Obowiązek informacyjny RODO
Obowiązek informacyjny administratora danych to, poza podstawą przetwarzania danych osobowych, jedna z najistotniejszych kwestii, o jakich musi pamiętać administrator.
O co chodzi?
Wyróżniamy dwa typy obowiązku informacyjnego, w zależności od tego od kogo są pobierane dane. Pierwszy, dotyczy sytuacji zbierania danych od osoby, której dane dotyczą i został uregulowany w art. 13 RODO. Drugi odnosi się do przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą i został opisany w art. 14 RODO.
Zgodnie z art. 13 RODO, administrator podczas pozyskiwania danych osobowych od danej osoby musi ją poinformować o:
- swojej tożsamość i wskazać swoje dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
- gdy ma to zastosowanie – danych kontaktowych inspektora ochrony danych;
- celach przetwarzania danych osobowych, oraz podstawach prawnych przetwarzania;
- jeżeli przetwarzanie odbywa się na podstawie prawnie uzasadnionego interesy realizowane przez administratora lub przez stronę trzecią należy wskazać ten prawnie uzasadniony interes;
- odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
- gdy ma to zastosowanie – zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych.
Ponadto, art. 13 ust. 2 RODO, przewiduje, że dla zapewnienia przejrzystości i rzetelności przetwarzania danych niezbędne jest, aby administrator poinformował również o:
- okresie, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteriach ustalania tego okresu;
- prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
- jeżeli przetwarzanie odbywa się na podstawie zgody – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
- prawie wniesienia skargi do organu nadzorczego;
- tym czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
- zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
Dodatkowo w przypadku, gdy dane pozyskiwane są w sposób inny niż od osoby, której dane dotyczą administrator ma obowiązek poinformować osoby, których dane przetwarza o źródle pochodzenia danych, a gdy ma to zastosowanie o tym czy pochodzą one ze źródeł publicznie dostępnych.
Jakie są najczęstsze błędy popełniane przez administratorów przy obowiązku informacyjnym?
W dotychczasowej ustawie o ochronie danych osobowych również był uregulowany obowiązek informacyjny. Nie był on tak rozbudowany jak w RODO, ale już w oparciu o dotychczasowe formuły informacyjne można wskazać najczęściej popełniane przez administratorów błędy.
Pierwszym z nich jest formułowanie informacji w sposób nieprzejrzysty i językiem mało przyjaznym dla odbiorców. Administratorzy zapominają, że informacje mają służyć nie tyle wypełnieniu obowiązku nałożonego przepisami prawami, tylko mają stanowić realny sposób udzielenia osobie, której dane są przetwarzane, podstawowych informacji związanych z przetwarzaniem jej danych. Sformułowanie informacji w taki sposób, aby wyjaśnić odbiorcom które dane, na jakiej podstawie przetwarza administrator i jakie prawa w odniesieniu do danych przysługują danej osobie, leży w interesie administratorów również dlatego, aby w oczach klientów i kontrahentów być postrzeganym jako rzetelna firma, która dba o przetwarzane dane osobowe.
Kolejnym błędem, który pojawia się bardzo często jest niewłaściwe wskazywanie tożsamości, czyli danych administratora danych. W przypadku, gdy administratorem danych jest osoba fizyczna prowadząca działalność gospodarczą niewłaściwe jest wskazywanie jedynie firmy tego przedsiębiorcy, gdyż administratorem nie jest firma tylko osoba fizyczna oznaczona imieniem i nazwiskiem prowadząca działalność gospodarczą pod określoną firmą. Konieczne jest również wskazanie głównej siedziby tj. zarówno miejscowości jak i adresu, numeru NIP oraz REGON. Natomiast w przypadku spółek koniecznej jest wskazanie firmy, jej siedziby, wskazanie sądu rejestrowego, numeru KRS, numeru NIP i REGON.
Często zdarza się również, że niewłaściwie wskazywane są podstawy przetwarzania danych. Do jednego celu podawane są np. dwie podstawy przetwarzania albo wskazywane są po prostu niewłaściwe podstawy jak np. w przypadku marketingu bezpośredniego usług własnych administratora danych.
Nasza rada – obowiązek informacyjny to jedno z podstawowych i kluczowych zobowiązań ciążących na administratorze danych. Jego błędna realizacji będzie pociągała za są daleko idące konsekwencji, gdyż niewłaściwie podana podstawa przetwarzania świadczy o tym, że samo przetwarzanie jest najprawdopodobniej realizowane w niewłaściwy sposób. W związku z powyższym, nie warto korzystać z dostępnych w Internecie gotowców i przygotować informację, która odpowiada temu które dane i na jakiej podstawie przetwarza dany administrator. Dodatkowo informację należy sformułować w sposób zgodny z dotychczasową komunikacją jaką prowadzi administrator ze swoimi klientami i kontrahentami.
