Zespół prawny
A.M. Jesiołowscy-Finanse sp. z o.o.
I. Wprowadzenie
Z uzyskaniem zgody na przetwarzanie danych osobowych, której dokumentowaniu był poświęcony ostatni artykuł, nierozerwalnie związany jest obowiązek informowania o szczegółach przetwarzania tych danych. Może on mieć dwojaki zakres – z jednej strony bowiem administrator może zbierać dane osobowe bezpośrednio od osoby, której one dotyczą (wówczas kategorie objęte obowiązkiem informacyjnym wymienia art. 13 RODO), z drugiej zaś dane te mogą być pozyskiwane od osoby innej (wtedy podstawę prawną obowiązku informacyjnego stanowić będzie art. 14 RODO). W dzisiejszej analizie zostaną omówione szczegółowe aspekty związane z dokumentacją tych obowiązków, z uwzględnieniem różnic pomiędzy wymienionymi przypadkami.
II. Dokumentacja obowiązku informacyjnego na podstawie art. 13 RODO
Zgodnie z art. 13 RODO:
1. Jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, administrator podczas pozyskiwania danych osobowych podaje jej wszystkie następujące informacje:
a) swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
b) gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
c) cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania;
d) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;
e) informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
f) gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz informację o sposobach uzyskania kopii tych zabezpieczeń lub o miejscu ich udostępnienia.
2. Poza informacjami, o których mowa w ust. 1, podczas pozyskiwania danych osobowych administrator podaje osobie, której dane dotyczą, następujące inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania:
a) okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
b) informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
c) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
d) informacje o prawie wniesienia skargi do organu nadzorczego;
e) informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
f) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
3. Jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym dane osobowe zostały zebrane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji, o których mowa w ust. 2.
4. Ust. 1, 2 i 3 nie mają zastosowania, gdy – i w zakresie, w jakim – osoba, której dane dotyczą, dysponuje już tymi informacjami.
Trzeba podkreślić, iż przepisy RODO nie zawierają żadnego wymogu, aby informacja została udostępniona według jakiegoś konkretnego schematu. Administrator może więc sformułować ją własnymi słowami, byleby w takiej klauzuli zawarte były wszystkie wymagane informacje (które również będą się różnić w zależności od sytuacji danego podmiotu i charakteru przetwarzania danych – administrator musi tutaj dokonać samodzielnej analizy).
Co więcej, kategorie wymienione w przepisie art. 13 RODO dotyczą sytuacji, gdy dane osobowe są zbierane od osoby, której dotyczą. Jak wskazuje J. Rzymowski, pojęcie „zbieranie” nie jest tożsame z pojęciem „posiadanie”. Wobec tego jeśli administrator posiada dane np. byłych pracowników, dawnych pacjentów czy klientów, jednak nie zbiera na nowo danych dotyczących tych osób, to obowiązek informacyjny z art. 13 RODO nie będzie na nim spoczywał. Wyjątkiem jest sytuacja, w której zebrane w przeszłości dane osobowe nie spowodowały realizacji obowiązku informacyjnego – wówczas administrator powinien naprawić swój błąd i zrealizować obowiązek informacyjny w trybie następczym.
W tym miejscu warto bliżej przyjrzeć się poszczególnym kategoriom informacji wymienionych w art. 13 ust. 1 i 2 RODO, gdyż niektóre z nich muszą być w klauzuli informacyjnej stosowane bezwzględnie i w każdym przypadku, inne zaś tylko w określonych sytuacjach. Przykładem kategorii stosowanej przez administratora bezwzględnie jest wskazana w art. 13 ust. 1 lit. a RODO jego tożsamość i dane kontaktowe (w przypadku osób fizycznych tożsamością będzie imię i nazwisko przedsiębiorcy, zaś w przypadku osób prawnych – nazwa firmy). Ponadto, jeśli u administratora danych został powołany przedstawiciel, należy podać również tożsamość i dane kontaktowe tego przedstawiciela. Przy czym zarówno w przypadku danych kontaktowych administratora, jak i danych kontaktowych przedstawiciela, nie musi być to adres jego siedziby (choć jest to rozwiązanie standardowe i najbardziej oczywiste). Równie dobrze można podać adres poczty elektronicznej, numer telefonu kontaktowego, nazwę/numer w komunikatorze bądź odesłanie do formularza stworzonego na odpowiedniej platformie kontaktowej. RODO wymaga jedynie, by administrator (i ewentualnie jego przedstawiciel) umożliwił kontakt ze sobą, nie nakazuje natomiast jakiejkolwiek konkretnej formy tego kontaktu. Oczywiście najlepiej, aby była ona jak najszersza, dlatego dobrą praktyką jest wskazywanie w klauzuli informacyjnej kilku różnych sposobów komunikacji.
Jeśli chodzi o obowiązek wynikający z art. 13 ust. 1 lit. b RODO, to ma on charakter względny i dotyczy tylko tych podmiotów, w których został wyznaczony inspektor ochrony danych (IOD). Zasadniczo więc obowiązek nie będzie dotyczył większości przedsiębiorców, gdyż zgodnie z art. 37 RODO obowiązek wyznaczenia IOD dotyczy sytuacji w których:
a) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
b) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;
lub
c) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 RODO (tzw. dane wrażliwe), lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych, o czym mowa w art. 10 RODO.
Dla porządku jednak trzeba podkreślić, że inne podmioty również mogą wyznaczyć dobrowolnie IOD. Wtedy jednak taka decyzja będzie wiązała się z obowiązkiem podania w klauzuli informacyjnej również tożsamości i danych kontaktowych IOD – w sposób analogiczny do administratora i jego przedstawiciela.
Kolejnymi kategoriami są cele przetwarzania danych osobowych oraz podstawa prawna przetwarzania, wymienione w art. 13 ust. 1 lit. c RODO. Administrator danych ma obowiązek realizować ten przepis zawsze, rozporządzenie nie przewiduje w niniejszym zakresie żadnych wyjątków. Należy zatem poinformować osobę, której dane zamierzamy przetwarzać, w jakim celu będziemy to czynić (powinno być to wskazane prostym i zrozumiałym językiem). Natomiast w zakresie podania podstawy prawnej nie będzie wystarczające wymienienie samego aktu prawnego – koniecznym jest odwołanie się do konkretnych przepisów RODO, w oparciu o które będzie przebiegało przetwarzanie oraz powiązanie jej z konkretnym celem. Przykładowo:
w zakresie udzielanej zgody (art. 6 ust. 1 lit. a RODO) należy wskazać, w jakim celu jest ona udzielana,
w zakresie przetwarzania niezbędnego do wykonania umowy (art. 6 ust. 1 lit. b RODO) należy wskazać, realizacja jakiej umowy uzasadnia przetwarzanie danych osobowych,
w zakresie istnienia obowiązku prawnego ciążącego na administratorze (art. 6 ust. 1 lit. c RODO) należy wskazać obowiązek prawny uzasadniający przetwarzanie danych,
w zakresie ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej (art. 6 ust. 1 lit. d RODO) należy wskazać jaki i czyj interes uzasadnia przetwarzanie danych,
W przypadku przetwarzania danych wrażliwych analogicznych przesłanek należy dodatkowo szukać w art. 9 RODO (dodatkowo, gdyż podstawa prawna z art. 6 RODO nadal będzie wiążąca, aczkolwiek już niewystarczająca jako samodzielna podstawa). Oprócz tego wskazane jest również podawanie podstawy prawnej wynikającej z przepisów prawa krajowego, np. Kodeksu pracy, ustaw szczegółowych, jednakże będą one miały charakter wyłącznie uzupełniający wobec przepisów RODO stanowiących absolutnie niezbędną podstawę prawną, której nie można zastąpić innymi aktami prawnymi.
Jeśli chodzi o kategorie z art. 13 ust. 1 lit. d-f, mają one charakter względnie obowiązujący i bardzo często nie będą dotyczyły wielu administratorów danych. Jeśli więc dany przedsiębiorca przetwarza dane w oparciu o art. 6 ust. 1 lit. f RODO, ma obowiązek poinformować osobę, której dane dotyczą o tym, jaki prawnie uzasadniony interes realizowany przez administratora lub przez stronę trzecią uzasadnia przetwarzanie danych tej osoby. Podobnie, administrator ma obowiązek informować osobę, której dane zbiera, o odbiorcach jej danych bądź kategoriach takich odbiorców, wyłącznie jeśli występują oni w praktyce. Wreszcie, o zamiarze przekazywania danych do państwa trzeciego lub organizacji międzynarodowej oraz innych działaniach wynikających z art. 13 ust. 1 lit. f RODO administrator nie musi informować, jeśli nie zamierza zbieranych danych nigdzie przekazywać.
Kolejne kategorie czynności wynikają z art. 13 ust. 2 RODO. I tak, zawsze trzeba w klauzuli informacyjnej zawrzeć okres, przez który dane osobowe będą przechowywane, bądź przynajmniej kryteria ustalania takiego okresu. Następnie, jak wynika z art. 13 ust. 2 lit. b RODO, administrator w każdym przypadku informuje osobę, której dane dotyczą, o jej uprawnieniach związanych z jej danymi – żądania dostępu do nich, sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia protestu wobec przetwarzania oraz prawie do przenoszenia danych. Pewnym wyjątkiem jest właśnie przenoszenie danych, które przysługuje – zgodnie z art. 20 ust. 1 lit. b RODO – gdy przetwarzanie odbywa się w sposób zautomatyzowany. Jeśli więc nie mamy do czynienia z automatyzacją przetwarzania, co implikuje brak możliwości przenoszenia danych, wówczas również nie powstaje obowiązek informowania o prawie do przenoszenia danych, gdyż takie prawo in concreto nie przysługuje.
Jeśli chodzi o prawo do cofnięcia zgody wynikające z art. 13 ust. 2 lit. c RODO, zostało ono właściwie omówione w poprzednich częściach, dlatego też rozważania te nie będą powtarzane. Natomiast z art. 13 ust. 2 lit. d RODO wynika bezwzględny obowiązek administratora do poinformowania osoby, której dane dotyczą, o prawie wniesienia skargi do organu nadzorczego. Organem tym jest Prezes Urzędu Ochrony Danych Osobowych (oprócz nazwy organu dobrą praktyką będzie także podanie jego danych kontaktowych ze strony internetowej UODO). Oprócz tego administrator ma obowiązek udostępnić danej osobie informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych (art. 13 ust. 2 lit. e RODO). W przypadku wymogu ustawowego zalecane jest podanie przepisu, z którego ten wymóg wynika (choć nie jest to obowiązek nakładany przez przepisy RODO). Wreszcie ostatnim z obowiązków wynikających z art. 13 RODO jest informowanie o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu oraz istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą (jeśli jednak sytuacja ta nie dotyczy konkretnego podmiotu, wystarczającym do realizacji powyższego obowiązku będzie zawarcie w klauzuli informacyjnej zdania „Administrator nie podejmuje decyzji w sposób zautomatyzowany.”).
Przykładowa klauzula informacyjna może zatem wyglądać następująco:
Klauzula informacyjna dla osoby, której dane są przetwarzane w oparciu o zgodę
Na podstawie art. 13 RODO informujemy, że:
1. Administratorem Pani/a danych osobowych podanych w …………………………………… [należy wypełnić] w związku z ………………………………………………… [należy uzupełnić] jest …………………………………………………………………………………………………………………………
[Należy podać dane administratora danych – nazwę, siedzibę, adres, w stosowanych przypadkach dodatkowo należy podać dane przedstawiciela jeżeli istnieje].2. W celu skorzystania ze swoich praw wynikających z RODO, w tym w celu odwołania zgody należy skontaktować się z Administratorem z wykorzystaniem wskazanych danych kontaktowych lub wyznaczonym Inspektorem ochrony danych pod adresem e-mail [Jeżeli IOD nie został wyznaczony należy usunąć część napisaną kursywą]
3. Dane osobowe będą przetwarzane w celach ………………………………………………………….. [należy określić, jaki jest cel przetwarzania danych]
4. Podanie danych osobowych jest dobrowolne, ale konieczne dla ……………………………….
………………………………………………………………………………………………………………………….
[należy wskazać, dlaczego podanie danych jest konieczne].Odmowa podania danych uniemożliwi …………………………………………………………………. [należy wskazać, jakie są konsekwencje domowy podania danych]
na podstawie Pani/a zgody (art. 6 ust. 1 lit. a RODO).
5. Dane będą mogły być również przetwarzane w związku z dochodzeniem/obroną roszczeń na podstawie prawnie uzasadnionego interesu Administratora (art. 6 ust. 1 lit. f RODO).
6. Ma Pan/i prawo do żądania od Administratora dostępu do swoich danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec przetwarzania, a także prawo do żądania przenoszenia danych.
7. Przysługuje Pani/u także prawo do złożenia oświadczenia o cofnięciu każdej wyrażonej zgody w każdym czasie. Cofnięcie zgody nie ma wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem.
8. Pani/a dane osobowe będą przetwarzane przez okres nie dłuższy niż przez czas ………………………………………………………………………………………………………………………….
[należy wskazać, przez jaki czas dane będą przetwarzane lub kryteria ustalenia tego okresu]a w celach związanych z dochodzeniem lub obroną przed roszczeniami do czasu przedawnienia tych roszczeń.
9. Pani/a dane mogą być udostępnianie podmiotom upoważnionym do tego na podstawie przepisów prawa. W związku z tym, że Administrator przy realizowaniu swoich zadań korzysta z usług innych podmiotów, będą także przekazywane: ……………………………….
………………………………………………………………………………………………………………………… [należy wskazać dane tego podmiotu, np. dostawcy programu do mailingu]
10. Pani/a dane nie będą przekazywane do państw trzecich/organizacji międzynarodowych [Jeżeli dane miałyby być przekazywane inny odbiorcom – należy ich wskazać; podobnie jeżeli dane miałyby być przekazywane do państw trzecich/organizacji międzynarodowej – należy wskazać taką informację, a także przekazać informację o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi RODO, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych].
11. Pani/a dane nie będą przetwarzane w sposób zautomatyzowany [Jeżeli dane miałyby być przetwarzane w sposób zautomatyzowany, w tym również w formie profilowania – konieczne jest przekazanie tej informacji, w tym także informacji o zasadach podejmowania tych decyzji oraz o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą].
12. Przysługuje Pani/u prawo do wniesienia skargi do organu nadzorczego (Prezes Urzędu Ochrony Danych Osobowych).
Oczywiście w zależności od charakteru danej działalności sposób udostępnienia klauzuli informacyjnej może się znacząco różnić. Przykładowo:
- przy sprzedaży towaru lub usługi w sklepie stacjonarnym i podaniu sprzedawcy danych osobowych do faktury, sprzedawca powinien wskazać mu wiszącą na ścianie tablicę z informacjami z art. 13 RODO,
- przy sprzedaży w sklepie internetowym informacje z art. 13 RODO powinny być podane kupującemu wcześniej, jeszcze na etapie rejestracji w sklepie, zaś przy zakupie bez rejestracji informacje te powinny być umieszczone w interfejsie w taki sposób, aby podczas wpisywania swoich danych kupujący miał do tych informacji dostęp (dodatkowo warto dołączyć klauzulę informacyjną do potwierdzenia zamówienia i wysyłanej paczki z produktem),
- przy prowadzeniu działalności polegającej na świadczeniu usług medycznych, należy przy pierwszej wizycie wskazać pacjentowi tablicę zawierającą informacje z art. 13 RODO. Dane osobowe pacjenta będą przechowywane w jego dokumentacji medycznej, zatem również tam powinno się przechowywać kartę z pokwitowaniem, sporządzonym przez pacjenta, iż zapoznał się z klauzulą informacyjną (nie jest to obowiązek, jednak warto takie pokwitowania odbierać z uwagi na możliwe trudności dowodowe na etapie kontroli organu nadzorczego),
- w przypadku klienta, który dzwoni do przedsiębiorstwa, podając telefonicznie swoje dane osobowe, które są zapisywane przez pracownika, należy podać przez telefon niezbędne informacje dotyczące przetwarzania (np. informacje o tożsamości i danych kontaktowych administratora i jego przedstawiciela (jeśli został wyznaczony), zaś do pełnej informacji odesłać na stronę internetową firmy, bądź zaprosić do zapoznania się z nią w siedzibie przedsiębiorstwa (istnieje też możliwość przesłania jej drogą elektroniczną, jednak wówczas najbezpieczniej byłoby, aby to klient skontaktował się jako pierwszy z przedsiębiorstwem, gdyż wówczas pracownik w odpowiedzi na jego wiadomość byłby uprawniony do wykorzystania jego adresu elektronicznego, zwłaszcza, jeśli jest to adres prywatny).
Na sam koniec trzeba zasygnalizować, jakie błędy mogą w praktyce pojawić się w ramach realizacji obowiązku informacyjnego wynikającego z art. 13 RODO. Po pierwsze, częstym błędem jest zwykłe lekceważenie obowiązku informowania osób, których dane zbieramy i nierealizowanie go. Po drugie, błędne jest także przyjmowanie założenia, iż osoba, od której pozyskujemy dane osobowe, posiada już informacje wynikające z art. 13 RODO, podczas gdy w rzeczywistości ich nie posiada. Administrator może bowiem czynić takie założenie wyłącznie wtedy czy w sposób niebudzący wątpliwości i możliwy do wykazania podał jej te informacje. Wreszcie trzecim najczęstszym błędem jest zakładanie, że jeśli ktoś zwraca się do administratora danych jako reprezentant innego podmiotu (a nie jako osoba fizyczna), to wobec takiego podmiotu nie trzeba realizować obowiązków informacyjnych.
III. Dokumentacja obowiązku informacyjnego na podstawie art. 14 RODO
Obowiązek informacyjny może być również realizowany na podstawie art. 14 RODO – wtedy, gdy dane nie są pozyskiwane bezpośrednio od osoby, której dotyczą. Większość obowiązków pokrywa się jednak z tymi z art. 13, dlatego postaram się wypunktować głównie różnice. Zgodnie z art. 14 RODO:
1. Jeżeli danych osobowych nie pozyskano od osoby, której dane dotyczą, administrator podaje osobie, której dane dotyczą, następujące informacje:
a) swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
b) gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
c) cele przetwarzania, do których mają posłużyć dane osobowe, oraz podstawę prawną przetwarzania;
d) kategorie odnośnych danych osobowych;
e) informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
f) gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz informację o sposobach uzyskania kopii tych zabezpieczeń lub o miejscu ich udostępnienia.
2. Poza informacjami, o których mowa w ust. 1, administrator podaje osobie, której dane dotyczą, następujące informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania wobec osoby, której dane dotyczą:
a) okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
b) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;
c) informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
d) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
e) informacje o prawie wniesienia skargi do organu nadzorczego;
f) źródło pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych;
g) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
3. Informacje, o których mowa w ust. 1 i 2, administrator podaje:
a) w rozsądnym terminie po pozyskaniu danych osobowych – najpóźniej w ciągu miesiąca – mając na uwadze konkretne okoliczności przetwarzania danych osobowych;
b) jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą – najpóźniej przy pierwszej takiej komunikacji z osobą, której dane dotyczą;
lub
c) jeżeli planuje się ujawnić dane osobowe innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu.
4. Jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym te dane zostały pozyskane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji, o których mowa w ust. 2.
5. Ust. 1- 4 nie mają zastosowania, gdy – i w zakresie, w jakim:
a) osoba, której dane dotyczą, dysponuje już tymi informacjami;
b) udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku; w szczególności w przypadku przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, z zastrzeżeniem warunków i zabezpieczeń, o których mowa w art. 89 ust. 1, lub o ile obowiązek, o którym mowa w ust. 1 niniejszego artykułu, może uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania. W takich przypadkach administrator podejmuje odpowiednie środki, by chronić prawa i wolności oraz prawnie uzasadnione interesy osoby, której dane dotyczą, w tym udostępnia informacje publicznie;
c) pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą;
lub
d) dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy.
Najistotniejszymi różnicami w porównaniu do obowiązków z art. 13 RODO są kategorie wymienione w art. 14 ust. 1 lit. d RODO oraz art. 14 ust. 2 lit. f RODO. Pierwszy przepis nakłada na administratora, który pozyskuje dane osobowe nie od osoby, której dane dotyczą, obowiązek poinformowania tej osoby o kategoriach pozyskiwanych danych osobowych. Jeśli więc administrator pozyskuje dane osoby nie bezpośrednio od niej samej, to i tak powinien wyjaśnić tej osobie po pierwsze fakt pozyskania jej danych, a po drugie jakie konkretnie dane pozyskał. Jeśli zaś chodzi o drugą znaczącą różnicą względem katalogu z art. 13 RODO, dotyczy ona obowiązku poinformowania osoby, której dane dotyczą, a od której bezpośrednio administrator nie uzyskał jej danych, o źródle pochodzenia tych danych (mogą to być np. źródła publicznie dostępne).
Oprócz tego, art. 14 RODO zawiera w ust. 5 katalog zwolnień z obowiązków nakładanych na administratora w ustępach 1-4. Często nadużywanym przy tym jest zwolnienie wynikające z art. 14 ust. 5 lit. b RODO, pozwalającym na odstąpieniu od realizacji obowiązków informacyjnych gdy oznaczałyby one dla administratora niewspółmiernie duży wysiłek, bądź byłoby to niemożliwe. Zdarza się jednak, że administratorzy powołują się na ten przepis, mimo, iż udzielenie informacji jest możliwe i nie pociąga za sobą niewspółmiernego wysiłku (są to kategorie nieostre i ocenne), co jest wówczas błędem.
W efekcie, przykładowa klauzula informacyjna z art. 14 RODO może mieć następujący kształt:
Klauzula informacyjna w przypadku zbierania danych w sposób inny niż od osoby, której dane dotyczą
Zgodnie z art. 14 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE L 119, s. 1) informuję, że:
1. Administratorem Pani/Pana danych osobowych jest …………………….. z siedzibą w …………………….. przy ul. …………………….., …………………….. .
2. Z administratorem danych można się skontaktować poprzez adres mailowy …………………@………………… lub pisemnie na adres siedziby administratora.
3. Z inspektorem ochrony danych można się kontaktować we wszystkich sprawach dotyczących przetwarzania danych osobowych, w szczególności w zakresie korzystania z praw związanych z ich przetwarzaniem poprzez adres mailowy …………………@………………… lub pisemnie na adres siedziby administratora.
4. Podstawą prawną przetwarzania Pani/Pana 1 danych jest 1 :
1) art. 6 ust. 1 lit. b RODO, tj. przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
2) art. 6 ust. 1 lit. c RODO, tj. przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze w związku z …………………;
3) art. 6 ust. 1 lit. e RODO, tj. przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej …………………….. w związku z ……………………..;
4) art. 6 ust. 1 lit. f RODO, tj. przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez …………………….. w związku z prowadzonym …………………….. .
5. Pani/Pana1 dane zostały przekazane przez …………………….. .
6. Przetwarzanie danych osobowych obejmuje następujące kategorie Pani/Pana1 danych: …………………….. .
7. Pani/Pana1 dane osobowe będą udostępniane następującym podmiotom: …………………….. .
8. Pani/Pana1 dane będą przechowywane do momentu wygaśnięcia obowiązku przechowywania danych wynikającego z przepisów, tj. przez okres …………………….. .
9. Przysługuje Pani/Pana1 prawo do dostępu do swoich danych osobowych, prawo żądania ich sprostowania oraz ograniczenia ich przetwarzania.
10. Przysługuje Pani/Panu1 prawo do żądania usunięcia danych osobowych, jeżeli dane osobowe nie są niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane.
11. W zakresie udostępnienia danych przysługuje Pani/Panu1 prawo do wniesienia sprzeciwu wobec przetwarzania1.
12. Przysługuje Pani/Panu1 również prawo wniesienia skargi do organu nadzorczego zajmującego się ochroną danych osobowych w państwie członkowskim Pani/Pana1 zwykłego pobytu, miejsca pracy lub miejsca popełnienia domniemanego naruszenia.
IV. Podsumowanie
Udzielenie informacji o szczegółach przetwarzania danych osobowych jest jednym z wymogów ich prawidłowego zbierania i wykorzystywania. Obowiązki nakładane na administratorów różnią się w tym zakresie w zależności od tego, czy dane pozyskują bezpośrednio od osoby, której one dotyczą, czy też z innego źródła. Sama klauzula informacyjna będzie miała również różnoraki kształt w zależności od charakteru prowadzonej przez administratora działalności i stosunku prawnego łączącego do z podmiotem, którego dane będą przetwarzane. Należy jednak, zadbać o rzetelną realizację tego obowiązku, gdyż ewentualne błędy mogą prowadzić do odpowiedzialności finansowej podmiotu, który niezgodnie z RODO przetwarza dane osobowe.
Źródła:
J. Rzymowski, RODO – GDPR. Obowiązkowa dokumentacja przetwarzania danych osobowych z punktu widzenia administratora, Oficyna Wydawnicza „Impuls”, Kraków 2019.
W. Szczygielska (red.), Dokumentacja ochrony danych osobowych według RODO, Wyd. Wiedza i Praktyka, Warszawa 2018.
A. Baranowska-Górecka, Klauzula informacyjna dla osoby, której dane są przetwarzane w oparciu o zgodę, SIP LEX 2020.
M. Bochenek, Klauzula informacyjna w przypadku zbierania danych w sposób inny niż od osoby, której dane dotyczą, SIP LEX 2019.