Zarejestruj się i uzyskaj dostęp do licznych narzędzi

Jak spełnić obowiązek informacyjny

02/04/2019

Obowiązek Administratora, Obowiązek Informacyjny, Klauzula Informacyjna, Odpowiedziałność Za Naruszenie Rodo, Fanpage,

Po licznych publikacjach dotyczących RODO chyba już nikt nie ma wątpliwości, że RODO obowiązuje każdego, kto przetwarza dane osobowe niezależnie od tego, czy ten, kto je przetwarza, jest spółką prawa handlowego, osobą fizyczną prowadzącą działalność gospodarczą, czy nawet osobą fizyczną z wyjątkiem osób fizycznych przetwarzających dane osobowe w ramach czynności o czysto osobistym lub domowym charakterze. Ponadto obowiązek stosowania przepisów RODO nie zależy od tego czy przedsiębiorca jest zobowiązany do powołania IOD czy nie (ostatnio spotkałam się z takim zdaniem podmiotów głównie z branży IT).


W zależności od statusu  podmiotu, który zbiera i gromadzi dane - administrator czy procesor- RODO nakłada na każdego z nich odpowiednie obowiązki. Jak ustalić, czy przedsiębiorca jest administratorem czy podmiotem przetwarzającym pisaliśmy w artykule: „Kto jest administratorem, kto procesorem”. 

 

Jednym z głównych obowiązków nałożonych na administratorów danych osobowych jest obowiązek informacyjny. Jego celem jest uświadomienie osobie, której dane dotycząkto i w jaki sposób będzie przetwarzał udostępnione przez nią dane, co umożliwia osobie realizację kontroli nad przetwarzaniem jej danych oraz  zdefiniowanie, czy administrator legalnie gromadzi te dane i dysponuje podstawą prawna do ich przetwarzania.

 

 

 

Wobec kogo

 

Obowiązek informacyjny musi być zrealizowany przez administratora wobec wszystkich jego  klientów, kontrahentów,  pracowników zatrudnionych na podstawie umowy o pracę, personelu realizującego obowiązki na podstawie umowy cywilno-prawnej, osób korzystających z ZFŚS, kandydatów do pracy  i innych, więc do osób fizycznych oraz  osób fizycznych prowadzących działalność gospodarczą – niezależnie od ich obywatelstwa czy miejsca zamieszkania.

 

Obowiązek informacyjny należy spełnić również wobec byłych pracowników,  ponieważ archiwizacja dokumentacji kadrowo-płacowej to również przetwarzanie danych osobowych.

 

O powstaniu nowego obowiązku informacyjnego pracodawcy w związku z nowelizacją dotyczącą zmiany okresów przechowywania akt można dowiedzieć się z artykułu: „Nowe okresy przechowywania akt osobowych. Wzory klauzul  informacyjnych   dla procesu rekrutacyjnego  przedstawiamy w artykule: „Jak prowadzić rekrutacje kandydatów online nie naruszając RODO?”  

 

 

 

Kiedy trzeba spełnić obowiązek informacyjny?

 

Generalnie administrator jest zobowiązany informować osobę o przetwarzaniu jej danych w dwóch sytuacjach:

- w momencie, gdy dane zbierane są bezpośrednio od osoby, której one dotyczą (art.13 RODO),

- w przypadku gromadzenia danych z innych źródeł, tj. nie od osoby, której dane dotyczą (art. 14 RODO).

 

Pozyskując dane od osoby administrator informuje ją o tym pod czas zabierania  danych (najpóźniej w chwili ich zebrania) albo bezpośrednio przed ich zebraniem. Administrator również jest zobowiązany do spełnienia obowiązku informacyjnego w sytuacji gdy chce pozyskać od osoby nowe dane (nowy katalog danych), których nie pozyskał przy pierwszym kontakcie.

 

W przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą lecz z innego źródła administrator informuje ją o tym w rozsądnym terminie, jednak nie później niż w ciągu miesiąca. Jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą, obowiązek informacyjny trzeba spełnić najpóźniej przy pierwszej takiej komunikacji. W sytuacji, gdy  administrator planuje ujawnić dane osobowe innemu odbiorcy, jest on zobowiązany poinformować o tym osobę, której dane dotyczą najpóźniej przy ich pierwszym ujawnieniu (art. 14 ust. 3 lit. c RODO).

 

 

Ponadto administrator powinien poinformować osobę o przetwarzaniu jej danych w przypadku, gdy zmienia lub dodaje nowy cel przetwarzania (art. 13 ust. 3 i art. 14 ust. 4 RODO) oraz  pod czas wykonania żądania dostępu do danych (art.15 RODO).

 

linku przedstawiono schemat Realizacji obowiązku informacyjnego przy gromadzeniu danych osobowych. 

 

 

 

Zakres informacji

 

W sytuacji zbierania danych osobowych bezpośrednio od osoby, której dane dotyczą osobom są przekazywane informacje o tym:

  • kto jest administratorem danych;
  • jakie są dane kontaktowe inspektora ochrony danych (jeśli został powołany);
  • jaki jest cel przetwarzania danych;
  • jaka jest podstawa prawna przetwarzania;
  • kim są odbiorcy danych;
  • czy dane są przekazywane do państwa trzeciego;
  • jak długo dane będą przechowywane;
  • jakie przysługują im prawa, w tym o prawie do cofnięcia zgody;
  • że mają prawo wniesienia skargi do organu nadzorczego;
  • czy podanie danych jest dobrowolne;
  • czy konieczne, i jakie mogą być konsekwencje ich niepodania;
  • że decyzje są podejmowane w sposób zautomatyzowany.

 

W przypadku danych zbieranych  w inny sposób w klauzuli informacyjnej należy również zawrzeć  informacje o kategoriach przetwarzanych danych oraz o źródle pochodzenia tycz danych.

 

Poniżej zostały zaprezentowane treści przykładowych klauzul informacyjnych.

 

 

 

W jaki sposób poinformować

 

Obowiązek informacyjny wynikający zarówno z art. 13, jak i 14 RODO może być spełniony w różnorodny sposób. Najważniejsze, żeby komunikacja z osobą, której dane dotyczą, była prowadzona w zwięzłej, przejrzystej i łatwo dostępnej formie,  językiem zrozumiałym dla przeciętnego odbiorcy, z prostą konstrukcją zdań. 

 

Informacji udziela się  na piśmie lub w inny sposób, np. poprzez umieszczenie treści obowiązku na tablicy ogłoszeń albo, gdy jest to stosowane, w postaci elektronicznej. Na żądanie osoby, informacji można udzielić ustnie.

 

Jeżeli na stronie internetowej administratora nie są zbierane dane osobowe, klauzulę informacyjną można umieścić m.in. w treści pierwszego mailu do klienta czy w stopce maila.

 

Natomiast w sytuacjach, w których administrator danych zbiera dane osobowe za pomocą różnego rodzaju formularzy kontaktowych, w formie zapisów na newsletter, sprzedaży produktów lub komentowania artykułów czy wpisów na blogu obowiązek informacyjny może zostać spełniony przez umieszczenie odpowiednich informacji w treści formularza, w checkboxie, obok formularza rejestracji konta lub zapisu do newslettera. 

 

Obowiązek informacyjny może zostać spełniony poprzez udostępnienie odpowiednio stworzonych oznaczonych Regulaminu (np. konkursu prowadzonego na FanPage na Facebooku) lub polityki prywatności. W tych dokumentach administrator powinien umieścić wszystkie niezbędne elementy, o których musi powiadomić osobę, której dane dotyczą.

 

Co ważniejsze, klauzula informacyjna nie musi znajdować się w całości od razu pod formularzem lub w miejscu, gdzie są zbierane dane osobowe.  W celu zachowania przejrzystości w stosunku do osoby, której dane dotyczą, administrator danych  może  stosować tzw. „warstwowy” obowiązek informacyjny. W pierwszej warstwie należy zawrzeć informacje o tożsamości administratora, celu przetwarzania danych  osobowych oraz o prawach przysługujących osobie. Natomiast w drugiej, pełnej warstwie klauzuli informacyjnej powinny znaleźć się wszystkie pozostałe informacje wymagane przez art. 13 i art. 14 RODO.

 

W praktyce wygląda to tak, że pod formularzem, gdzie administrator zbiera dane podane niezbędne informacji  w wersji skróconej, skierowanie do pełnej treści  obowiązku informacyjnego może nastąpić np. za pomocą bezpośredniego linku do  stronu www lub wskazania informacji, gdzie można z nim się zapoznać (np. w recepcji).

 

Warto pamiętać, że w razie kontroli administrator będzie musiał wykazać, że obowiązek informacyjny został przez niego spełniony (art. 5 ust. 1 lit. a RODO).  Nie spełnienie obowiązku informacyjnego może spowodować nałożenie przez Prezesa Urzędu Ochrony Danych Osobowych wysokiej kary pieniężnej (czytaj o tym artykuł: Kara za naruszenie RODO w Polsce).

 

 

 

Olga Sklyarova, audytor JDS Consulting

 

 

Obowiązek Administratora, Obowiązek Informacyjny, Klauzula Informacyjna, Odpowiedziałność Za Naruszenie Rodo, Fanpage,
Język komunikacji w sprawie ochrony danych w  zagranicznej firmie mającej oddziały w Polsce
Język komunikacji w sprawie ochrony danych w zagranicznej firmie mającej oddziały w Polsce
Obowiązek informacyjny wobec członków zarządu osób prawnych
Obowiązek informacyjny wobec członków zarządu osób prawnych
Wysyłanie kart świątecznych
Wysyłanie kart świątecznych