Co to jest obowiązek informacyjny?
Od momentu kiedy weszło w życie RODO jednymi z najczęściej zadawanych pytań są co to jest obowiązek informacyjny? Co powinien zawierać obowiązek informacyjny? Kiedy należy spełnić obowiązek informacyjny i jak go spełnić?
Na wszystkie te pytania postaram się odpowiedzieć w prosty sposób w tym tekście.
Kto powinien spełnić obowiązek informacyjny?
Obowiązek informacyjny wynikający z RODO został przewidziany w art. 13 i 14 RODO – w zależności od kogo pozyskujemy dane. Jest to zbiór informacji jakie podmiot zbierający i wykorzystujący dane osobowe (administrator danych osobowych) ma obowiązek przekazać osobie której dane osobowe dotyczą czyli najprościej ujmując musisz przekazać te informacje za każdym razem kiedy uzyskujesz dane osobowe nowej osoby albo wykorzystujesz te które posiadasz w innym celu niż dotychczas.
Przykład: zakładasz sklep internetowy i będziesz pobierał od klientów dane do wysyłki
prowadzisz zakład fryzjerski i masz system w którym wpisujesz dane klientów i wykonywane im zabiegi pielęgnacyjne i stosowane farby
Kiedy należy spełnić obowiązek informacyjny?
Termin spełnienia obowiązku informacyjnego zależy od osoby od której pozyskujesz dane osobowe tj. od kogo je pozyskujesz. Tak więc, jeżeli:
– pozyskujesz dane osobowe od osoby której te dane dotyczą obowiązek informacyjny musi zostać podany podczas pozyskiwania danych osobowych np. na etapie składania zamówienia czy podpisywania umowy
– pozyskujesz dane osobowe od innego podmiotu niż osoba której dane dotyczą – obowiązek informacyjny należy przekazać w rozsądnym terminie po pozyskaniu danych osobowych, ale nie później niż w ciągu miesiąca, mając na uwadze konkretne okoliczności przetwarzania danych osobowych. Co do tego terminu występują 2 wyjątki: (1) jeżeli dane są wykorzystywane do komunikacji z osobą, której dane dotyczą, wtedy obowiązek informacyjny należy przekazać najpóźniej przy pierwszej komunikacji z osobą, której dane dotyczą i (2) jeżeli planujesz ujawnić te dane osobowe innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu.
Jak należy spełnić obowiązek informacyjny?
Równie ważny jak spełnienie obowiązku informacyjnego jest sposób jego spełnienia, zgodnie z zasadami które zostały określone w RODO. Przede wszystkim obowiązek informacyjny powinien był przekazany w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie. Dbaj więc o to żeby Twój obowiązek informacyjny był łatwy w odbiorze i zrozumiały dla osób do których jest skierowany. Ściana tekstu napisana trudnym, ustawowym językiem albo małą czytelną czcionką raczej tych zasad nie spełni.
Jako administrator musisz przestrzegać zasady rozliczalności i rzetelności, musisz więc sam zdecydować jak w sytuacji pobierania przez Ciebie danych będzie najłatwiej przekazać obowiązek informacyjny. Polecanym sposobem przekazanie obowiązku informacyjnego następowało w jednym dokumencie np. polityce prywatności czy też załączniku do umowy.
Z uwagi na ogrom informacji jakie zawiera obowiązek informacyjny, aby zachować przejrzystość zaleca się podzielenie informacji na konkretne sekcje i możliwe jest ich warstwowe przekazanie tzn. przekazanie od razu najważniejszych informacji a w dodatkowym dokumencie (np. polityka prywatności, informacja o danych osobowych). Ważne jest aby w pierwszej warstwie, wskazywanej osobie, której dane dotyczą w momencie gdy podaje swoje dane znajdywały się takie informacje jak tożsamość administratora, cele przetwarzania danych osobowych oraz prawa jakie przysługują tej osobie. W tym miejscu należy też zamieścić informację o tym gdzie znajdują się pozostałe informacje, w przypadku internetu – wraz z linkiem do tego dokumentu.
Co powinien zawierać obowiązek informacyjny?
To zależy czy dane pozyskujesz bezpośrednio od osoby której dotyczą czy też od osoby trzeciej. Zaczniemy od osoby, której dane dotyczą, bo taki przypadek zdarza się częściej.
Pozyskiwanie danych osobowych od osoby której dane dotyczą
Zakres informacji jakie powinny znaleźć się w obowiązku informacyjnym jeżeli dane pozyskujesz od osoby której dane dotyczą zostały wprost wskazane w art. 13 RODO i są to:
- twoja tożsamość i dane kontaktowe oraz, jeżeli wyznaczyłeś przedstawiciela – jego tożsamość i dane kontaktowe;
- jeżeli wyznaczyłeś inspektora ochrony danych – jego dane kontaktowe;
- cele w jakich będą przetwarzane dane osobowe oraz podstawę prawną ich przetwarzania (jedną z wymienionych w art. 6 RODO);
- jeżeli wskazujesz, że przetwarzanie danych odbywa się na podstawie twojego prawnie uzasadnionego interesu (podstawa wskazana w art. 6 ust. 1 lit. f RODO) musisz wskazać ten interes;
- jeżeli przekazujesz komuś dane – informacje o odbiorcach danych osobowych lub o kategoriach odbiorców;
- gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu;
- udostępnienia danych. okres, przez który dane osobowe będziesz przechowywał dane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
- informacje o prawach przysługujących osobie której dane dotyczą tj. prawo do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
- jeżeli przetwarzanie odbywa się na podstawie zgody informację o prawie do jej cofnięcia w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
- informacje o prawie wniesienia skargi do organu nadzorczego (Urzędu Ochrony Danych Osobowych);
- informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
- informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
Pozyskiwanie danych osobowych od innej osoby, niż osoba której dane dotyczą
Zakres informacji jakie powinny znaleźć się w obowiązku informacyjnym dla osoby której dane osobowe dotyczą, jeżeli dane pozyskujesz od innej osoby został wskazany w art. 14 RODO:
- twoja tożsamość i dane kontaktowe oraz, jeżeli wyznaczyłeś przedstawiciela – jego tożsamość i dane kontaktowe;
- jeżeli wyznaczyłeś inspektora ochrony danych – jego dane kontaktowe;
- cele w jakich będą przetwarzane dane osobowe oraz podstawę prawną ich przetwarzania (jedną z wymienionych w art. 6 RODO);
- jeżeli wskazujesz, że przetwarzanie danych odbywa się na podstawie twojego prawnie uzasadnionego interesu (podstawa wskazana w art. 6 ust. 1 lit. f RODO) musisz wskazać ten interes;
- kategorie odnośnych danych osobowych;
- jeżeli przekazujesz komuś dane – informacje o odbiorcach danych osobowych lub o kategoriach odbiorców;
- gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu;
- okres, przez który będziesz przechowywał dane osobowe, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
- informacje o prawach przysługujących osobie której dane dotyczą tj. prawo do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
- jeżeli przetwarzanie odbywa się na podstawie zgody informację o prawie do jej cofnięcia w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
- informacje o prawie wniesienia skargi do organu nadzorczego (Urzędu Ochrony Danych Osobowych);
- informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
[…] Szczegółowe informacje o sposobie spełnienia obowiązku informacyjnym znajdziesz TUTAJ. […]