Nowe obowiązki informacyjne

Już niebawem, a dokładniej 25 maja 2018 r., zastosowanie znajdą przepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia Dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Rozporządzenie to koncentruje się na wzmocnieniu praw osób fizycznych w zakresie ochrony ich danych, co automatycznie wiąże się z nałożeniem dodatkowych obowiązków na administratorów danych osobowych, w tym przedsiębiorców. Na mocy art. 24 oraz art. 25 obecnie obowiązującej ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, na administratorze danych osobowych ciąży obowiązek informacyjny względem osoby, której dane dotyczą. Przepis art. 24 reguluje przypadki, w których dane zbierane są od osoby, której dane te dotyczą. Warto porównać ten wymóg z wymogiem, któremu sprostać będzie musiał każdy administrator danych osobowych od 25 maja 2018 r.

Zgodnie z art. 24 ust. 1 w przypadku zbierania danych osobowych od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę o:

adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna – o miejscu swojego zamieszkania oraz imieniu i nazwisku;
celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych;
prawie dostępu do treści swoich danych oraz ich poprawiania;
dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.

Ustawodawca nie nakłada na administratorów żadnych szczególnych wymagań co do sposobu przekazania tych informacji czy ich formy.

Tak sytuacja ta wygląda dziś, jednak obowiązek informacyjny ulegnie zmianie na skutek nowych przepisów ogólnego rozporządzenia o ochronie danych.

Wszelkie przetwarzanie danych osobowych powinno być zgodne z prawem i rzetelne. Dla osób fizycznych powinno być przejrzyste, że dotyczące ich dane osobowe są zbierane, wykorzystywane, przeglądane lub w inny sposób przetwarzane oraz w jakim stopniu te dane osobowe są lub będą przetwarzane. Zasada przejrzystości wymaga, by wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem tych danych osobowych były łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem. Zasada ta dotyczy w szczególności informowania osób, których dane dotyczą, o tożsamości administratora i celach przetwarzania oraz innych informacji mających zapewnić rzetelność i przejrzystość przetwarzania w stosunku do osób, których sprawa dotyczy, a także prawa takich osób do uzyskania potwierdzenia i informacji o przetwarzanych danych osobowych ich dotyczących. (…)

– Motyw 39 Preambuły RODO

Zgodnie z art. 13 ust. 1 i 2 RODO, jeżeli dane osobowe osoby, której dane dotyczą, zbierane będą od tej osoby, administrator podczas pozyskiwania danych osobowych będzie musiał udostępnić jej wszystkie następujące informacje:

swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela,
gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych,
cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania,
jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią,
informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją,
gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych,
okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu,
informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych,
jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem,
informacje o prawie wniesienia skargi do organu nadzorczego,
informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych,
informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Nie jest konieczne dokładne analizowanie tych przepisów, aby stwierdzić, że ustawodawca europejski w rozporządzeniu znacząco rozszerzył zakres informacji, które każdy administrator danych osobowych będzie musiał podać przy pozyskiwaniu danych. Tym samym klauzule informacyjne staną się jeszcze bardziej obszerne, a każdy administrator danych osobowych będzie musiał zadbać o to, by znalazły się w nich wszystkie wymagane informacje.

Wiele kwestii związanych z RODO nadal jest dla Ciebie niejasnych i budzi wątpliwości? Zapraszamy na nasze szkolenia ! W zrozumiały i przystępny sposób wszystko Ci wyjaśnimy i odpowiemy na Twoje pytania.