Wraz z wejściem w życie RODO zostały nałożone na administratora danych obowiązki poinformowania osób, których dane dotyczą o przetwarzaniu ich danych osobowych.
Obowiązek ten zakłada, że osoba, której dane są przetwarzane ma prawo do uzyskania informacji na temat przetwarzania jej danych osobowych. Powinien on zostać wykonany gdy administrator pozyska dane osobowe. RODO rozróżnia dwa sposoby pozyskania danych osobowych. Bezpośrednio od osoby, której one dotyczą oraz w sytuacji gdy gromadzimy dane z innych źródeł – pośrednich.
Jak wskazuje motyw 60 preambuły RODO obowiązek ten ma na celu poinformowanie osoby, które dane są przetwarzane o fakcie przetwarzania jej danych oraz o celach takiego przetwarzania. Obowiązek taki powinien zawierać szereg informacji, które mają zapewnić rzetelność i przejrzystość przetwarzania.
Obowiązek informacyjny powinien zostać wypełniony w momencie zbierania danych osoby, której dane dotyczą lub bezpośrednio przed ich zebraniem.
RODO pozostawia administratorowi swobodę w zakresie wyboru formy spełnienia obowiązku informacyjnego. Forma spełnienia obowiązku może zostać dopasowana do sposobu zbierania danych osobowych.
Spełniając obowiązek informacyjny administrator zobowiązany jest do poinformowania osoby, której dane dotyczą na jakiej podstawie prawnej przetwarzane są jej dane. Aby przetwarzanie było zgodne z prawem konieczne jest oparcie przetwarzania na jednej z wymienionych w art. 6 RODO podstaw, tj.:
- osoba, której dane dotyczą wyraziła zgodę na przetwarzanie;
- przetwarzanie jest niezbędne do wykonania umowy;
- przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego;
- przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą;
- przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym;
- przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionego interesu administratora.
W zakresie szczególnych kategorii danych, których przetwarzania co do zasady RODO zabrania istnieje możliwość przetwarzania tych danych w oparciu o zgodę określoną w art. 9 ust. 2 RODO.
Wskazana w klauzuli informacyjnej podstawa prawna powinna odzwierciedlać faktyczną podstawę przetwarzania danych. Ponadto należy pamiętać, że oparcie przetwarzania na różnych podstawach powoduje powstanie dodatkowych praw dla osób, których dane są przetwarzane jak i obowiązków dla administratora danych.
Zgodnie z art. 7 RODO aby przetwarzać dane osobowe na podstawie zgody osoby, której dane dotyczą administrator musi móc wykazać, że zgoda taka została wyrażona. Ponadto, treść zgody powinna być zrozumiała oraz napisana jasnym i prostym językiem. Co więcej wyrażenie zgody przez osobę, której dane dotyczą musi być dobrowolne. Jeżeli zgoda nie będzie spełniać warunków określonych w RODO nie jest ona wiążąca.
RODO przewiduje, że dziecko, które ukończyło 16 lat (wiek ten może być przez poszczególne kraje członkowskie obniżony do 13 lat) może samodzielnie wyrazić zgodę na przetwarzanie danych osobowych w przypadku usług społeczeństwa informacyjnego, które są oferowane bezpośrednio dziecku. W przypadku młodszych dzieci zgoda musi zostać wyrażona przez rodzica lub opiekuna prawnego.
Należy pamiętać, że wyrażona zgoda może być w każdym momencie wycofana. Od momentu wycofania zgody, administrator traci podstawę do przetwarzania danych. Oczywiście, wycofanie zgody nie ma wpływu na zgodność z prawem przetwarzania, które miało miejsce przed wycofaniem zgody. Ponadto, forma wycofania zgody musi być równie prosta jak jej wyrażenie. O prawie do wycofania zgody, osoba, której dane dotyczą musi zostać poinformowana nie później niż w momencie wyrażenia zgody.
Zadaj pytanie ekspertowi
Masz pytanie związane z RODO i potrzebujesz porady?
Świetnie trafiłeś! Od 18 lat zapewniamy wsparcie w zakresie ochrony danych osobowych.