Dane osobowe po nowemu (8), czyli o zasadzie przejrzystości i podstawowych obowiązkach informacyjnych administratorów i podmiotów przetwarzających

Podstawowym celem Ogólnego Rozporządzenia o Danych Osobowych (RODO) jest wzrost świadomości osób, które udostępniają swoje dane osobowe na temat celu, procesu i ryzyka związanego z przetwarzaniem danych. Firmy będą więc musiały opracować nowe sposoby komunikacji z klientami, aby mieli oni świadomość ochrony ich danych osobowych, a w konsekwencji, by chcieli je nadal udostępniać.

Zakres obowiązków informacyjnych administratora

RODO nakłada na administratorów danych osobowych szereg obowiązków informacyjnych, jakie powinny zostać spełnione względem osób, których dane zamierzają przetwarzać. Katalog informacji, jakie zobligowani będą oni każdorazowo podać zainteresowanym przed przystąpieniem do przetwarzania ich danych jest znacznie szerszy niż wynika to z obecnie obowiązującej ustawy o ochronie danych osobnych. Wśród nich przykładowo można wymienić obowiązek podania danych administratora (nazwa, adres siedziby, dane kontaktowe), informacji o celu przetwarzania danych i podstawie przetwarzania, źródle ich pochodzenia (jeżeli nie zostały pozyskane bezpośrednio od osoby, której dotyczą), czy też uprawnieniach przysługujących właścicielowi danych, o których pisaliśmy w poprzednim artykule (link tutaj). Wszystko po to, by każdy miał możliwość weryfikowania, czy jego dane są przetwarzane zgodnie z prawem.

Informacje wymagane przez RODO należy przekazać w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Informacji udziela się na piśmie lub w inny sposób, w tym w stosownych przypadkach – elektronicznie. Jeżeli osoba, której dane dotyczą, tego zażąda, informacji można udzielić również ustnie, o ile innymi sposobami potwierdzi się jej tożsamość.  Przetwarzający dane musi być w stanie wykazać, że uczynił zadość obowiązkom informacyjnym.

Według RODO wypełnienie przez administratora obowiązków informacyjnych warunkuje legalne przetwarzanie danych osobowych. Dlatego wymagane informacje należy przekazać w momencie zbierania danych osobowych. W odniesieniu do danych pozyskanych z innego źródła niż osoba, której dane dotyczą, wymagane przez RODO informacje trzeba przekazać najpóźniej w ciągu miesiąca od momentu pozyskania danych, a jeżeli dane mają być stosowane do komunikacji z zainteresowaną osobą – najpóźniej przy pierwszym kontakcie.

Wyjątki od obowiązku informacyjnego

RODO przewiduje sytuacje, w których realizacja obowiązków informacyjnych względem właściciela danych osobowych nie jest konieczna. Są one niemal identyczne, jak w aktualnie obowiązującej polskiej ustawie o ochronie danych osobowych. I tak administrator jest zwolniony z tego obowiązku, gdy osoba, której dane dotyczą, dysponuje już wszystkimi wymaganymi przez prawo informacjami (zarówno, w przypadku, gdy dane są pozyskiwane od niej samej, jak i z innego źródła). Ponadto, w przypadku pozyskiwania danych z innego źródła niż osoba, której dane dotyczą obowiązek informacyjny dezaktualizuje się, gdy:

• Ich udzielenie jest niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku;
• Pozyskiwanie lub ujawnianie danych jest wyraźnie uregulowane i zabezpieczone prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator;
• Dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej.

Uprawnienia GIODO

Jak dotąd GIODO stosunkowo rzadko badał, czy i w jakim zakresie administratorzy danych osobowych przekazują zainteresowanym wymagane informacje. Biorąc jednak pod uwagę przyznane GIODO szerokie kompetencje w zakresie weryfikacji prawidłowości procesów przetwarzania danych osobowych, w tym prawo do nakładania kar finansowych, a także nacisk, jaki Rozporządzenie kładzie na prawa osób, których dane są przetwarzane, należy spodziewać się wzrostu intensywność prowadzonych przez GIODO kontroli w tym zakresie.

Lista zadań

Będąc administratorem danych osobowych zapewne wdrożyłeś już w swojej firmie rozwiązania, które pozwalają na sprawne przekazywanie informacji wymaganych przez obowiązującą ustawę o ochronie danych osobowych. Przed Tobą wyzwanie w postaci konieczności dostosowania ich do wymagań stawianych przez RODO. W tym celu powinieneś:

• Ustalić, czy dotychczas faktycznie informowałeś właścicieli danych osobowych o tym, że przetwarzasz ich dane, a także jakie informacje im przekazywałeś;
• Zweryfikować, w jakiej formie oraz w jakim momencie przekazywałeś osobom zainteresowanym wymagane informacje, w szczególności, czy posługiwałeś się gotowymi klauzulami informacyjnymi;
• Rozszerzyć treść klauzul informacyjnych o dodatkowe informacje wymagane przez RODO, a jeżeli dotąd nie posługiwałeś się nimi, opracować gotowy formularz zawierający informacje o:

1. Twojej nazwie, adresie i danych kontaktowych;
2. Celu, w jakim zbierasz dane;
3. Przewidywanych odbiorcach lub kategoriach odbiorców danych;
4. Prawie dostępu do treści danych oraz prawie do ich poprawiania przez osobę, której dane dotyczą;
5. Dobrowolności albo obowiązku podania danych, w tym podstawie prawnej, z której taki obowiązek wynika;
6. Danych kontaktowych inspektora ochrony danych, jeżeli został powołany w twojej firmie – o tym, kiedy należy go powołać pisaliśmy tutaj;
7. Podstawie prawnej przetwarzania danych osobowych;
8. Twoich prawnie uzasadnionych interesach, w których przetwarzasz dane;
9. Zamiarze przekazania danych osobowych do państwa trzeciego (tj. poza terytorium UE) oraz warunkach bezpieczeństwa przekazywanych danych;
10. Okresie, przez jaki dane będą docelowo przechowywane lub kryteriach ustalania tego okresu;
11. Wszystkich prawach przysługujących właścicielowi danych, o których pisaliśmy w poprzednim artykule (link tutaj);
12. Wymogach ustawowych lub umownych podania danych osobowych, a także czy ich podanie jest warunkiem zawarcia umowy, czy dana osoba jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
13. Zautomatyzowanym podejmowaniu decyzji, w tym profilowaniu, zasadach ich podejmowania, a także znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą;
14. Źródle pochodzenia danych, a także prawie do skierowania żądania zaprzestania przetwarzania danych lub prawie do wniesienia sprzeciwu wobec przetwarzania danych w celach marketingowych lub wobec przekazywania danych osobowych innemu administratorowi (jeżeli nie pozyskałeś danych od osoby, której one dotyczą, np. kupiłeś bazę danych od podmiotu trzeciego);

• Przestrzegać terminów przekazywania informacji osobom, których dane przetwarzasz.

Powyższe zadania nie są skomplikowane, jednakże wymagają podjęcia stosownych kroków, by zdążyć z ich wdrożeniem na czas. Do dnia, w którym wymagania stawiane przez RODO będą mogły być egzekwowane pozostało zaledwie 14 miesięcy.

Photo by Svilen Milev