Obowiązek informacyjny RODO – jak go zrealizować?

Od wejścia w życie rozporządzenia dotyczącego ochrony danych osobowych, tzw. RODO minęło już dobrych kilkanaście miesięcy. Jednak jak wskazuje praktyka, z realizacją nałożonych obowiązków różnie bywa. Pierwsza kara i to na niebagatelną kwotę 943 tyś. złotych dotyczyła właśnie niespełnienia obowiązku informacyjnego. Jeśli chcesz wiedzieć, czym ten obowiązek jest i jak należy go zrealizować, zapraszam do lektury artykułu.

Obowiązek informacyjny wynika z RODO. A co to jest RODO? Jeśli ktoś jeszcze nie wie co to jest RODO, to uprzejmie informuję, iż jest to Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (tzw. ogólne rozporządzenie o ochronie danych). Ufff…. Przydługa nazwa, a i treści do czytania jest sporo 😉

Na czym polega obowiązek informacyjny?

RODO kładzie bardzo duży nacisk na to, aby każda osoba fizyczna, której dane osobowe są przetwarzane wiedziała, co z jej danymi się dzieje i miała możliwość decydowania o nich. Obowiązek informacyjny dotyczy właśnie realizacji tego celu. Administrator danych osobowych jest zobowiązany przekazać osobie, której dane osobowe przetwarza szereg informacji, o których mowa w art. 13 RODO i w art. 14 RODO.

Kiedy stosować art. 13 RODO, a kiedy art. 14 RODO?

Obowiązek informacyjny uregulowany został w dwóch artykułach rozporządzenia – w art. 13 i 14. Skąd zatem masz wiedzieć, jakie informacje przekazać w danej sytuacji?

Jeśli jesteś freelancerem, czy małym przedsiębiorcą i nie działasz na wielką skalę, to w większości przypadków będziesz musiał spełnić obowiązek, o którym mowa w art. 13 RODO. Dotyczy on bowiem sytuacji, kiedy dane są zbierane od osoby, której dotyczą. Jeśli zatem zbierasz jakieś dane osobowe, np. na stronie internetowej przez zapis na newsletter, dane z formularzy, zawierasz z kimś umowę, rekrutujesz pracownika, wystawiasz fakturę, to wchodzisz w posiadanie danych tej osoby od niej samej i musisz ją poinformować o tym wszystkim, o czym mowa w art. 13 RODO, jeśli ta osoba nie została wcześniej o tym poinformowana.

Natomiast art. 14 RODO wchodzi w grę w sytuacji, kiedy dane są pozyskiwane w sposób inny, niż od osoby której dane dotyczą (jeśli np. tworzysz rejestr z bazy CEiDG, kupujesz bazę danych).

Obowiązek informacyjny a prowadzenie działalności nierejestrowej

Prowadząc działalność nierejestrową (nieewidencjonowaną) wiele osób zastanawia się, czy dotyczy ich RODO i czy oni również muszą realizować obowiązek informacyjny. Odpowiedź jest jedna: jeśli prowadząc taką działalność zbierasz dane osobowe osób fizycznych, to RODO Cię obowiązuje! A co za tym idzie, wszystkie obowiązki, jakie są nałożone przez rozporządzenie dotyczą także Ciebie!

CO POWINIEN ZAWIERAĆ OBOWIĄZEK INFORMACYJNY?

Pozwól, że w tym artykule zajmę się omówieniem obowiązku z art. 13 RODO. Na początek przytoczę treść art. 13 RODO.

Artykuł 13

Informacje podawane w przypadku zbierania danych od osoby, której dane dotyczą

1. Jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, administrator podczas pozyskiwania danych osobowych podaje jej wszystkie następujące informacje:

a) swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;

b)  gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;

c)  cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania;

d)  jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;

e)  informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;

f)  gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych.

2. Poza informacjami, o których mowa w ust. 1, podczas pozyskiwania danych osobowych administrator podaje osobie, której dane dotyczą, następujące inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania:

a)  okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;

b)  informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;

c)  jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;

d)  informacje o prawie wniesienia skargi do organu nadzorczego;

e)  informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;

f)  informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

3. Jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym dane osobowe zostały zebrane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji, o których mowa w ust. 2.

4. Ust. 1, 2 i 3 nie mają zastosowania, gdy – i w zakresie, w jakim – osoba, której dane dotyczą, dysponuje już tymi informacjami.

Jak sam widzisz, informacji, które należy przekazać osobie, której dane przetwarzasz jest całkiem dużo.

Tłumacząc powyższe na zrozumiały język, musisz zadbać o to, aby wskazać:

1. Kto jest administratorem danych (informacje o Tobie albo Twojej firmie, przedstawicielu, jeśli takiego posiadasz); wskaż również dane kontaktowe (w zależności od tego, kto jest administratorem: adres, adres firmy, NIP, REGON, nr KRS, nr telefonu, adres e-mail, dane kontaktowe przedstawiciela, jeśli posiadasz). Jeśli prowadzisz działalność nierejestrową, również musisz przekazać te informacje.
2. Dane kontaktowe inspektora ochrony danych osobowych, jeśli takiego powołałeś.
3. Cele przetwarzania (np. w celu wysyłki newslettera, w celu realizacji zamówienia, w celu zawarcia i wykonania umowy, w celu wystawienia faktury, w celu ustalenia, dochodzenia i obrony roszczeń w związku z zawartą umową, w celu odpowiedzi na zapytanie, itd.) i podstawę prawną przetwarzania (m.in. zgoda, umowa, obowiązek prawny, prawnie uzasadnione interesy administratora).
4. Jeśli przetwarzasz dane w ramach prawnie uzasadnionego interesu, musisz wskazać, jaki to interes (np. ustalenie, dochodzenie i obrona roszczeń w związku z zawartą umową).
5. Jeśli pozyskane dane komuś przekazujesz lub ktoś będzie miał do nich dostęp, musisz poinformować o odbiorcach danych osobowych lub o kategoriach odbiorców (jeśli korzystasz z usług np. biura rachunkowego, księgowej, obsługi IT, podwykonawców, dostawcy newslettera, systemu do fakturowania, kancelarii prawnych poinformuj o tym).
6. Jeśli przekazujesz dane do państwa trzeciego lub organizacji międzynarodowej (poza obszar UE/EOG), to musisz przekazać informacje o tym oraz o zastosowanych zabezpieczeniach i możliwości uzyskania kopii danych albo o miejscu ich udostępnienia.
7. Okres, przez jaki będziesz przetwarzał dane osobowe, a jeśli ustalić się go nie da, to kryteria ustalenia tego okresu (w niektórych przypadkach okres ten będzie wynikał z przepisów prawa; jeśli przepisy milczą w tym temacie, sam musisz ustalić czas, po jakim dane nie będą już przetwarzane).
8. Informacje o prawie do żądania dostępu do danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych.
9. Jeżeli dane przetwarzasz na podstawie zgody – musisz przekazać informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem.
10. Informacje o prawie wniesienia skargi do organu nadzorczego (czyli do Prezesa Urzędu Ochrony Danych Osobowych).
11. Informacje, czy podanie danych osobowych jest wymogiem ustawowym/umownym lub warunkiem zawarcia umowy oraz czy osoba jest zobowiązana do ich podania oraz jakie są ewentualne konsekwencje niepodania danych (np. podanie danych osobowych w celu zapisu na newsletter jest dobrowolne, ale niezbędne, aby otrzymywać newsletter).
12. Informacje o zautomatyzowanym podejmowaniu danych, w tym o profilowaniu.

Mam nadzieję, że bazując na powyższym wyjaśnieniu będziesz w stanie sam stworzyć odpowiedni dokument zawierający wszystkie wymagane informacje. Pamiętaj, że nie ma jednej uniwersalnej klauzuli – informacje muszą być zawsze dostosowane do konkretnej sytuacji, czyli celów przetwarzania.

Potrzebujesz indywidualnej pomocy w stworzeniu odpowiednich dokumentów dotyczących realizacji obowiązku informacyjnego? Skontaktuj się ze mną: kancelaria@adwokat-koprowska.pl

Wybór formy, w jakiej zrealizujesz obowiązek zależy od Ciebie.

JAK ZREALIZOWAĆ OBOWIĄZEK INFORMACYJNY Z RODO?

To, w jaki sposób zrealizujesz obowiązek informacyjny zależy od Ciebie i tego, w jaki sposób dane uzyskujesz. Nawet Urząd Ochrony Danych Osobowych nie wskazuje szczegółowych form sposobu realizacji tego obowiązku. Sam administrator ma wybrać najbardziej efektywną formę spełnienia obowiązku informacyjnego, tak aby osoby, których dane przetwarza faktycznie zostały poinformowane. Rekomenduje się, aby realizacja tego obowiązku nastąpiła podczas pozyskiwania danych.

W jaki sposób zrealizować ten obowiązek? Przykłady.

- jeśli dane zbierasz za pośrednictwem swojej strony internetowej (np. poprzez formularz kontaktowy, zapis na newsletter, komentarze, formularz zamówienia), to obowiązek informacyjny możesz zrealizować poprzez politykę prywatności zamieszczoną na stronie www;

- jeśli dane zbierasz za pośrednictwem portali społecznościowych, to obowiązek informacyjny możesz zrealizować również poprzez odesłanie do polityki prywatności na Twojej stronie www (możesz to zrobić albo w przypiętym poście, albo w zakładce Informacje - Zasady ochrony prywatności, czy O firmie);

- jeśli dane zbierasz na żywo od osoby, z którą zawierasz umowę, to obowiązek informacyjny możesz zrealizować poprzez umieszczenie odpowiedniego zapisu w samej umowie, ale możesz też wręczyć osobno klauzulę informacyjną (dokument, który zawiera cały obowiązek informacyjny);

- jeśli dane zbierasz przez e-mail, to obowiązek informacyjny możesz również zrealizować mailowo, czy to przez wysłanie maila ze wszystkimi informacjami, czy też przez zamieszczenie klauzuli w formie załącznika pdf, czy też poprzez odesłanie do polityki prywatności na stronie www. Możesz również wszystkie informacje zawrzeć w stopce maila.

Obowiązek informacyjny możesz zrealizować także poprzez:

• wysłanie listu (nie musi to być list polecony!), sms’a,
• publikację komunikatu w prasie, radiu lub telewizji,
• a nawet poprzez wywieszenie informacji w widocznym miejscu w pomieszczeniu, w którym dochodzi do zbierania danych, tak aby Klienci mogli się z tym ogłoszeniem zapoznać.

WAŻNE!

Jeśli obowiązek informacyjny realizujesz poprzez politykę prywatności na stronie www, to pamiętaj wówczas o tym, aby w polityce zawarte były wszystkie informacje odnośnie celów zbierania i okresów przetwarzania.

Zadbaj o to, aby w każdej sytuacji, w której zbierasz dane poinformować o tym osobę (pamiętaj, że dane zbierasz też np. od pracowników, osób działających w oparciu o umowę o dzieło/zlecenie, osób, z którymi współpracujesz na zasadzie B2B, osób, które rekrutujesz do pracy, uczestników konkursów, itd.). Pamiętaj, że obowiązuje również zasada rozliczalności – w razie kontroli to Ty będziesz musiał wykazać, że ten obowiązek faktycznie spełniłeś!

§ WARTO ZAPAMIĘTAĆ

♦ Jeśli przetwarzasz dane osobowe osób fizycznych, jako administrator danych osobowych musisz poinformować osobę, której dane przetwarzasz o szczegółach związanych z przetwarzaniem jej danych.

♦ Obowiązek informacyjny uregulowany został w art. 13 RODO (jeśli dane są zbierane od osoby, której dotyczą) i art. 14 RODO (jeśli dane są pozyskiwane w sposób inny, niż od osoby której dotyczą).

♦ Jeśli prowadzisz działalność nierejestrową, ale zbierasz dane osobowe osób fizycznych, to RODO Cię obowiązuje i obowiązek informacyjny musisz zrealizować.

♦ To, w jaki sposób zrealizujesz obowiązek informacyjny zależy od Ciebie (ważne, abyś go zrealizował).

♦ W razie kontroli to na Tobie spoczywa obowiązek wykazania realizacji tego obowiązku. Zastanów się zatem, w jaki sposób wykażesz, że obowiązek zrealizowałeś.

♦ Pamiętaj o poinformowaniu, w jakim celu zbierasz dane, na jakiej podstawie i przez jaki okres będzie je przetwarzał (podstawy i okres przetwarzania będą zależały od celu, w jakim dane zbierasz).

♦ Brak wypełnienia obowiązku informacyjnego podlega karze grzywny do 20 mln euro.

Stan prawny na dzień: 6.03.2020

Jeśli masz pytania lub problem prawny, zawsze możesz się ze mną skontaktować.

Spodobał Ci się artykuł? Podziel się nim z innymi albo zostaw komentarz. Będzie mi miło!