Powrót do wszystkich artykułówObowiązek informacyjny zasadniczo nie jest dla administratorów danych osobowych niczym nowym. Na gruncie RODO ustawodawca unijny zdecydował się jednak na jego znaczące poszerzenie. W praktyce oznacza to, że przedsiębiorcy będą musieli zmodyfikować stosowane dotychczas klauzule informacyjne, co w niektórych przypadkach wymagać może znaczących nakładów – zarówno pracy, jak i finansowych. Co warto wiedzieć o nowym obowiązku informacyjnym?
Forma wypełnienia obowiązku informacyjnego
W pierwszej kolejności zauważyć należy, iż RODO kładzie ogromny nacisk nie tylko na zakres informacji, które administrator danych osobowych ma obowiązek przekazać osobom fizycznym, których dane przetwarza, ale również na sposób ich przekazywania.
Zgodnie z wyrażoną w treści motywów 39 i 58 Preambuły oraz art. 12 RODO zasadą przejrzystości, wszelkie informacje kierowane do osób, których dane dotyczą oraz do ogółu społeczeństwa powinny być zwięzłe, łatwo dostępne i zrozumiałe oraz formułowane jasnym i prostym językiem, a w stosownych przypadkach dodatkowo wizualizowane. Oznacza to, że obowiązek informacyjny zostanie wypełniony w sposób prawidłowy tylko w tych przypadkach, w których klauzula informacyjna obiektywnie nie będzie pozostawiać żadnych wątpliwości co do zawartego w niej komunikatu.
Wobec powyższego uznać należy, iż wymogu przejrzystości nie będą spełniać m. in. klauzule informacyjne napisane językiem specjalistycznym, z użyciem sformułowań charakterystycznych dla konkretnej branży bądź skonstruowane w sposób nieprecyzyjny.
Obowiązek informacyjny na gruncie RODO może zostać wypełniony w najpowszechniej stosowanej formie pisemnej, w formie elektronicznej, a także w formie ustnej – jeżeli osoba, której dane dotyczą tego zażąda.
W jakim terminie należy wypełnić obowiązek informacyjny?
Obowiązek informacyjny powinien zostać wypełniony podczas pozyskiwania danych, tj. w trakcie ich pozyskiwania. Oznacza to, iż wypełnienie obowiązku informacyjnego nie może być czynnością następczą, podejmowaną już po pozyskaniu danych osobowych. Wskazane rozwiązanie ma na celu zapewnienie osobie, której dane dotyczą możliwości wyrażenia świadomej zgody na przetwarzanie jej danych osobowych.
Sytuacja nieco inaczej kształtuje się w przypadku, gdy administrator nie pozyskuje danych osobowych bezpośrednio od osoby, której te dane dotyczą. RODO wyraźnie wskazuje bowiem, iż administrator, który nie pozyskał danych osobowych w sposób bezpośredni musi wypełnić obowiązek informacyjny w rozsądnym terminie po pozyskaniu danych osobowych – najpóźniej w ciągu miesiąca – mając na uwadze konkretne okoliczności przetwarzania danych osobowych. Jeżeli natomiast dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą, obowiązek informacyjny aktualizuje się przy pierwszej takiej komunikacji.
Jakie informacje administrator danych powinien przekazać osobom, których dane dotyczą?
Katalog niezbędnych elementów klauzuli informacyjnej wskazany został w treści art. 13 ust. 1 i 2. RODO. Zgodnie ze wspomnianym wyżej przepisem administrator podczas pozyskiwania danych osobowych podaje osobie, której dane informacje o:
- Tożsamości i danych kontaktowych administratora oraz o tożsamości i danych kontaktowych jego przedstawiciela,
- Danych inspektora ochrony danych osobowych (jeśli został on u danego administratora powołany),
- Celach oraz podstawie prawnej przetwarzania danych,
- Prawnie uzasadnionym interesie administratora, jeśli stanowi on podstawę przetwarzania,
- Zamiarze przekazywania danych do państwa trzeciego,
- Odbiorcach lub kategoriach odbiorców danych osobowych,
- Okresie, przez który dane osobowe będą przetwarzane,
- Profilowaniu (zautomatyzowanym podejmowaniu decyzji),
- Prawie wniesienia skargi do organu nadzorczego,
- Prawach osoby, której dane dotyczą, takich jak prawo przenoszenia danych, prawo usunięcia danych, prawo ograniczenia przetwarzania, prawie do cofnięcia zgody na przetwarzanie.
W tym miejscu pamiętać również należy, że w przypadku pozyskiwania danych osobowych od osoby innej, niż ta, której dane dotyczą, obowiązek informacyjny obejmie również informacje o źródle pochodzenia danych osobowych, z uwzględnieniem informacji o ich pochodzeniu ze źródeł publicznie dostępnych oraz o kategoriach tych danych.
Jakie problemy mogą wiązać się z wprowadzeniem nowego obowiązku informacyjnego?
Analiza dotychczas stosowanych klauzul informacyjnych, ich modyfikacja oraz wymiana formularzy elektronicznych i papierowych może być dla administratorów czasochłonna i kosztowna. Nowe klauzule informacyjne będą też zdecydowanie dłuższe od tych stosowanych aktualnie – w niektórych przypadkach obejmować mogą nawet 1-2 strony A4.
Nie bez znaczenia pozostaje również wysokość kar, które organ nadzorczy będzie mógł nakładać na administratorów, którzy naruszą przepisy dotyczące obowiązku informacyjnego. Zgodnie bowiem z przepisem art. 83 ust. 5 lit. b) RODO w takim przypadku na administratora może zostać nałożona administracyjna kara pieniężna w wysokości do 20 000 000 euro, a w przypadku przedsiębiorstwa w wysokości do 4% jego całkowitego rocznego światowego obrotu, przy czym zastosowanie ma kara wyższa.
