W przypadku zbierania danych osobowych od osoby, której dane dotyczą informacje o przetwarzaniu danych należy przekazać już w momencie zbierania tych danych. W tym przedmiocie GDPR nie zmienia za wiele. Podobną konstrukcję przewidywała już dyrektywa oraz UODO.

Szczególną uwagę należy zwrócić jednak na to, co uznamy za moment zbierania? W obecnej praktyce, za należyte spełnienie obowiązku informacyjnego uznajemy takie przekazanie tych informacji, które umożliwia jeszcze przed podaniem swoich danych zapoznanie się z nimi.

Obowiązek informacyjny może być spełniany w formie elektronicznej, na przykład za pomocą strony internetowej. Ustawodawca unijny wskazuje w motywie 58 preambuły, że w szczególności powinno to dotyczyć sytuacji, gdy duża liczba podmiotów i złożoność technologiczna działań sprawiają, że osobie, której dane dotyczą, trudno będzie dowiedzieć się i zrozumieć, czy dotyczące jej dane są zbierane, przez kogo oraz w jakim celu. Wskazuje się tutaj jako przykład kontekstowych reklam w Internecie, należy tutaj wskazać też  konkursy (gdy organizatorem jest kilka podmiotów).

W tym miejscu nasuwa się również pytanie o miejsce tak obszernego obowiązku informacyjnego. Niepraktyczne wydaje się umieszczanie obszernych klauzul pod formularzami zapisu np. do konkursu lub newslettera. Wskazywana w GDPR zasada przejrzystości nakazuje by informacje te były łatwo dostępne. Nic nie stoi jednak na przeszkodzie by takie informacje umieszczać w regulaminach konkursów, bądź w politykach prywatności. Oczywiście przy zachowaniu możliwości wcześniejszego zapoznania się z nimi przez osoby, których dane dotyczą.

Kiedy będziemy spełniać obowiązek informacyjny, gdy dane nie pochodzą od osoby, której dotyczą?

Zgodnie z art. 14 ust. 3 lit. a GDPR oraz motywem 61 Preambuły GDPR, jeżeli danych nie uzyskuje się od osoby, której dane dotyczą, lecz z innego źródła należy poinformować ją o tym wrozsądnym terminie, jednak nie później niż w ciągu miesiąca.

Trzeba mieć również na uwadze konkretne okoliczności przetwarzania danych osobowych. Jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą, obowiązek informacyjny powinniśmy spełnić najpóźniej przy pierwszej takiej komunikacji (art. 14 ust. 3 lit. b GDPR).

W przypadku, gdy możemy zgodnie z prawem udostępnić innemu odbiorcy dane osobowe, będziemy musieli poinformować o tym osobę, której dane dotyczą już w momencie pierwszorazowego ujawnienia danych odbiorcy (art. 14 ust. 3 lit. c GDPR). Należy jednak wskazać, że ten moment poinformowania będzie dotyczył tylko administratora, który pozyskał te informacje z innego źródła niż osoba, której dane dotyczą. Umiejscowienie tego obowiązku w art. 14 oraz odwołanie do informacji, które należy podać w przypadku pozyskania danych z innego źródła, pozwalają uznać, że w przypadku pozyskania danych bezpośrednio od osoby, której dane dotyczą, nie będziemy musieli w momencie pierwszego udostępnienia tych danych informować jej o tym. Pytanie czy w ogóle nie będziemy musieli?

Jeżeli oceniać ten przepis bardzo literalnie wówczas zastosowanie powinien mieć on tylko w wypadku, gdy administrator otrzymuje dane od innego administratora w celu ich dalszego udostępnienia. Otrzymując dane od innego administratora w celu np. wykonania dodatkowych usług przez innego administratora, który później udostępni te dane jeszcze dalej np. w celu marketingowym zastosowanie będzie miał już inny przepis, ponieważ zostanie zmieniony cel przetwarzania danych.

Gdy zmieniamy cel przetwarzania danych, musimy o tym poinformować

Jeżeli planujemy przetwarzać posiadane dane w innym celu niż ten, dla którego je zebraliśmy, powinniśmy przed rozpoczęciem przetwarzania poinformować o tym osobę, której dane dotyczą. Dotyczy to danych pozyskanych bezpośrednio od osób, których dane dotyczą, jak i z innych źródeł (art. 13 ust. 3 oraz art. 14 ust. 4 GDPR).

W praktyce będziemy musieli spełniać obowiązek informacyjny np. gdy wcześniej przetwarzaliśmy dane osobowe klienta w celu realizacji zawartej z nim umowy, a następnie zaczynamy przetwarzać dane o nim w celu sprofilowania oferty marketingowej dla niego.

Dodatkowo odnosząc się do wskazywanej w powyżej sytuacji udostępnienia danych innemu podmiotowi zastosowanie będzie miał tu art. 13 ust 3 GDPR, który wskazuje, że przed zmianą celu należy poinformować o tym osobę, której dane dotyczą. Nie będzie miał tu natomiast zastosowania art. 14 ust. 3 lit. c GDPR, który daje możliwość poinformowania o tym dopiero w momencie pierwszego udostępnienia danych.

Jakie informacje należy przekazać zmieniając cel? Powinny być to informacje o tym celu oraz informacje określone w art. 13 ust. 2 GDPR lub 14 ust. 2 GDPR, w zakresie jakim osoba ich nie posiada. Będziemy musieli poinformować wobec tego o:

  1. okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
  2.  prawie do:
  • żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą,
  • ich sprostowania, usunięcia lub ograniczenia przetwarzania lub
  • wniesienia sprzeciwu wobec przetwarzania, a także
  • przenoszenia danych;
  • cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem jeżeli przetwarzanie odbywa się na podstawie zgody na przetwarzanie danych zwykłych (art. 6 ust. 1 lit. a) GDPR) lub szczególnej kategorii (art. 9 ust. 2 lit. a) GDPR).
  • wniesienia skargi do organu nadzorczego;

3.informacji, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;

4. informacji o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

5. kategoriach odnośnych danych osobowych

6. źródle pochodzenia danych osobowych, a jeżeli ma to zastosowanie, o pochodzeniu ich ze źródeł powszechnie dostępnych-

O punktach 5 i 6 informujemy tylko w przypadku pozyskania danych z innego źródła niż osoba, której dane dotyczą.

Kiedy nie musimy spełniać obowiązku informacyjnego?

Realizacja obowiązku udzielenia informacji nie jest jednak konieczna (niezależnie od źródła pozyskanych danych), jeżeli osoba, której dane dotyczą, dysponuje już tymi informacjami (art. 13 ust. 4 oraz art. 14 ust. 5 lit. a GDPR).

Dodatkowo w przypadku, gdy pozyskamy dane osobowe z innego źródła niż osoba, której dane dotyczą, nie musimy spełniać obowiązku informacyjnego w przypadku, gdy:

a) okaże się to niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku. Sytuacja ta może zachodzić w szczególności w przypadku, gdy przetwarzanie służy celom archiwalnym w interesie publicznym, celom badań naukowych lub historycznych lub celom statystycznym o ileobowiązek informacyjny może uniemożliwić lub poważnie utrudnić realizację celów przetwarzania (art. 14 ust. 5 lit. b GDPR). Zgodnie z motywem 62 preambuły uwzględnić przy tym jednak należy także liczbę osób, których dane dotyczą, okres przechowywania danych oraz wszelkie przyjęte zabezpieczenia (określone w art. 89 ust. 1 GDPR); Poprzez użycie słowa „w szczególności” możemy uznać, że cele archiwalne, badań naukowych lub cele statystyczne są tylko sytuacjami  przykładowymi. Nie spełnienie obowiązku z tego tytułu jest możliwe wobec tego  też w innych sytuacjach o ile jego spełnienie będzie niemożliwe lub wymagać będzie niewspółmiernie dużego wysiłku, a także utrudni lub uniemożliwi realizację celów przetwarzania danych.

b) pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą (art. 14 ust. 5 lit. c GDPR);

c) dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy (art. 14 ust. 5 lit. d GDPR).

Podsumowanie

Ogólne rozporządzenie o ochronie danych osobowych w przeciwieństwie do UODO inaczej normuje kwestie momentu spełniania obowiązku informacyjnego w szczególności doprecyzowując ten moment. W GDPR pozostawiono konstrukcję poinformowania o zmianie celu przetwarzania danych. Odmiennie jednak niż ma to miejsce w UODO musimy poinformować tylko o informacjach, które zmieniły się w związku ze zmianą celu. Na gruncie UODO mieliśmy przekazać informacje z art. 25 UODO (np. o źródle danych) w przypadku danych pozyskanych od osoby, której dane dotyczą. W GDPR już nie musimy o tym informować. Podobnie również uregulowano sytuacje w których nie musimy spełniać obowiązku informacyjnego. Zmiany wobec tego są, jednak nie wpływają one znacznie na zmiany w realizacji obowiązku informacyjnego.

Autor: Maciej Chodorowski

Related Post