Jak zrealizować obowiązek informacyjny zgodnie z RODO?
RODO obowiązuje już od ponad roku. Przedsiębiorcy skupiają uwagę na zapewnieniu bezpieczeństwa przetwarzanym danym osobowym oraz na wypełnieniu ciążących na nich obowiązków. Administratorzy danych muszą m.in. zrealizować obowiązek informacyjny. W tym celu wielu przedsiębiorców po prostu przekazuje wcześniej przygotowane klauzule informacyjne. Czy to wystarczy, aby spełnić obowiązek informacyjny? O czym należy poinformować osobę, której dane są przetwarzane? Kiedy należy spełnić obowiązek informacyjny?
Na czym polega obowiązek informacyjny?
Administratorzy danych mają obowiązek poinformować osobę, której dane są przetwarzane m.in. o swojej tożsamości, przedstawić dane kontaktowe, cel przetwarzania, podstawę przetwarzania. Dokładny zakres obowiązku informacyjnego został wskazany w RODO – w artykule 13 (w przypadku zbierania danych od osoby, której dane dotyczą) oraz artykule 14 (w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą).
Obowiązek informacyjny administrator danych musi spełnić podczas pozyskiwania danych – jeszcze przed rozpoczęciem ich przetwarzania. Należy dodać, że obowiązek ograniczony jest w zakresie, w jakim osoba, której dane dotyczą, dysponuje już tymi informacjami.
W przypadku pozyskania danych w sposób inny niż od osoby, której dane dotyczą, informacje należy podać w rozsądnym terminie po pozyskaniu danych osobowych - najpóźniej w ciągu miesiąca - mając na uwadze konkretne okoliczności przetwarzania danych osobowych. Jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą - najpóźniej przy pierwszej takiej komunikacji. Ponadto, jeżeli planuje się ujawnić dane osobowe innemu odbiorcy – obowiązek należy spełnić najpóźniej przy ich pierwszym ujawnieniem. Podobnie jak w przypadku pozyskiwania danych od osoby, której dane dotyczą, obowiązek ograniczony jest w zakresie, w jakim osoba, której dane dotyczą, dysponuje już takimi informacjami.
Należy jednak podkreślić, że samo przekazanie informacji, o których mowa w artykule 13 i 14 RODO nie oznacza jeszcze, że został spełniony obowiązek informacyjny. Istotne znaczenie odgrywa tutaj forma przekazania tych danych. Administrator ma podjąć odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem - w szczególności, gdy informacje są kierowane do dziecka – spełnić obowiązek informacyjny.
Obowiązek informacyjny może być spełniony w formie:
- pisemnej,
- w inny sposób, także elektronicznie,
- ustnie, pod warunkiem, że osoba, której dane dotyczą tego zażąda a jej tożsamość zostanie potwierdzona.
Informacje, które są udzielane podczas spełniania obowiązku informacyjnego można opatrzyć standardowymi znakami graficznymi, które w widoczny, zrozumiały i czytelny sposób przedstawią sens zamierzonego przetwarzania. Jeżeli znaki te są przedstawione elektronicznie, muszą się nadawać do odczytu maszynowego.
Klauzula informacyjna RODO – co powinna zawierać?
W przypadku zbierania danych od osoby, której dane dotyczą, administrator podaje:
- swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela,
- dane kontaktowe inspektora ochrony danych, jeśli został powołany,
- cele przetwarzania danych osobowych oraz podstawę prawną przetwarzania,
- prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią, jeśli podstawą przetwarzania są prawnie uzasadnione interesy,
- informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją,
- informacje o przekazywaniu danych do państwa trzeciego lub organizacji międzynarodowej,
- okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu,
- informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych,
- informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem, jeśli dane przetwarzane są na podstawie zgody,
- informacje o prawie wniesienia skargi do organu nadzorczego – Prezesa Urzędu Ochrony Danych Osobowych,
- informację czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych,
- informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu i przynajmniej w tych przypadkach - istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
Dodatkowo, jeśli przetwarzane dane nie pochodzą od osoby, której te dane dotyczą, należy poinformować tę osobę o:
- kategoriach przetwarzanych danych osobowych,
- źródle pochodzenia danych osobowych.
Kiedy nie trzeba spełniać obowiązku informacyjnego?
W przypadku pozyskania danych od osoby, której dane dotyczą, spełnienie obowiązku informacyjnego nie jest wymagane, jeśli osoba, której dane dotyczą, dysponuje już tymi informacjami.
Rozszerzenie katalogu przypadków, w których nie trzeba realizować obowiązku informacyjnego względem osoby, której dane zostały pozyskane z innego źródła, znajduje się w artykule 14 RODO. Zgodnie z art. 14 ust. 5 RODO obowiązku informacyjnego nie należy spełniać, jeśli:
- osoba, której dane dotyczą, dysponuje już tymi informacjami,
- udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku,
- pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą,
- dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy.
Zapraszamy do zapoznania się z naszymi usługami w zakresie RODO i Outsourcing IOD. W pełni pomożemy przygotować, poprawić i uzupełnić wszystkie niezbędne procedury.
Zapoznaj się z naszą ofertą
- Jako jedyni ubezpieczamy współpracujących z nami Radców prawnych i Adwokatów, na solidną gwarancję finansową - 1 miliona euro (Każdy włącznie).
- Nasze usługi przygotowują wyłącznie specjaliści posiadający tytuł Adwokata bądź Radcy prawnego którzy pełnią funkcję Inspektorów Ochrony Danych Osobowych.
- Zapewniamy pełne zabezpieczenie prawne na rynku E-commerce;
- Efekt będzie szybki i bez wysiłku – 100 % firm stosujących się do naszych wytycznych przechodziło pozytywnie kontrole GIODO, PUODO i UOKiK-u.
Prawo cywilne, RODO, Obowiązek informacyjny RODO
- Kliknięć: 3431