W związku z ogłoszonym niedawno planem kontroli sektorowych na 2024 r., zgodnie z którym Urząd Ochrony Danych Osobowych planuje skontrolowanie m.in. podmiotów prywatnych, w zakresie prawidłowości spełniania obowiązku informacyjnego określonego w przepisach RODO, w dzisiejszym wpisie przypominamy, czym taki obowiązek jest oraz w jaki sposób powinien być on realizowany.
Czym jest obowiązek informacyjny.
Obowiązek informacyjny to nałożony na Administratora Danych Osobowych wymóg przekazania osobie, której dane są przetwarzane , zestawu określonych informacji dotyczących przetwarzania. Ich katalog wskazany został w art. 13 i 14 RODO, a do informacji tych należą:
- Tożsamość i dane kontaktowe Administratora oraz Inspektora Ochrony Danych (jeżeli został ustanowiony);
- Cele oraz podstawy przetwarzania danych;
- Wskazanie odbiorców danych lub kategorii odbiorców;
- Planowany okres przechowywania danych;
- Prawa przysługujące osobie, której dane dotyczą;
- Wskazanie, czy podanie danych jest obowiązkowe, czy dobrowolne oraz poinformowanie
o ewentualnych konsekwencjach odmowy podania danych; - Zamiar przekazywania danych do państw trzecich;
- Zamiar zautomatyzowanego przetwarzania danych osobowych, w tym profilowania;
- W przypadku, gdy dane zostały pozyskane w sposób inny, niż od osoby, której dotyczą – informację o źródle danych.
W jakiej formie zrealizować obowiązek informacyjny.
Przepisy nie wskazują konkretnej formy, w jakiej należy przedstawić wskazane powyżej informacje. Warto jednak mieć na uwadze wynikającą z RODO zasadę rozliczalności, zgodnie z którą Administrator powinien być w stanie udowodnić fakt zrealizowania nałożonych na niego obowiązków. W związku z tym, najczęściej wybieraną metodą przekazywania informacji dotyczących przetwarzania danych jest stosowanie tzw. pisemnych klauzul informacyjnych (nazywanych też klauzulami RODO, obowiązkiem informacyjnym RODO). Forma przekazania klauzuli informacyjnej powinna zostać dopasowana do sposobu zbierania danych osobowych, tak więc w przypadku pozyskiwania danych w formie elektronicznej (np. formularze kontaktowe, zapisy na newslettera, zakupy online), powinniśmy umieścić klauzulę w wersji elektronicznej na stronie, na której zbierane są dane, np. bezpośrednio pod formularzem. W przypadku zbierania danych z wykorzystaniem formularzy papierowych, informacja o przetwarzaniu danych również powinna mieć wersję papierową, natomiast jeżeli dane zbierane będą w ramach rozmowy telefonicznej, możliwe jest odtwarzanie komunikatu głosowego przedstawiającego wszystkie niezbędne informacje.
Tworząc klauzulę informacyjną pamiętać należy również o tym, że informacja o przetwarzaniu danych powinna zostać sformułowana w zwięzłej, przejrzystej i łatwo zrozumiałej formie, dostosowanej do jej odbiorcy, co biorąc pod uwagę zakres wymaganych do przekazania informacji, nie jest rzeczą łatwą i klauzule informacyjne swoją obszernością często zniechęcają do zapoznawania się z ich pełną treścią, a osoby którym udało się przeczytać je do końca, nie zawsze rozumieją treść przekazanych informacji.
Kiedy zrealizować obowiązek informacyjny?
Zgodnie z przepisami RODO, obowiązek informacyjny należy spełnić najpóźniej w chwili zbierania danych osobowych od osoby, której dane dotyczą, a w przypadku pozyskania danych z innych źródeł (np. z publicznych rejestrów lub za pośrednictwem innej osoby) w rozsądnym, jak najszybszym terminie po pozyskaniu danych osobowych, jednak nie później niż w ciągu miesiąca.
Obowiązek informacyjny – wyjątki zwalniające z jego realizacji.
Na zakończenie warto wskazać okoliczności zwalniające Administratora z realizacji obowiązku informacyjnego.
Zgodnie z przepisami RODO, realizacja obowiązku informacyjnego nie jest wymagana w sytuacji, gdy:
- Osoba, której dane dotyczą dysponuje już tymi informacjami, co Administrator jest w stanie udowodnić;
- Udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku; w szczególności w przypadku przetwarzania do celów archiwalnych
w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, z zastrzeżeniem zastosowania odpowiednich warunków i zabezpieczeń przewidzianych przez RODO; - Pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlega Administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą;
- Dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy.
Podsumowując...
Powyżej staraliśmy się w sposób jak najbardziej zwięzły i zrozumiały przedstawić Państwu pokrótce zasady dotyczące realizacji obowiązku informacyjnego wynikające z przepisów RODO.
Z naszego wieloletniego doświadczenia wiemy, że opracowanie prawidłowych klauzul informacyjnych oraz stworzenie procedur określających zasady realizacji obowiązku informacyjnego wymaga specjalistycznej wiedzy oraz uwzględnienia specyfiki prowadzonej działalności. Korzystanie
z gotowych wzorów znalezionych w Internecie nie daje gwarancji prawidłowego wypełnienia obowiązków wynikających z art. 13 i 14 RODO, a co za tym idzie, naraża Państwa działalność na kary finansowe.
Dlatego też mając na uwadze ogłoszoną niedawno zapowiedź kontroli wśród podmiotów prywatnych, zachęcamy do skorzystania z naszych usług, w ramach których przygotujemy dla Państwa odpowiednie wzory klauzul informacyjnych i stworzymy procedury ich realizacji lub też przeanalizujemy stosowane przez Państwa dokumenty i dostosujemy je do obowiązujących wymagań.