Obowiązki informacyjne administratora danych osobowych na gruncie RODO

Na gruncie RODO obowiązki informacyjne administratora danych osobowych uległy znacznemu poszerzeniu. Dotyczy to zarówno sytuacji, gdy dane zostały zebrane bezpośrednio od osoby, której dane dotyczą, jak i pośrednio, od innego podmiotu. W przypadku, gdy dane nie są zbierane bezpośrednio od osoby, której dane dotyczą, obowiązki informacyjne są znacząco szersze. Ogólną zasadą w obu przypadkach jest, że informacji należy udzielić osobie, której dane dotyczą, tylko w przypadku, gdy ta osoba dysponuje już tymi informacjami.

Poniżej przedstawiamy obowiązki informacyjne administratora wspólne zarówno dla sytuacji, gdy dane zostały zebrane od osoby, której dotyczą, jak i w sposób pośredni. 

  1. Obowiązek podania tożsamości administratora, danych kontaktowych oraz tożsamości i danych kontaktowych przedstawiciela administratora

Administrator musi przede wszystkim poinformować osobę, której dane dotyczą, o swojej tożsamości oraz danych kontaktowych. W stosunku do ustawy o ochronie danych osobowych (UODO), brak jest określenia wprost danych określających tożsamość administratora, które powinien on ujawnić. UODO stanowiła, iż administrator powinien podać pełną nazwę (w przypadku osób prawnych i jednostek organizacyjnych) oraz imię i nazwisko w przypadku osób fizycznych. Obecne wskazuje się na tożsamość administratora, a tożsamość może wymagać podania również numerów publicznych rejestrów (takich jak KRS, NIP, Regon, czy PESEL), aby nie zachodziła wątpliwość co do tożsamości, szczególnie w przypadku osób fizycznych.

W UODO była również mowa o obowiązku podania przez administratora adresu siedziby osoby prawnej lub jednostki organizacyjnej oraz o miejscu zamieszkania osoby fizycznej. W RODO mowa jest z kolei o „danych kontaktowych”. Pojęcie to należy rozumieć szeroko, a więc nie tylko jako adres siedziby lub zamieszkania administratora, ale także jego numer telefonu, faxu, poczty elektronicznej, formularza kontaktowego na stronie internetowej etc. Chodzi zatem o maksymalne ułatwienie dostępu osób, których dane dotyczą, do administratora ich danych osobowych.

Analogiczny zestaw informacji podlegających udostępnieniu dotyczy przedstawiciela administratora, o ile taki został ustanowiony. Dotyczy to sytuacji przetwarzania danych osób przebywających na terenie UE przez administratora niemającego jednostek organizacyjnych w Unii, w przypadku oferowania towarów lub usług takim osobom, których dane dotyczą, w Unii – niezależnie od tego, czy wymaga się od tych osób zapłaty albo monitorowania ich zachowania, o ile do zachowania tego dochodzi w Unii.

  1. Obowiązek podania danych kontaktowych inspektora ochrony danych

 Inspektor ochrony danych u administratora pełno na gruncie RODO analogiczną funkcję do administratora bezpieczeństwa informacji (ABI) na gruncie UODO. Konkluzje w zakresie pojęcia danych kontaktowych w przypadku inspektora ochrony danych są takie same, jak w przypadku administratora i jego przedstawiciela – udostępnieniu podlega nie tylko adres, ale i telefon, adres poczty elektronicznej etc. Dostępność inspektora ochrony danych dla osób, których dane dotyczą, w szczególności w przypadku incydentów naruszenia ochrony danych osobowych, jest niezwykle istotna. Podkreślić przy tym należy, że RODO nie wskazuje na konieczność podania tożsamości inspektora danych osobowych, czyli jego imienia i nazwiska. Informacje te zatem nie powinny być udostępniane osobom, których dane dotyczą.

  1. Obowiązek wskazania celów przetwarzania danych osobowych oraz podstawy prawnej przetwarzania.

Administrator powinien wskazać w sposób wyraźny i zrozumiały konkretny cel lub cele przetwarzania danych osobowych. Określenie celów powinno być starannie przemyślane, bowiem przetwarzanie danych w innym celu niż wskazany na początku będzie wymagało podania nowego celu oraz wszelkich niezbędnych rodzajów informacji podawanych już w przypadku przetwarzania w ramach pierwotnego celu, o ile uległy one zmianie w przypadku nowego celu.

Administrator musi także podać podstawę prawną przetwarzania. Oznacza to przede wszystkim wskazanie jednej z przesłanek legalizujących przetwarzanie danych, określonych w art. 6 ust. 1 RODO lub art. 9 ust. 1 RODO w przypadku danych o szczególnym charakterze (na gruncie UODO określonych w art. 27 oraz określanych w literaturze mianem sensytywnych lub wrażliwych). W przypadku, gdy dane osobowe są przetwarzane na podstawie szczegółowych uregulowań prawnych, należy podać zarówno przesłankę legalizującą z RODO, jak i tę szczegółową regulację.

  1. Obowiązek wskazania prawnie uzależnionych interesów realizowanych przez administratora lub przez stronę trzecią

 Jedną z przesłanek legalizujących przetwarzanie danych jest przypadek, w którym przetwarzanie to jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. Gdy administrator działa w swojej ocenie w oparciu o przedmiotową przesłankę, to jego obowiązkiem jest nie tylko poinformować, że ta przesłanka jest podstawą przetwarzania danych, ale także wskazać, jakie konkretnie prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią wchodzą w grę. W tym kontekście wskazać należałoby, że jeśli prawnie uzasadniony interes w przetwarzaniu danych ma strona trzecia, to osoba, której dane dotyczą, powinna być poinformowana o tożsamości tej strony.

  1. Obowiązek poinformowania o odbiorcach danych osobowych lub o kategoriach odbiorców, jeśli istnieją

 Odbiorca danych oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią (strona trzecia oznacza z kolei osobę fizyczną lub prawną, organ publiczny, jednostkę lub podmiot inny niż osoba, której dane dotyczą, administrator, podmiot przetwarzający czy osoby, które – z upoważnienia administratora lub podmiotu przetwarzającego – mogą przetwarzać dane osobowe). Jednakże organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są uznawane za odbiorców.

Jeśli dane mają być przekazywane odbiorcom danych, to administrator musi poinformować osobę, której dane dotyczą, o tożsamości tych odbiorców lub o kategoriach tych odbiorców. Zgodnie z RODO, obowiązek informacyjny w tym zakresie powinien być wypełniony najpóźniej w momencie pierwszorazowego ujawnienia danych temu odbiorcy.

Ustawodawca unijny jako alternatywę do przekazywania informacji o odbiorcach wskazał możliwość informowania o „kategoriach odbiorców”. Jak się wydaje, powinno to dotyczyć sytuacji, gdy krąg odbiorców jest znaczny, a ponadto nie jest to krąg zamknięty, ani znany w chwili wypełnienia obowiązku informacyjnego. Mogą to być np. klienci administratora, dostawcy administratora etc.

  1. Obowiązek przekazania informacji związanych z zamiarem przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej

Przedmiotowy obowiązek istnieje tylko wtedy, gdy administrator ma w ogóle zamiar przekazać dane do państwa trzeciego lub organizacji międzynarodowej. W takim przypadku administrator musi wskazać,  czy doszło lub nie do stwierdzenia Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi RODO, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych. Wskazane wyżej artykuły RODO dotyczą sytuacji, w których brak jest decyzji Komisji w zakresie stwierdzenia odpowiedniego stopnia ochrony. W takim przypadku administrator musi zapewnić odpowiednie zabezpieczenia (w tym poprzez ustanowienie wiążących reguł korporacyjnych) oraz że prawa osób, których dane dotyczą, będą egzekwowalne i zostaną im zapewnione skuteczne środki ochrony prawnej.

W razie braku decyzji Komisji stwierdzającej odpowiedni stopień ochrony lub braku odpowiednich zabezpieczeń określonych, w tym wiążących reguł korporacyjnych, dane osobowe mogą być przekazane do państwa trzeciego lub organizacji międzynarodowej tylko w szczególnych przypadkach wskazanych w art. 49 ust. 1 RODO.

 

INNE INFORMACJE NIEZBĘDNE DO ZAPEWNIENIA RZETELNOŚCI I PRZEJRZYSTOŚCI PRZETWARZANIA

 Administrator danych jest podać osobie, której dane dotyczą, również szereg innych informacji, które służą zapewnieniu zachowania zasad rzetelności przejrzystości przetwarzania. Jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym dane osobowe zostały zebrane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz udziela jej po raz kolejny wszelkich innych stosownych informacji wskazanych poniżej.

  1. Wskazanie okresu, przez który dane osobowe będą przechowywane

 Z uwagi na zasadę ograniczenia czasu przechowywania danych do okresu, w jakim są one niezbędne do spełnienia określonego celu przetwarzania, dane po tym okresie powinny być usunięte lub zanonimizowane. Administrator powinien podać albo wprost informację o okresie przetwarzania, a jeśli nie jest to możliwe, kryteria ustalania tego okresu – np. wykonanie umowy, zakończenie okresu świadczenia usługi etc.

  1. Podanie informacji o prawach osób, których dane dotyczą

Administrator zobowiązany jest przekazać osobom, których dane dotyczą, informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych.

Powyższe obowiązki informacyjne wiążą się w szczególności z zasadą prawidłowości danych oraz ograniczenia przetwarzania. Nowymi instytucjami na gruncie RODO jest prawo do ograniczenia przetwarzania danych oraz prawo do przenoszenia danych.

Prawo do ograniczenia przetwarzania danych w przypadkach związanych z RODO powoduje, że dane osobowe można przetwarzać, z wyjątkiem przechowywania, wyłącznie za zgodą osoby, której dane dotyczą, lub w celu ustalenia, dochodzenia lub obrony roszczeń, lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na ważne względy interesu publicznego Unii lub państwa członkowskiego.

Ciekawą, nową instytucją jest prawo do przenoszenia danych, mające zastosowanie w przypadku, gdy przetwarzanie odbywa się w sposób zautomatyzowany. Prawo to polega na tym, że osoba, której dane dotyczą, ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące, które dostarczyła administratorowi, oraz ma prawo przesłać te dane osobowe innemu administratorowi bez przeszkód ze strony administratora, któremu dostarczono te dane osobowe, jeżeli przetwarzanie odbywa się na podstawie zgody lub na podstawie umowy. W tym celu, zgodnie z RODO, należy zachęcać administratorów danych do opracowywania interoperacyjnych formatów, które umożliwiają przenoszenie danych.

  1. Podanie informacji o prawie wniesienia skargi do organu nadzorczego

 Administrator ma obowiązek poinformować osobę, której dane dotyczą, o prawie wniesienia skargi do organu nadzorczego. Jak się wydaje, aby prawo to mogło być efektywnie wykonane, należy poinformować tę osobę o pełnej nazwie organu oraz jego adresie. 

  1. Podanie informacji w zakresie wymogu podania danych

 Administrator informuje, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych. Obowiązek ten ma na celu przedstawienie osobie, której dane dotyczą, jej pełnej sytuacji prawnej w zakresie dobrowolności podania przez nią jej danych osobowych. Ta regulacja wynika z faktu, że częstokroć osoby, których dane dotyczą, nie wiedzą, z czego wynika potrzeba przetwarzania ich danych i jakie są konsekwencje ich niepodania. Dotyczy to w szczególności niezbędności podania określonych danych. Dotyczy to w szczególności takich danych, które zwykle nie są niezbędne do większości celów, jak telefon, adres e-mail, czy dane biometryczne.

  1. Podanie informacji o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu

Co do zasady, osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa. Profilowanie w świetle RODO oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.

Od prawa niepodlegania decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu RODO przewiduje następujące wyjątki, jeżeli ta decyzja:

a) jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem;
b) jest dozwolona prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator i które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą; lub
c) opiera się na wyraźnej zgodzie osoby, której dane dotyczą.

W takim przypadku, gdy podejmowanie decyzji w sposób zautomatyzowany jest prawnie dopuszczalne, administrator powinien przekazać osobie, której dane dotyczą, istotne informacje o zasadach podejmowania decyzji, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

 

DODATKOWE OBOWIĄZKI W PRZYPADKU POZYSKANIA DANYCH NIE OD OSOBY, KTÓREJ DANE DOTYCZĄ

 Z oczywistych względów, w razie pozyskania danych osobowych nie od osoby, której dane dotyczą, administrator danych będzie miał wobec tej osoby dodatkowe obowiązki informacyjne w stosunku do katalogu jego obowiązków w sytuacji, gdy zbiera dane osobowe od osoby, której one dotyczą.

Administrator w takim przypadku musi dodatkowo poinformować osobę, której dane dotyczą, o:

  1. kategoriach odnośnych danych osobowych, które są przetwarzane – a więc rodzaju przetwarzanych danych, np. imię, nazwisko, adres, data urodzenia etc.
  1. źródle pochodzenia danych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych.

 

TERMINY SPEŁNIENIA OBOWIĄZKÓW INFORMACYJNYCH

 W przypadku pozyskania danych osobowych od osoby, której dane dotyczą, wszelkie wskazane wyżej informacje powinny być tej osobie przekazane podczas pozyskiwania danych.

Z kolei w przypadku pozyskiwania danych osobowych nie od osoby, której dane dotyczą, z oczywistych względów administrator nie ma możliwości spełnienia swoich obowiązków informacyjnych podczas pozyskiwania danych. RODO ustanawia zatem w tym zakresie stosowne terminy w zależności od sytuacji. Wskazane wyżej informacje administrator podaje:

a) w rozsądnym terminie po pozyskaniu danych osobowych – najpóźniej w ciągu miesiąca – mając na uwadze konkretne okoliczności przetwarzania danych osobowych;
b) jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą – najpóźniej przy pierwszej takiej komunikacji z osobą, której dane dotyczą; lub
c) jeżeli planuje się ujawnić dane osobowe innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu.

 


CHCESZ DOWIEDZIEĆ SIĘ WIĘCEJ O RODO W TWOJEJ FIRMIE?
Prześlij nam swoje dane kontaktowe, skontaktujemy się.