Ustawodawca unijny znacznie rozszerzył katalog informacji, jakie należy przekazać osobie, której dane dotyczą. To właśnie dzięki nowym obowiązkom informacyjnym prawo prywatności wkracza w XXI wiek. Pod reżimem GDPR osoby, których dane dotyczą będą posiadały większą wiedzę na temat tego jak dokładnie wygląda przetwarzanie ich danych. Z jednej strony większe prawa dla obywateli, a z drugiej strony większe obciążenia dla ADO, którzy od 25 maja 2018 r. będą musieli dokładniej uzasadniać przetwarzanie danych osobowych.

Na wstępie pragnę zaznaczyć, iż mimo wyraźnie wskazanego katalogu informacji, które powinny być udostępnione, wciąż istnieją poważne problemy interpretacyjne. Na obecną chwilę nie jesteśmy w stanie przekazać ostatecznej propozycji informacji, jakie powinny być udostępniane osobom, których dane dotyczą. Artykuł ma na celu zarysowanie zakresu informacji, jakie powinny być przekazywane. Przesłankom spełniania obowiązku informacyjnego oraz momentowi jego spełnienia poświęcony jest natomiast ten artykuł.

Jakie informacje należy przekazać osobom, których dane dotyczą?

Motyw 60 preambuły GDPR wskazuje nam, że osoba, której dane dotyczą, musi być poinformowana o prowadzeniu operacji przetwarzania i o jego celach. Poza tym administrator powinien podać wszelkie inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania, uwzględniając konkretne okoliczności i kontekst przetwarzania danych osobowych.

Dodatkowo należy poinformować o fakcie profilowania oraz o konsekwencjach takiego profilowania. W przypadku zbierania danych od osoby, której dane dotyczą, należy wskazać, czy ma ona obowiązek je podać, oraz o konsekwencjach ich niepodania.

O czym powinniśmy poinformować zbierając dane od osoby, której dane dotyczą?

W przypadku, gdy zbieramy dane osobowe, od osoby której dane dotyczą zgodnie z art. 13 ust. 1 i 2 GDPR powinniśmy poinformować ją o:

a) swojej tożsamości i danych kontaktowych oraz tożsamość i danych kontaktowych swojego przedstawiciela, jeżeli istnieje;

b) danych kontaktowy inspektora ochrony danych (jeżeli go powołaliśmy)- nowość

c) celach przetwarzania, do których mają posłużyć dane osobowe,

d) podstawie prawnej przetwarzania; – nowość

f) prawnie uzasadnionym interesie realizowanym przez administratora lub przez stronę trzecią – jeżeli przetwarzanie odbywa się na podstawie prawnie usprawiedliwionego interesu ADO (art. 6 ust. 1 lit. f));- nowość

g) odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;

h) transferze danych do państwa trzeciego, w tym o:

  • zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – nowość
  • stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony –nowość
  • lub wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych w przypadku przekazania danych do państwa trzeciego , o którym mowa w art. 46 , art. 47 lub art. 49 ust. 1 akapit drugi, – nowość

i) okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu; – nowość

j) prawie do:

  • żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą,
  • ich sprostowania, usunięcia lub ograniczenia przetwarzania lub
  • wniesienia sprzeciwu wobec przetwarzania, a także
  • przenoszenia danych; – nowość

k) prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem jeżeli przetwarzanie odbywa się na podstawie zgody na przetwarzanie danych zwykłych (art. 6 ust. 1 lit. a) GDPR) lub szczególnej kategorii (art. 9 ust. 2 lit. a) GDPR). – nowość

l) prawie wniesienia skargi do organu nadzorczego; – nowość

m) informacji, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;

n) informacji o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą. – nowość

O czym powinniśmy poinformować zbierając dane z innego źródła niż osoba, której dane dotyczą?

W przypadku, gdy zbieramy dane osobowe, od innego źródła niż od osoby której dane dotyczą zgodnie z art. 14 ust. 1 i 2 GDPR powinniśmy poinformować ją o:

a) informacjach z punktów a-l oraz n wskazanych powyżej

b) kategoriach odnośnych danych osobowych- nowość

c) źródle pochodzenia danych osobowych, a jeżeli ma to zastosowanie, o pochodzeniu ich ze źródeł powszechnie dostępnych

W jakiej formie mamy spełniać obowiązek informacyjny?

Powyższe informacje administrator danych powinien przekazać w formie zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej oraz jasnym i prostym językiem w szczególności gdy informacje są kierowane do dziecka (art. 12 ust. 1 GDPR).

Klauzulę informacyjną można opatrzyć też standardowymi znakami graficznymi, które w widoczny, zrozumiały i czytelny sposób przedstawią sens zamierzonego przetwarzania (Art. 12 ust. 7 GDPR).

Obowiązek informacyjny możemy spełnić na piśmie lub w inny sposób, w tym w stosownych przypadkach – elektronicznie. Jednak jeżeli w treści obowiązku informacyjnego zastosowano znaki, a są one przedstawione elektronicznie, muszą nadawać się do odczytu maszynowego. Dodatkowo spełnienie obowiązku informacyjnego w stosunku do osób musi być wolne od opłat.

Podsumowanie

GDPR znaczenie rozszerza obowiązki informacyjne w stosunku do osób, których dane dotyczą. Administratorzy danych będą musieli przekazać podmiotom danych informacje w dużo szerszym zakresie niż to ma miejsce pod UODO. Zmiany w obowiązku informacyjnym należy uznać jako wielki przełom dla ochrony prywatności osób, których dane dotyczą. Podawanie tak szerokiego zakresu informacji, a także wysokie kary za ich brak będzie wymuszało na ADO dostosowanie swojej działalności do zgodności z GDPR.

Należy pamiętać o tym, że klauzule informacyjne są pierwszym miejscem które sprawdzą inspektorzy GIODO. Ich brak zostanie natomiast uznany za ciężkie naruszenie ochrony danych osobowych (zgodnie z art. 83 ust. 5 lit. b) GDPR). W związku z czym przedmiotowe naruszenie będzie zagrożone karą do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

W obecnej chwili nie jesteśmy w stanie przewidzieć jak konkretne będą wyglądały klauzule informacyjne w dniu rozpoczęcia obowiązywania GDPR (tj. 25 maja 2018 r.). Sposób uregulowania tej kwestii pojęciami otwartymi, powoduje problemy z ich obecną interpretacją. Mamy jednak nadzieję, że w ciągu dwóch następnych lat uda nam się ustalić jednolite rozumienie rozporządzenia w tej kwestii, a co za tym, ustalić dokładne informacje jakie należy przekazać osobie, której dane dotyczą by zadośćuczynić zasadom rzetelnego i przejrzystego przetwarzania danych osobowych.

Related Post

UDOSTĘPNIJ
Poprzedni artykułBaza wiedzy
Następny artykuł800 aktów prawnych do przejrzenia przed początkiem stosowania rozporządzenia GDPR
m.chodorowski@omnimodo.com.pl'
Redaktor naczelny portalu. Maciek jest prawnikiem- absolwentem WPiA UMCS w Lublinie. Doświadczenie zawodowe zdobywał w firmach konsultingowych zajmujących się bezpieczeństwem informacji. Specjalizacją Maćka jest legalizacja przetwarzania danych w Internecie oraz problematyka powiązań danych osobowych z tajemnicą przedsiębiorstwa. Obsługuje podmioty z szeroko pojętej branży produkcyjnej, e-commerce oraz kreatywnej. Poza pracą miłośnik biegów długodystansowych oraz marketingu prawniczego.