgodności z RODO.

Powierzenie przetwarzania danych osobowych.

Data publikacji: 29.06.2018.

radca prawny Paweł Borek | radca prawny Krzysztof Doliński

Audyt i wdrożenie RODO | Poznań, Warszawa, Bydgoszcz