W grudniu 2022 roku na naszym blogu opublikowaliśmy artykuł, który stanowił wprowadzenie do serii poświęconej praktycznej realizacji poszczególnych uprawnień podmiotów danych. Tematem przewodnim publikacji był „Tryb wykonywania praw osoby, której dane dotyczą”. Niniejszy artykuł zostanie poświęcony przede wszystkim wymaganiom art. 13 i 14 RODO.
Powyższe przepisy na gruncie RODO formułują tzw. obowiązek informacyjny. Obowiązuje on administratora w (ADO) przypadku pozyskania lub pozyskiwania danych od konkretnej osoby. Z perspektywy podmiotów danych jest to prawo do bycia poinformowanym. W ramach tego prawa administrator zobowiązany jest do podania osobie, której dane dotyczą pewnych konkretnych informacji. Ponadto realizuje ten obowiązek z własnej inicjatywy, a nie na żądanie osoby fizycznej – w odróżnienie od pozostałych praw osób, której dane dotyczą (z wyjątkiem obowiązku „powiadomienia o sprostowaniu lub usunięciu danych osobowych lub o ograniczeniu przetwarzania” określonego w art. 19 RODO).
Prawo do bycia poinformowanym jest jednym z podstawowych filarów ochrony danych osobowych. Stanowi ono „bazę” do realizacji pozostałych uprawnień podmiotów danych. Formułując katalog informacji podawanych podczas spełnienia obowiązku informacyjnego należy w pierwszej kolejności określić źródło pozyskania danych. Kryterium różnicującym tryb realizacji obowiązku jest to, czy zbieranie danych osobowych odbywa się w sposób bezpośredni, czy pośredni. Bezpośrednie pozyskanie danych oznacza, że zostały one pozyskane wprost od osoby, której dotyczą. Z pośrednim pozyskaniem danych mamy do czynienia w sytuacji, kiedy podmiot danych nie brał udziału w pozyskaniu przez ADO jego danych osobowych. Przykładem pośredniego pozyskania danych może być ich zdobycie z ogólnie dostępnych rejestrów (np. CEIDG).
Informacje podawane w przypadku zbierania danych od osoby, której dane dotyczą (art. 13 RODO)
Zakres informacji podawanych w przypadku pozyskiwania danych bezpośrednio od osoby fizycznej reguluje art. 13 RODO.
Zgodnie z art. 13 ust. 1 w klauzuli informacyjnej administrator powinien podać:
Art. 13 ust. 1 lit. a
a) swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
Zgodnie z doktryną poprzez tożsamość i dane kontaktowe administratora będącego osobą prawną należy rozumieć pełną nazwę (firmę) oraz adres siedziby (lub adres do doręczeń, jeżeli jest inny niż adres siedziby). Natomiast w sytuacji, gdy administratorem jest osoba fizyczna, informacje te będą obejmować imię i nazwisko, adres wykonywania działalności gospodarczej (lub adres do doręczeń, jeżeli jest inny niż adres siedziby). W obu przypadkach warto podać także adres poczty elektronicznej, jeżeli administrator przewiduje możliwość kontaktu elektronicznego. W obecnych czasach większość osób preferuje komunikowanie się drogą elektroniczną. Dlatego każdy ADO powinien umożliwić ten sposób kontaktu. Brak adresu e-mail może być postrzegany jako utrudnianie kontaktu z administratorem. Należy również pamiętać, że wiadomości przesyłane drogą elektroniczną są dostarczane natychmiastowo, w przeciwieństwie do tych wysyłanych pocztą tradycyjną (wówczas adresat otrzyma wiadomość po kilku dniach).
Jeśli ADO nie ma jednostki organizacyjnej w Unii Europejskiej podaje dane swojego przedstawiciela. Przez przedstawiciela ustawowego należy rozumieć osobę fizyczną lub prawną będącą reprezentantem administratora na terenie danego kraju członkowskiego UE. Wyznaczenie przedstawiciela jest konieczne w przypadku, gdy ADO mający siedzibę poza terytorium Unii Europejskiej świadczy usługi obywatelom Unii. Taki przedstawiciel powinien zostać wyznaczony przez administratora na piśmie. Osoba taka powinna mieć siedzibę na terytorium UE. Do przedstawiciela ADO powinny móc zwrócić się osoby, których dane przetwarza administrator.
Art. 13 ust. 1 lit. b
b) gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
Nie każdy administrator jest zobowiązany do wyznaczenia inspektora ochrony danych. Jeżeli w organizacji wyznaczono IOD, administrator powinien o tym fakcie powiadomić podmioty danych, podając również jego dane kontaktowe. W klauzuli informacyjnej powinny znaleźć się informacje, które pozwolą na łatwy, szybki i bezpośredni kontakt z inspektorem. Może być to adres e-mail, numer telefonu lub dodatkowo adres korespondencyjny. Nie ma natomiast konieczności zamieszczania w klauzuli imienia i nazwiska osoby sprawującej funkcję IOD. Taka informacja powinna zostać jednak zamieszczona w innym łatwo dostępnym miejscu, np. na stronie internetowej ADO.
Art. 13 ust. 1 lit. c
c) cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania;
Podanie celów przetwarzania danych osobowych pomaga osobie, której dane dotyczą rozeznać się, po co właściwie administrator pozyskuje od niej dane osobowe. Dzięki temu może ona również stwierdzić, czy przekazywane przez nią dane są adekwatne dla tego celu.
Cel przetwarzania danych osobowych powinien zostać przez administratora podany w sposób możliwie wyczerpujący, precyzyjny i przystępny. W sytuacji, gdy celów jest kilka, należy wymienić każdy z nich. Żadnego z celów nie wolno zataić lub uznać, że jest on oczywisty.
Podanie podstawy prawnej wymaga ustalenia, czy przetwarzane będą dane zwykłe, czy wrażliwe. Ponadto wyznaczony cel przetwarzania będzie najczęściej narzucał jedną z przesłanek przetwarzania danych osobowych, określonych w art. 6 ust. 1 RODO. W przypadku danych wrażliwych musi zostać spełniony również co najmniej jeden z warunków wymienionych w art. 9 ust. 2. W sytuacji, gdy podstawa przetwarzania danych osobowych wynika z obowiązku prawnego, administrator powinien przytoczyć te przepisy oraz wskazać ich źródło. Według dr Marleny Sakowskiej-Baryły „zasada rzetelności i przejrzystości przetwarzania nie pozwala poprzestać na przytoczeniu stosownego numeru przepisu, ale na przytoczeniu jego treści.”
Art. 13 ust. 1 lit. d
d) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;
Jedną z przesłanek legitymizujących przetwarzanie danych osobowych jest prawnie uzasadniony interes administratora lub strony trzeciej. Administrator powołując się na tę przesłankę powinien wskazać wyraźnie, na czym polega ten uzasadniony interes. Przykładowo, wykorzystanie danych może wiązać się z potrzebą utrzymywania bezpośredniego kontaktu z daną osobą. Bardzo często prawnie uzasadnione interesy są wprost określone w przepisach prawa jako uprawnienia poszczególnych administratorów. Przykładem takiego usprawiedliwionego działania (a nie obowiązku prawnego) jest monitorowanie pracowników przez pracodawcę zgodnie z przepisami Kodeksu pracy.
Art. 13 ust. 1 lit. e
e) informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
RODO przewiduje informowanie o odbiorcach danych lub o kategoriach odbiorców, jeżeli tacy istnieją. Mowa tu o odbiorach w rozumieniu art. 4 pkt. 9 RODO. Odbiorcami mogą być więc osoby zarówno fizyczne, jak i prawne, organy publiczne, jednostki lub inne podmioty, którym ujawniane są dane osobowe, w tym podmioty przetwarzające dane w imieniu administratora. Katalog odbiorców może się dynamicznie zmieniać ze względu np. na zmianę usługodawców, z którymi współpracuje administrator. Dlatego w przypadku powierzania przetwarzania zasadnym jest wskazanie wyczerpujących opisów kategorii odbiorców danych, a nie wymienianie ich nazw (np. biuro rachunkowe, wsparcie IT). Jeśli jednak dane są udostępniane, wówczas należy wskazać odbiorcę z nazwy. Należy przy tym pamiętać, że nie każdy podmiot, któremu dane udostępniamy jest odbiorcą w rozumieniu definicji RODO.
Odbiorcami nie są (zgodnie z motywem (31) RODO „Organy publiczne, którym ujawnia się dane osobowe w związku z ich prawnym obowiązkiem sprawowania funkcji publicznej (takich jak organy podatkowe, organy celne, finansowe jednostki analityki finansowej, niezależne organy administracyjne czy organy rynków finansowych regulujące i nadzorujące rynki papierów wartościowych), nie powinny być traktowane jako odbiorcy, jeżeli otrzymane przez nie dane osobowe są im niezbędne do przeprowadzenia określonego postępowania w interesie ogólnym zgodnie z prawem Unii lub prawem państwa członkowskiego. Żądanie ujawnienia danych osobowych, z którym występują takie organy publiczne, powinno zawsze mieć formę pisemną, być uzasadnione, mieć charakter wyjątkowy, nie powinno dotyczyć całego zbioru danych ani prowadzić do połączenia zbiorów danych. Przetwarzając otrzymane dane osobowe, takie organy powinny przestrzegać mających zastosowanie przepisów o ochronie danych, zgodnie z celami przetwarzania”.
Przykładowo, każdy administrator, który zatrudnia pracowników lub zleceniobiorców będzie przekazywał ich dane do Zakładu Ubezpieczeń Społecznych (ZUS). W przypadku przekazania danych do ZUS nie ma obowiązku informowania o tym fakcie podmiotu danych, ponieważ zgodnie z intencją prawodawcy unijnego wyrażoną w motywie (31) ZUS nie będzie odbiorcą. Przekazując dane pracowników do ZUS pracodawca posługuje się danymi dotyczącymi konkretnej sprawy (np. obowiązku zapłaty składek na ubezpieczenie społeczne). W tym przypadku ZUS działa w ramach swoich kompetencji ustawowych jako odrębny administrator.
Art. 13 ust. 1 lit. f
f) gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz informację o sposobach uzyskania kopii tych zabezpieczeń lub o miejscu ich udostępnienia.
RODO przewiduje sytuację, w której administrator przekazuje dane osobowe do państwa trzeciego (czyli poza EOG) lub organizacji międzynarodowej, gdzie RODO może nie obowiązywać. Popularną sytuacją, w której dochodzi do przekazania danych do państwa trzeciego, jakim są Stany Zjednoczone, jest korzystanie przez ADO z Google Analytics. Informując podmiot danych o takim transferze, administrator powinien powiadomić o zastosowanych zabezpieczeniach, które umożliwią odpowiedni poziom ochrony danych. (Przypadek ten opisaliśmy w jednym z naszych artykułów.)
Art. 13 ust. 2 lit. a
Zgodnie z art. 13 ust. 2 w klauzuli informacyjnej administrator powinien podać dodatkowo:
a) okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
Okres przechowywania danych powinien zostać wskazany dzięki ustaleniu przewidywanego czasu przetwarzania danych osobowych. Czas ten może wynikać z konkretnych przepisów prawa. Przykładowo okres przechowywania dokumentacji pracowniczej wynosi 10 lat (wynika to z art. 94 pkt 9b kodeksu pracy). W sytuacji ustawowego określenia okresu przechowywania danych administratorom łatwiej jest dopełnić tego obowiązku. Problematyczne może okazać się oszacowanie okresu przechowywania danych w sytuacji, gdy czas ten nie został określony przepisami prawa. Wówczas to ADO musi zdecydować jak długo powinien przechowywać dane, aby zrealizować cele zakomunikowane podmiotom danych.
Prawodawca unijny dostrzegł możliwość wystąpienia sytuacji, w której administrator nie będzie w stanie wskazać dokładnie czasu, przez jaki będzie przechowywał dane osobowe. Dlatego przepisy RODO dopuszczają możliwość wskazania kryterium, na podstawie którego administrator określi czas przechowywania danych. W praktyce może to polegać na wskazanie celu, dla którego konieczne będzie wykorzystywanie danych. Najczęstszą sytuacją, w której czas retencji danych związany jest z określonym zdarzeniem, będzie powiązanie usunięcia danych z wycofaniem zgody na ich przetwarzanie (jeśli to zgoda była przesłanką legalizującą przetwarzanie).
Art. 13 ust. 2 lit. b
b) informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
Powyższy przepis zobowiązuje administratora do poinformowania osoby, której dane dotyczą o prawach przysługujących jej na mocy RODO. Zostały one stypizowane w rozdziale III RODO. Poszczególnym prawom podmiotów danych zostaną poświęcone artykuły, które w kolejnych miesiącach będą publikowane na naszym blogu.
Wymieniając w klauzuli uprawnienia przysługujące osobom fizycznym należy wziąć pod uwagę, że mają one swoje zastosowanie w określonych sytuacjach zależnych od podstawy przetwarzania danych. Na przykład prawo do wniesienia sprzeciwu wobec przetwarzania przysługuje w przypadku przetwarzania opartego na art. 6 ust. 1 lit. e (interesie publicznym) lub f (prawnie uzasadnionych interesach), natomiast prawo do przenoszenia danych w przypadku, gdy przetwarzanie odbywa się na podstawie zgody (w myśl art. 6 ust. 1 lit. a lub art. 9 ust. 2 lit. a) lub na podstawie umowy (w myśl art. 6 ust. 1 lit. b).
Art. 13 ust. 2 lit. c
c) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
Podstawą przetwarzania danych osobowych określoną w art. 6 ust. 1 lit. a RODO (w przypadku danych zwykłych) oraz w art. 9 ust. 2 lit. a RODO) (w przypadku danych szczególnych kategorii) jest zgoda osoby, które dane dotyczą. Informacja o prawie do cofnięcia zgody może być podana dwukrotnie. W momencie wyrażenia przez podmiot danych zgody na przetwarzanie danych osobowych oraz we fragmencie klauzuli, w której mowa o jego uprawnieniach. Informując daną osobę o możliwości wycofania zgody należy również poinformować o skutkach takiego działania. Może się bowiem zdarzyć, że podmiot danych wycofując zgodę nie zdaje sobie sprawy z konsekwencji takiej decyzji (np. uniemożliwia to dalszy udział w aktywnościach, które były dla niego ważne).
Zwrot „bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem” oznacza, że mimo cofnięcia zgody (będącej podstawą przetwarzania danych) wcześniejsze wykorzystanie danych przez administratora było zgodne z prawem i może wciąż wywoływać konsekwencje, nawet jeśli dane przestały być przetwarzane w określonym celu, zgodnie z wolą osoby fizycznej. Przykładem takiej sytuacji jest cofnięcie zgody na udostępnianie danych. Wycofanie zgody nie zapobiegnie udostępnieniu, które już nastąpiło, lecz odbierze administratorowi możliwość przekazania danych kolejnym podmiotom.
Art. 13 ust. 2 lit. d
d) informacje o prawie wniesienia skargi do organu nadzorczego;
W Polsce organem nadzorczym jest Prezes Urzędu Ochrony Danych Osobowych (Prezes UODO). Informacja o możliwości złożenia skargi do organu nadzorczego może być formułowana zarówno w sposób lakoniczny (po prostu poprzez wskazanie takiego uprawnienia), jak i precyzyjnie, poprzez podanie nazwy organu, adresu siedziby, a nawet form wnoszenia skargi. Administrator może również wskazać czemu ta skarga służy i jak będzie procedowana przez organ oraz co podlega zaskarżeniu. Jeśli ADO wyznaczył IOD, może w tym miejscu również zasugerować, że kontakt z inspektorem może być bardziej efektywny i korzystny dla wszystkich stron niż wniesienie skargi.
Art. 13 ust. 2 lit. e
e) informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
Informacja o dobrowolności podania danych daje osobie fizycznej swobodę w podjęciu decyzji o przekazaniu konkretnych informacji na jej temat. Prawny obowiązek podania danych może zostać nałożony wyłącznie w drodze ustawy (o czym stanowi art. 51 ust. Konstytucji). Jeżeli podanie danych nie jest obowiązkiem ustawowym, ale wynika z zawartej umowy, podmiot danych jest ograniczony jej postanowieniami, ale ma swobodę jej rozwiązania. W sytuacji, gdy podanie danych jest dobrowolne, ale konieczne do dopełnienia konkretnej czynności prawnej (np. udzielenia odpowiedzi na zadane pytania), podmiot danych decyduje czy skorzystać ze swoich uprawnień. Administrator musi rzeczowo i w sposób zrozumiały wyjaśniać, do czego tak naprawdę służą zbierane dane i jakie konsekwencje może spowodować ich brak (np. brak możliwości realizacji zamówienia).
Art. 13 ust. 2 lit. f
f) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
Decyzja oparta wyłącznie na zautomatyzowanym przetwarzaniu to taka, która została podjęta za pomocą środków technicznych (algorytmu) bez udziału człowieka. Nie musi się ona wiązać z profilowaniem. Natomiast z profilowaniem mamy do czynienia, gdy czynniki osobowe oceniane są w celu wypracowania prognoz na temat danej osoby. O zautomatyzowanym podejmowaniu decyzji lub wykorzystywaniu profilowania ADO powinien powiadomić osobę, której dane dotyczą już na etapie pozyskiwania danych. Ponadto należy wskazać informację o zasadach podejmowania zautomatyzowanych decyzji. Osoba, której dane dotyczą powinna zostać poinformowana również o znaczeniu i przewidywanych konsekwencjach, jakie przynosi dla niej podejmowanie decyzji w ten sposób. Zasady podejmowania zautomatyzowanych decyzji powinny być istotne z perspektywy zapewnienia przejrzystości przetwarzania. Administrator nie musi podawać szczegółów technicznych profilowania czy podejmowania zautomatyzowanych decyzji, ani nazw programów wykorzystywanych w tym celu. Osoba, której dane dotyczą powinna zostać poinformowana przede wszystkich o zasadniczych elementach procesu decyzyjnego, źródle i zakresie informacji branych pod uwagę i ich znaczeniu dla ostatecznego wyniku procesu decyzyjnego.
Administrator spełniając obowiązek informacyjny może podać osobie, której dane dotyczą również inne informacje, niewymagane art. 13.
Informacje podawane w przypadku pozyskania danych w sposób inny niż od osoby, której dotyczą (art. 14 RODO)
Pozyskiwanie danych nie od osoby, której dotyczą określane jest często w doktrynie mianem pośredniego pozyskiwania danych osobowych. Sytuacja taka ma miejsce, gdy podmiot danych nie uczestniczy świadomie w procesie gromadzenia jego danych. Przykładem może być nabycie bazy danych od innego administratora lub pozyskiwanie danych ze źródeł publicznie dostępnych, np. portali społecznościowych, bądź rejestrów publicznych. W takiej sytuacji należy podać podmiotowi danych katalog informacji określony w art. 13 RODO, wzbogacony o kategorie pozyskanych danych oraz źródło ich pochodzenia Natomiast w sytuacji, gdy ma to zastosowanie administrator powinien poinformować podmiot danych o fakcie, że dane pochodzą ze źródeł publicznie dostępnych.
Zgodnie z art. 14 ust. 1 RODO administrator pozyskując dane osobowe konkretnej osoby w sposób pośredni, powinien przekazać jej następujące informacje:
a) swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
b) gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
c) cele przetwarzania, do których mają posłużyć dane osobowe, oraz podstawę prawną przetwarzania;
Analogicznie jak w art. 13 ust. 1 lit. a-c.
Art. 14 ust.1 lit. d
d) kategorie odnośnych danych osobowych;
W przypadku, gdy podmiot danych samodzielnie i bezpośrednio udostępnia swoje dane osobowe ma świadomość ich zakresu. Natomiast w przypadku, gdy dane zostały pozyskane z innego źródła nie wiedziałby, jakie konkretnie dane administrator przetwarza. Nawet w przypadku wskazania źródła pozyskania danych (np. CEIDG) nie ma pewności, czy ADO pozyskał wszystkie dane tam dostępne. Dlatego osobie, której dane dotyczą administrator powinien podać informację o konkretnych kategoriach pozyskanych danych osobowych. Podanie kategorii danych oznacza przybliżenie ich typów i rodzaju. W tym miejscu wskazać należy, że jeżeli administrator dysponuje danymi kontaktowymi to powinien wskazać, jakie dokładnie są to dane. Pod pojęciem danych kontaktowych mieści się bowiem wiele rodzajów danych (takich jak m.in. numer telefonu, adres e-mail). Nie zawsze ADO będzie w posiadaniu wszystkich tych informacji.
Art. 14 ust. 1 lit. e-f
e) informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
f) gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz informację o sposobach uzyskania kopii tych zabezpieczeń lub o miejscu ich udostępnienia.
Analogicznie jak w art. 13 ust. 1 lit. e-f.
Art. 14 ust. 2
Zgodnie z art. 14 ust. 2 w klauzuli informacyjnej administrator powinien podać dodatkowo:
a) okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
Analogicznie jak w art. 13 ust. 2 lit. a
b) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;
Analogicznie jak w art. 13 ust. 1 lit. d
c) informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
Analogicznie jak w art. 13 ust. 2 lit. b
d) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
Analogicznie jak w art. 13 ust. 2 lit. c
e) informacje o prawie wniesienia skargi do organu nadzorczego;
Analogicznie jak w art. 13 ust. 2 lit. d
Art. 14 ust. 1 lit. f
f) źródło pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych;
Podanie źródła danych może odbywać się poprzez wskazanie innego ADO, który udostępnił dane osobowe konkretnej osoby lub wskazanie innego źródła, z którego pozyskano dane. Źródłem takim może być przykładowo rejestr lub spis. W przypadku pozyskania danych od innego administratora zasadnym jest wskazanie jego danych kontaktowych. Umożliwi to osobie, której dane dotyczą skorzystanie z przysługujących jej na mocy RODO uprawnień (np. wycofania zgody na udostępnianie).
g) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
Analogicznie jak w art. 13 ust. 2 lit. f.
W sytuacji pośredniego pozyskania danych administrator musi spełnić obowiązek informacyjny w rozsądnym terminie, jednak nie później niż miesiąc od pozyskania danych. Rozsądny termin to „taki, który może zostać dochowany przez podmiot zobowiązany w zwykłym trybie bez szczególnych, nadzwyczajnych działań” (J. Łuczak [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, red. E. Bielak-Jomaa, D. Lubasz, Warszawa 2018, art. 14.)
Zwolnienie z obowiązku informacyjnego
RODO przewiduje możliwość zwolnienia administratora z obowiązku informowania. W sytuacji pozyskiwania danych bezpośrednio, gdy podmiot danych dysponuje już informacjami, które zostałyby podane poprzez dopełnienie obowiązku informacyjnego (art. 13 ust. 4).
Prawodawca unijny przewiduje możliwość zwolnienia z obowiązku informacyjnego również w przypadku pośredniego zbierania danych. Może to nastąpić w analogicznej sytuacji jak w art. 13 lub gdy udzielenie niezbędnych informacji jest niemożliwe lub byłoby możliwe, jednak wymagałoby niewspółmiernie dużego wysiłku. Zgodnie z komentarzem do art. 14 RODO autorstwa dr Pawła Litwińskiego „Z taką sytuacją będziemy mieć do czynienia w szczególności w przypadku przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, z zastrzeżeniem warunków i zabezpieczeń, o których mowa w art. 89 ust. 1 RODO, lub o ile obowiązek informacyjny może uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania”. Niewspółmiernie dużym wysiłkiem nie będzie więc sytuacja, gdy osoba, której dane dotyczą umożliwiła kontakt jedynie pocztą tradycyjną, a nie mailową.
Czym nie jest niewspółmiernie duży wysiłek, można zobrazować na realnym przykładzie. Pierwsza administracyjna kara pieniężna Prezesa UODO została nałożona decyzją z dnia 15 marca 2019 r. Powodem jej nałożenia było niedopełnienie obowiązku informacyjnego w sytuacji pozyskiwania danych osobowych ze źródeł publicznie dostępnych (m.in. CEIDG). Spółka, mylnie powołując się na art. 14 pkt. 5 lit. b RODO, zrealizowała obowiązek informacyjny jedynie wobec części podmiotów danych, których adresy mailowe były podane w CEIDG. Ustalono, że spółka dopełniła obowiązku informacyjnego względem 90 tys. osób, natomiast nie spełniła go wobec aż 6 mln osób. Osoby te zostały pozbawione możliwości dowiedzenia się, że administrator wykorzystuje ich dane (w celach zarobkowych) oraz skorzystania ze swoich pozostałych uprawnień.
Obowiązek informacyjny w przypadku pośredniego zbierania danych nie jest również obligatoryjny, jeżeli pozyskanie danych jest wyraźnie regulowane prawem państwa członkowskiego UE, któremu podlega ADO oraz w sytuacji, gdy fakt przetwarzania danych osobowych musi zostać poufny zgodnie z obowiązkiem zachowania tajemnicy zawodowej (art. 14 ust. 5).
Jak prawidłowo realizować obowiązek informacyjny
Administratorzy dopełniają obowiązku informacyjnego najczęściej poprzez sformułowanie na piśmie tzw. klauzuli informacyjnej, która stosownie do sposobu pozyskania danych zawiera informacje określone w art. 13 lub 14 RODO. Taka klauzula może być zamieszczona np. przy formularzu, w którym zbierane są dane osobowe.
Redagując treść klauzuli informacyjnej warto posiłkować się wytycznymi Grupy Roboczej art. 29 (obecnie EROD) dotyczącymi przejrzystości. Zgodnie ze wskazówkami EROD klauzula informacyjna powinna być czytelna i zrozumiała. Oznacza to, że powinien ją zrozumieć przeciętny przedstawiciel grupy docelowych odbiorców. Informacje zawarte w klauzuli powinny być jak najbardziej precyzyjne. Należy unikać zwrotów nieostrych, takich jak „może”, „niektóre”, „często” i „możliwe”. Warto również zadbać o strukturę akapitów i zdań. W klauzuli informacyjnej można m.in. stosować wypunktowania i wcięcia, za pomocą których wskazuje się hierarchię fragmentów tekstu.
Forma klauzuli informacyjnej
Aby klauzula informacyjna była czytelna powinna zawierać jak najmniej tekstu. Stwarza to pewnego rodzaju paradoks, ponieważ z jednej strony powinna być ona krótka, zaś z drugiej – musi zawierać wszystkie niezbędne informacje. Wypracowanie właściwego kompromisu może być ogromnym wyzwaniem dla administratorów.
Aby mu sprostać można zastosować podejście „warstwowe”. Problematykę tę poruszył w swoim wpisie dr Paweł Litwiński. W pierwszej „warstwie”, w klauzuli informacyjnej zamieszczonej przy formularzu należy wówczas podać same najważniejsze informacje, takie jak tożsamość ADO, cele przetwarzania, prawa osób, których dane dotyczą. Pozostałe informacje mogą się znajdować w kolejnej „warstwie”, np. w tzw. polityce prywatności. W przypadku trybu warstwowego na końcu klauzuli informacyjnej należy zamieścić informację o funkcjonującej polityce prywatności oraz dodać link prowadzący bezpośrednio do niej.
Istotę tzw. warstwowego obowiązku informacyjnego wielokrotnie podkreśla Prezes UODO. W „Szkoleniu IOD” dotyczącym obowiązku informacyjnego można znaleźć informację, zgodnie z którą: „Aby nie przytłoczyć odbiorcy informacjami, można je włączyć do warstwowego oświadczenia o ochronie prywatności / warstwowej informacji o polityce prywatności (zob. pkt 35)”.
Gdzie należy zamieścić klauzulę informacyjną?
Miejsce zamieszczenia klauzuli informacyjnej będzie zależne od tego, dla jakiego procesu przetwarzania danych jest dedykowana. Klauzula informacyjna powinna być zamieszczona w miejscu łatwo dostępnym, w którym podmiot danych będzie mógł się z nią bez problemu zapoznać.
Polski prawodawca poprzez przepisy szczególne niekiedy precyzuje miejsce, w którym powinno nastąpić dopełnienie obowiązku informacyjnego. Przykładem takich regulacji jest art. 358 ust. 2 ustawy z dnia 9 czerwca 2022 r. o wspieraniu i resocjalizacji nieletnich, zgodnie z którym: „Obowiązki, o których mowa w art. 13 ust. 1 i 2 (…) [RODO], wykonuje się przez udostępnienie informacji w Biuletynie Informacji Publicznej na stronie podmiotowej lub na stronie internetowej administratora danych osobowych oraz w widocznym miejscu w jego siedzibie”.
Warto w tym miejscu podkreślić, że zamieszczanie informacji dotyczących wszystkich czynności przetwarzania w jednej polityce prywatności dostępnej jedynie na stronie internetowej lub w BIP jest bardzo ryzykowne. Może to doprowadzić do „przytłoczenia” osoby, której dane dotyczą zbyt szerokim zakresem informacji.
Klauzula informacyjna dotycząca przetwarzania danych osób kontaktujących się z administratorem
Jednym ze źródeł, z których administrator może pozyskać dane osobowe jest korespondencja kierowana doń przez osobę, której dane dotyczą. Zgodnie z utartą praktyką klauzula informacyjna dotycząca przetwarzania danych osobowych osób kontaktujących się z administratorem jest zamieszczana na stronie internetowej w miejscu, w którym taki kontakt umożliwiono. Często funkcjonuje w tym celu tzw. formularz kontaktowy. Osoba, która chce się skontaktować z ADO wpisuje w nim swoje dane (np. imię i nazwisko, numer telefonu oraz adres e-mail) oraz zamieszcza treść korespondencji kierowanej do administratora. Bardzo ważne jest, aby przed podaniem tych informacji osoba mogła zapoznać się z treścią klauzuli informacyjnej zawierającej co najmniej najważniejsze informacje.
Oczywiście nie każdy administrator na swojej stronie internetowej zamieszcza formularz kontaktowy. Nawet jeśli on nie funkcjonuje, ale umieszczono na stronie www dane kontaktowe firmy (np. adres e-mail), to ADO również jest zobowiązany do realizacji obowiązki informacyjnego wobec osób, które z nim korespondują. Dlatego dobrym rozwiązaniem jest umieszczenie klauzuli informacyjnej w zakładce kontakt, zawierającej formularz lub dane kontaktowe.
Podsumowanie
Jak pokazują decyzje Prezesa Urzędu Ochrony Danych Osobowych (przykładem jest decyzja z dnia 21 marca 2021 r., która została opisana w naszym wcześniejszym artykule), organ nadzorczy przywiązuje dużą wagę do prawidłowego spełnienia obowiązku informacyjnego, w tym także do treści klauzul.
Aby uniknąć otrzymania administracyjnej kary pieniężnej każda organizacja powinna zadbać o prawidłową realizację obowiązku informacyjnego w każdym procesie przetwarzania danych osobowych. Warto zaznaczyć, że aby obowiązek informacyjny mógł zostać uznany za spełniony, musi zawierać wszystkie niezbędne elementy. Nie można przy tym zapomnieć, że treść klauzuli informacyjnej powinna mieć zwięzłą i przejrzystą formę. Należy również zadbać o właściwy czas oraz miejsce dopełnienia obowiązku informacyjnego. Ogromnym wsparciem w tym zakresie może być doradztwo wykwalifikowanego inspektora ochrony danych, który zasugeruje właściwy sposób wypełnienia obowiązku informacyjnego w organizacji.