GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

Obowiązek informacyjny w praktyce – po co, kiedy i gdzie?

Obowiązek informacyjny w praktyce – po co, kiedy i gdzie?

O obowiązku informacyjnym słów kilka

Jednym z głównych obowiązków nałożonych na administratorów danych osobowych przez przepisy RODO jest obowiązek informacyjny, który w określonych sytuacjach musi być spełniony w stosunku do osoby, której dane dotyczą.

Prawodawca unijny znacznie rozszerzył katalog informacji, jakie należy przekazać takiej osobie w porównaniu do przepisów „starej” ustawy o  ochronie danych osobowych.

Po wejściu w życie RODO osoby, których dane dotyczą mają prawo do uzyskania szerokiego wachlarza informacji na temat przetwarzania ich danych osobowych przez administratora. Motyw 60 preambuły RODO wskazuje że osoba, której dane dotyczą, musi być poinformowana o fakcie prowadzenia operacji przetwarzania jej danych osobowych i o celach takiego przetwarzania. Co więcej administrator powinien podać wszelkie inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania, uwzględniając konkretne okoliczności i kontekst przetwarzania danych osobowych.

Generalnie RODO nakazuje spełnianie  obowiązku informacyjnego w dwóch sytuacjach. Po pierwsze w momencie, gdy dane zbierane są bezpośrednio od osoby, której one dotyczą, po drugie w przypadku gromadzenia danych ze źródeł pośrednich, tj. nie od osoby, której one dotyczą. Kwestia informacji przekazywanych w ramach tzw. prawa dostępu wykracza poza ramy niniejszego opracowania.

Jakie są konsekwencje rozszerzenia klauzuli informacyjnej wobec tych osób? Z jednej strony osoby fizyczne są bardziej świadome swoich praw związanych z przetwarzaniem ich danych osobowych, z drugiej strony jest to też większe obciążenie dla administratora, który musi obszerniej opisywać fakt przetwarzania danych oraz realizować prawa osób, których dane przetwarza.

Kiedy będziemy spełniać obowiązek informacyjny gdy dane pochodzą od osoby, której dotyczą?

W przypadku zbierania danych od osoby, której dane dotyczą, RODO nie przypisuje formatu ani procedury, za pomocą której takie informacje powinny być udzielone, jednak jasno wskazuje, że za podjęcie „właściwych środków” dotyczących udzielenia informacji odpowiada administrator danych.

Należy więc stwierdzić, że wymagane informacje powinny zostać przekazane osobie, której dane dotyczą albo w momencie zbierania danych osobowych (najpóźniej w chwili ich zebrania), albo bezpośrednio przed ich zebraniem. Dla spełnienia obowiązku informacyjnego nie ma znaczenia, w jaki sposób te dane zostaną zebrane – może się to odbyć poprzez pocztę elektroniczną, faks lub poprzez inne środki porozumiewania się. Natomiast w sytuacjach, w których administrator danych zbiera dane osobowe za pomocą różnego rodzaju formularzy, obowiązek informacyjny może zostać spełniony przez umieszczenie odpowiednich informacji w treści formularza.

Kiedy będziemy spełniać obowiązek informacyjny, gdy dane nie pochodzą od osoby, której dotyczą?

Zgodnie z art. 14 ust. 3 lit. a oraz motywem 61 Preambuły RODO, jeżeli danych nie uzyskuje się od osoby, której dane dotyczą, lecz z innego źródła należy poinformować ją o tym w rozsądnym terminie, jednak nie później niż w ciągu miesiąca. Natomiast jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą, obowiązek informacyjny powinniśmy spełnić najpóźniej przy pierwszej takiej komunikacji. Natomiast jeżeli administrator planuje ujawnić dane osobowe innemu odbiorcy, to będzie on zobowiązany poinformować o tym osobę, której dane dotyczą już w momencie pierwszego ujawnienia tych danych odbiorcy (art. 14 ust. 3 lit. c RODO). Powyższy przepis dotyczy  sytuacji pozyskiwania danych osobowych nie od osoby, której dane dotyczą i nazywany jest też wtórnym zbieraniem danych osobowych.

 Obowiązek informacyjny – kiedy musimy go wypełniać?

Obowiązek informacyjny powinien zostać zrealizowany w sytuacji zbierania danych osobowych bezpośrednio lub pośrednio od osoby, której dane dotyczą (zgodnie z art. 13 oraz 14 RODO).
W przepisach Rozporządzenia pojęcie zbierania danych nie jest zdefiniowane. Można przyjąć, że jest to katalog operacji składających się na przetwarzanie danych osobowych takich jak każde wejście w posiadanie tych danych z zamiarem ich dalszego przetwarzania, bez względu na to, czy przetwarzanie będzie odbywać się w zbiorze danych osobowych. Kluczowym w tej sytuacji jest wejście w posiadanie danych osobowych, natomiast nie ma większego znaczenia czy te dane zostały przekazane samodzielnie przez osobę, której dane dotyczą z jej własnej inicjatywy, czy też dane te zostały pozyskane w inny sposób – obowiązek informacyjny w takich sytuacjach zawsze powinien zostać spełniony. RODO rozróżnia dwie sytuacje, w których może dochodzić do zbierania danych osobowych – w oparciu o ww. art. 13 oraz art. 14 RODO (pierwotne oraz wtórne zbieranie danych).  Wspomniane przepisy kształtują obowiązki informacyjne ciążące na administratorze w zależności od źródła pozyskania danych oraz jego relacji z osobą, której dane dotyczą.

Administrator obowiązany jest do spełnienia obowiązku informacyjnego wobec osoby, której dane dotyczą także w sytuacji, w której pozyskuje nowe, ze swojej perspektywy, dane osobowe. Oznacza to, że administrator powinien spełnić obowiązek informacyjny nie tylko w przypadku zbierania danych od osoby, której dane dotyczą, ale również w sytuacji gdy chce pozyskać od tej osoby nowe dane, których nie pozyskał przy pierwszym kontakcie. Dlatego poprzez zebranie nowych danych należy rozumieć rozszerzenie katalogu danych, które administrator ma już w posiadaniu o nowe kategorie informacji o osobie, której dane dotyczą. W takiej sytuacji administrator także jest zobligowany do ponownej realizacji obowiązku informacyjnego wobec osoby, od której uzyskał nowy katalog danych. Od powyższej reguły istnieje jednak wyjątek, mianowicie obowiązku informacyjnego nie należy realizować w sytuacji, gdy w wyniku działań prowadzonych przez administratora lub osoby, której dane dotyczą, zebrane dane zostają jedynie zaktualizowane lub usunięte. W powyższym przypadku administrator nie musi realizować obowiązku informacyjnego, ponieważ nie pozyskał nowych kategorii danych, natomiast nic nie stoi na przeszkodzie aby taki obowiązek zrealizował.

Kolejnym przykładem, w którym realizacja obowiązku informacyjnego przez administratora jest obligatoryjna, to zmiana celu przetwarzania.

W przypadku zmiany celu przetwarzania danych osobowych na  inny cel, niż dla którego dane osobowe zostały zebrane, administrator powinien poinformować osobę, której dane dotyczą, o tym innym celu.

Artykuł 13 ust. 3 oraz art. 14 ust. 4 RODO   stanowią wprost, że jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym dane osobowe zostały zebrane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji, o których mowa w  ust. 2 wspomnianych przepisów.

Co z obowiązkiem informacyjnym zrealizowanym przed 25 maja 2018?

Przepisy RODO nie rozstrzygają wprost, czy wobec osób, których dane zostały pozyskane przed 25 maja 2018 roku i wobec,  których dopełniono obowiązek na podstawie przepisów obowiązujących w momencie zbierania danych, obowiązek informacyjny powinien zostać spełniony ponownie. Grupa Robocza art. 29 w swoich wytycznych dotyczących przejrzystości wskazała, że administrator danych powinien przejrzeć wszystkie informacje przekazane osobom, których dane dotyczą, dotyczące przetwarzania ich danych osobowych (np. w klauzulach informacyjnych) w celu upewnienia się, czy informacje zostały przekazane w sposób przejrzysty, rzetelny oraz zgodny z prawem. W przypadku wprowadzenia zmian lub uzupełnień do takich informacji, administratorzy powinni jasno zakomunikować osobom, których dane dotyczą, że takie zmiany zostały przeprowadzone w celu zastosowania się do przepisów RODO.

Grupa robocza art. 29 zaleca, by w sposób aktywny zwrócono uwagę osób, których dane dotyczą na takie zmiany lub uzupełnienia, jednak jako minimum administratorzy powinni sprawić, by taka informacja była powszechnie dostępna (np. na ich stronie internetowej). Jednakże, w przypadku gdy zmiany są znaczące lub istotne, wtedy takie zmiany w sposób aktywny podaje się do wiadomości osób, których dane dotyczą. Tym samym należy przyjąć, że Grupa Robocza art. 29 opowiada się za ponowną realizacją obowiązku informacyjnego wobec osób, których dane dotyczą.

Kiedy nie musimy spełniać obowiązku informacyjnego?

Realizacja obowiązku udzielenia informacji nie jest konieczna, jeżeli osoba, której dane dotyczą, dysponuje już tymi informacjami, przy czym nie ma znaczenia z jakiego źródła te dany zostały zebrane. Natomiast należy pamiętać, że zwolnienie dotyczy tylko takiego zakresu informacji, jakie dana osoba już posiada, co może rodzić pewne wątpliwości w zakresie całkowitej rezygnacji z realizacji obowiązku informacyjnego. W momencie zbierania danych od osób, których te dane dotyczą to całkowite wyłączenie obowiązku informacyjnego możliwe jest tylko w sytuacji, w której osoba, której dane dotyczą posiada pełen katalog informacji o administratorze o których mowa w art. 13 RODO. W przypadku, gdy pozyskamy dane osobowe z innego źródła niż osoba, której dane dotyczą, to zgodnie z art. 14 ust. 5 RODO nie musimy również spełniać obowiązku informacyjnego w przypadku gdy osoba, której dane dotyczą posiada już te informacje. Natomiast w porównaniu do art. 13,  art. 14 ust. 5 RODO znacznie rozszerza katalog sytuacji, w których nie musimy realizować obowiązku informacyjnego względem podmiotu danych, administrator nie musi przekazywać danych wymagany przez art. 14 RODO w momencie, gdy:

  1. okaże się to niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku. Sytuacja ta może zachodzić w szczególności w przypadku, gdy przetwarzanie służy celom archiwalnym w interesie publicznym, celom badań naukowych lub historycznych lub celom statystycznym o ile obowiązek informacyjny może uniemożliwić lub poważnie utrudnić realizację celów przetwarzania,
  2. pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą,
  3. dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy.

Trzeba pamiętać, że jeżeli administrator danych jest zwolniony z obowiązku informacyjnego, lub gdy udzielenie takich informacji jest niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku , to powinien on podjąć odpowiednie środki, by chronić prawa i wolności oraz prawnie uzasadnione interesy osób, których dane dotyczą, przy czym może to zrealizować poprzez umieszczenie treści obowiązku informacyjnego w miejscu powszechnie dostępnym, czyli np. na stronie internetowej administratora.

Przejrzystość

Zachowanie przejrzystości przetwarzania danych osobowych jest jednym z głównych obowiązków administratorów na mocy przepisów RODO. Zgodnie z art. 5 ust. 2 Rozporządzenia, administrator musi być zawsze w stanie wykazać, że przetwarzanie danych osobowych, w odniesieniu do osoby, której dane dotyczą, odbywa się w sposób przejrzysty, rzetelny oraz zgodny z prawem.

Przepisy RODO nie definiują pojęcia przejrzystości, natomiast motyw 39 RODO wskazuje, że: „(…) Zasada przejrzystości wymaga, by wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem tych danych osobowych były łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem. Zasada ta dotyczy w szczególności informowania osób, których dane dotyczą, o tożsamości administratora i celach przetwarzania oraz innych informacji mających zapewnić rzetelność i przejrzystość przetwarzania w stosunku do osób, których sprawa dotyczy, a także prawa takich osób do uzyskania potwierdzenia i informacji o przetwarzanych danych osobowych ich dotyczących (…)”.

W celu zachowania przejrzystości w stosunku do osoby, której dane dotyczą, administratorzy danych  mogą stosować tzw. „warstwowy” obowiązek informacyjny. Obowiązek informacyjny w takim modelu składa się z dwóch warstw – w pierwszej warstwie należy zawrzeć informacje o tożsamości administratora, celu przetwarzania danych  osobowych oraz o prawach przysługujących osobie. GR29 zaleca również aby pierwsza warstwa zawierała informacje o przetwarzaniu, które ma największy wpływ na osobę, której dane dotyczą oraz przetwarzaniu, które mogłoby ją zaskoczyć. Natomiast
w drugiej, pełnej warstwie klauzuli informacyjnej powinny znaleźć się wszystkie pozostałe informacje wymagane przez art. 13 i art. 14 RODO. W praktyce wygląda to tak, że (w zależności od konkretnych okoliczności) skierowanie z wierzchniej do pełnej warstwy obowiązku informacyjnego może nastąpić np. za pomocą bezpośredniego linku, wyświetlenia informacji jako pop up, lub poprzez zapewnienie możliwości zapoznania się z pełną treścią obowiązku informacyjnego w miejscu do tego przeznaczonym (np. w recepcji).

Podsumowanie

Implementacja obowiązku informacyjnego wobec osób, których dane dotyczą to jeden
z najważniejszych obowiązków administratorów danych w oparciu o przepisy RODO. Administrator zobowiązany jest do przekazania tych informacji osobie, której dane dotyczą w momencie zbierania danych, a jeżeli danych nie uzyskuje się od osoby, której dane dotyczą, lecz z innego źródła – w rozsądnym terminie, zależnie od okoliczności.

Udzielenie informacji nie jest jednak konieczne, jeżeli osoba, której dane dotyczą, dysponuje już tymi informacjami, jeżeli utrwalenie lub ujawnienie danych są wyraźnie przewidziane prawem, lub jeżeli poinformowanie osoby, której dane dotyczą, okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku.