Jak zrealizować obowiązek informacyjny zgodnie z RODO?

RODO obowiązuje już od ponad roku. Przedsiębiorcy skupiają uwagę na zapewnieniu bezpieczeństwa przetwarzanym danym osobowym oraz na wypełnieniu ciążących na nich obowiązków. Administratorzy danych muszą m.in. zrealizować obowiązek informacyjny. W tym celu wielu przedsiębiorców po prostu przekazuje wcześniej przygotowane klauzule informacyjne. Czy to wystarczy, aby spełnić obowiązek informacyjny? O czym należy poinformować osobę, której dane są przetwarzane? Kiedy należy spełnić obowiązek informacyjny?

Na czym polega obowiązek informacyjny?

Administratorzy danych mają obowiązek poinformować osobę, której dane są przetwarzane m.in. o swojej tożsamości, przedstawić dane kontaktowe, cel przetwarzania, podstawę przetwarzania. Dokładny zakres obowiązku informacyjnego został wskazany w RODO – w artykule 13 (w przypadku zbierania danych od osoby, której dane dotyczą) oraz artykule 14 (w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą).

Obowiązek informacyjny administrator danych musi spełnić podczas pozyskiwania danych – jeszcze przed rozpoczęciem ich przetwarzania. Należy dodać, że obowiązek ograniczony jest w zakresie, w jakim osoba, której dane dotyczą, dysponuje już tymi informacjami.

W przypadku pozyskania danych w sposób inny niż od osoby, której dane dotyczą, informacje należy podać w rozsądnym terminie po pozyskaniu danych osobowych - najpóźniej w ciągu miesiąca - mając na uwadze konkretne okoliczności przetwarzania danych osobowych. Jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą - najpóźniej przy pierwszej takiej komunikacji. Ponadto, jeżeli planuje się ujawnić dane osobowe innemu odbiorcy – obowiązek należy spełnić najpóźniej przy ich pierwszym ujawnieniem. Podobnie jak w przypadku pozyskiwania danych od osoby, której dane dotyczą, obowiązek ograniczony jest w zakresie, w jakim osoba, której dane dotyczą, dysponuje już takimi informacjami.

Należy jednak podkreślić, że samo przekazanie informacji, o których mowa w artykule 13 i 14 RODO nie oznacza jeszcze, że został spełniony obowiązek informacyjny. Istotne znaczenie odgrywa tutaj forma przekazania tych danych. Administrator ma podjąć odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem - w szczególności, gdy informacje są kierowane do dziecka – spełnić obowiązek informacyjny.

Obowiązek informacyjny może być spełniony w formie:

  • pisemnej,
  • w inny sposób, także elektronicznie,
  • ustnie, pod warunkiem, że osoba, której dane dotyczą tego zażąda a jej tożsamość zostanie potwierdzona.

Informacje, które są udzielane podczas spełniania obowiązku informacyjnego można opatrzyć standardowymi znakami graficznymi, które w widoczny, zrozumiały i czytelny sposób przedstawią sens zamierzonego przetwarzania. Jeżeli znaki te są przedstawione elektronicznie, muszą się nadawać do odczytu maszynowego.

Klauzula informacyjna RODO – co powinna zawierać?

W przypadku zbierania danych od osoby, której dane dotyczą, administrator podaje:

  • swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela,
  • dane kontaktowe inspektora ochrony danych, jeśli został powołany,
  • cele przetwarzania danych osobowych oraz podstawę prawną przetwarzania,
  • prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią, jeśli podstawą przetwarzania są prawnie uzasadnione interesy,
  • informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją,
  • informacje o przekazywaniu danych do państwa trzeciego lub organizacji międzynarodowej,
  • okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu,
  • informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych,
  • informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem, jeśli dane przetwarzane są na podstawie zgody,
  • informacje o prawie wniesienia skargi do organu nadzorczego – Prezesa Urzędu Ochrony Danych Osobowych,
  • informację czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych,
  • informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu i przynajmniej w tych przypadkach - istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Dodatkowo, jeśli przetwarzane dane nie pochodzą od osoby, której te dane dotyczą, należy poinformować tę osobę o:

  • kategoriach przetwarzanych danych osobowych,
  • źródle pochodzenia danych osobowych.

Kiedy nie trzeba spełniać obowiązku informacyjnego?

W przypadku pozyskania danych od osoby, której dane dotyczą, spełnienie obowiązku informacyjnego nie jest wymagane, jeśli osoba, której dane dotyczą, dysponuje już tymi informacjami.

Rozszerzenie katalogu przypadków, w których nie trzeba realizować obowiązku informacyjnego względem osoby, której dane zostały pozyskane z innego źródła, znajduje się w artykule 14 RODO. Zgodnie z art. 14 ust. 5 RODO obowiązku informacyjnego nie należy spełniać, jeśli:

  • osoba, której dane dotyczą, dysponuje już tymi informacjami,
  • udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku,
  • pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą,
  • dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy.

Zapraszamy do zapoznania się z naszymi usługami w zakresie RODO i Outsourcing IOD. W pełni pomożemy przygotować, poprawić i uzupełnić wszystkie niezbędne procedury.

Zapoznaj się z naszą ofertą

  • Jako jedyni ubezpieczamy współpracujących z nami Radców prawnych i Adwokatów, na solidną gwarancję finansową - 1 miliona euro (Każdy włącznie).
  • Nasze usługi przygotowują wyłącznie specjaliści posiadający tytuł Adwokata bądź Radcy prawnego którzy pełnią funkcję Inspektorów Ochrony Danych Osobowych.
  • Zapewniamy pełne zabezpieczenie prawne na rynku E-commerce;
  • Efekt będzie szybki i bez wysiłku – 100 % firm stosujących się do naszych wytycznych przechodziło pozytywnie kontrole GIODO, PUODO i UOKiK-u.

Prawo cywilne, RODO, Obowiązek informacyjny RODO

  • Kliknięć: 630
Prawny Blog Kancelarii Legato
Kancelaria Prawna LEGATO jest oparta na nowoczesnych rozwiązaniach. Swoją działalnością obejmuje teren całej Polski, ze szczególnym uwzględnieniem województwa dolnośląskiego. Kancelaria podejmuje się pomocy także w sprawach nietypowych i precedensowych, wymagających kreatywnego myślenia i rozwiązywania skomplikowanych problemów prawnych. Chętnie pomożemy Państwu w osiągnięciu jak najkorzystniejszego wyniku. Zapraszamy do kontaktu z nami.
© 2017-2020 - Kancelaria LEGATO wszelkie prawa zastrzeżone.