Administrator danych, zgodnie z art. 13 i 14 RODO, ma obowiązek przekazać osobom, których dane są przetwarzane szereg informacji i powinien to uczynić podczas albo po pozyskaniu danych. Jest to jeden z istotniejszych obowiązków wynikających z RODO, który niekiedy przysparza licznych problemów administratorom.
Co to jest ten obowiązek informacyjny?
Zgodnie z art. 13 i 14 RODO w momencie pozyskania danych osobowych bezpośrednio od danej osoby albo w inny sposób, należy spełnić obowiązek informacyjny (OI). Krótko mówiąc, jest to ogólne przedstawianie administratora, jego danych kontaktowych oraz istotnych informacji o samym przetwarzaniu (cel, podstawa prawna, okres retencji, odbiorcy etc.).
Dlaczego (tak) ważny?
Z jednej strony brak spełnienia obowiązku informacyjnego może się wydawać błahym uchybieniem, które można potem naprawić. Jednakże należy pamiętać, że – w przypadku zbierania danych bezpośrednio od osoby – OI musi być zrealizowany w momencie pozyskania danych. Nie można po prostu „doinformować” danej osoby w późniejszym terminie. Nieco inaczej sprawa wygląda przy pozyskaniu danych z innego źródła – tu przepisy RODO pozwalają na przekazanie informacji w czasie miesiąca lub przy pierwszym kontakcie z osobą. W przypadku braku spełnienia tego wymogu na administratora czekają surowe kary, jak również perspektywa potencjalnej kontroli.
Obowiązek informacyjny jest ściśle związany z jedną z podstawowych zasad – zgodności z prawem, rzetelności i przejrzystości przetwarzania. Osoba, której dane są przetwarzane, powinna być świadoma tego, że administrator przetwarza lub zamierza przetwarzać jej dane osobowe. Posiadanie takiej wiedzy umożliwia podmiotowi podejmowanie decyzji dotyczących przetwarzania danych oraz pozwala na reakcję w przypadku naruszenia jej praw lub wolności. Prawo do uzyskania informacji na temat przetwarzania danych warunkuje możliwość korzystania z innych praw przysługujących podmiotowi danych (trudno bowiem wnioskować o kopię danych, wycofać zgodę lub wnieść sprzeciw, jeśli nie znamy np. tożsamości administratora).
Co należy przekazać?
W celu realizacji tego obowiązku administrator (ADO) musi przedstawić następujące informacje:
- dotyczące swojej tożsamości i danych kontaktowych. W przypadku, gdy jest to stosowne, administrator powinien również udostępnić informacje dotyczące tożsamości i danych kontaktowych swojego przedstawiciela;
- gdy jest powołany- dane kontaktowe Inspektora Ochrony Danych;
- cele przetwarzania danych osobowych oraz podstawę prawną przetwarzania- tu ADO musi wskazać, po co ogólnie zbiera od nas dane (np. w celu świadczenia usługi) oraz podstawę z art. 6 ust. 1RODO;
- jeśli ADO powołuje się na uzasadniony interes (lit. f), to musi zostać wskazany;
- informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
- gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej;
- okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
- informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania, lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
- jeśli przetwarzanie odbywa się na podstawie zgody (lit. a) to należy przedstawić informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
- informację o prawie wniesienia skargi do organu nadzorczego (czyli do Prezesa Urzędu Ochrony Danych Osobowych);
- informację czy podanie danych osobowych jest wymogiem ustawowym lub umownym, lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
- informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4 RODO, oraz-przynajmniej w tych przypadkach-istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
Co nie jest elementem obowiązku informacyjnego?
Obowiązek informacyjny dotyczący zbierania danych bezpośrednio od osoby, której dane dotyczą, nie jest absolutny. Jeśli spełniamy OI na podstawie art. 13 RODO, istnieje jeden wyjątek – administrator danych nie jest zobowiązany do informowania osoby, której dane dotyczą, jeżeli ta osoba już posiada informacje, które miałyby być przekazane. Oznacza to, że administrator może zrezygnować z obowiązku informacyjnego podczas zbierania danych od osoby, której dane dotyczą, jeśli może udowodnić, że ta osoba już posiada wszystkie informacje, które miałyby być przekazane. Jeśli spełniamy OI na podstawie art. 14 RODO wyjątków jest więcej:
- analogiczne do art. 13 RODO – osoba posiada już dane informacje;
- udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku; w szczególności w przypadku przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych, lub do celów statystycznych;
- pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii, lub prawem państwa członkowskiego, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą;
- dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy.
Podmiot przetwarzający czy administrator– kto ponosi odpowiedzialność?
Kary w Polsce za brak obowiązku informacyjnego
Za brak spełnienia OI administrator może otrzymać administracyjną karę pieniężną, jak również Prezes UODO może nakazać spełnienie tego obowiązku. Naruszenie art. 13 i 14 RODO może prowadzić do wysokich kar, przy czym pierwsza nałożona przez UODO kara finansowa (w decyzji ZSPR.421.3.2018 PUODO o wysokości 943 470,00 zł) dotyczyła właśnie naruszenia art. 14 ust. 1 i 2 RODO. Kwestia ta jest przedmiotem niesłabnącego zainteresowania Urzędu, o czym świadczą liczne stanowiska i opnie (np. dotyczące spełnienia OI w izbach wytrzeźwień w lasach państwowych, czy przy umowach handlowych).
Źródła:
- Fajgielski [w:] Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, wyd. II, Warszawa 2022, art. 13, art. 14