Kontynuując tematykę związaną z wejściem w życie Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; dalej jako: „Rozporządzenie RODO”), dzisiejszy wpis poświęcimy jednemu z najistotniejszych zagadnień tj. tzw. „obowiązkowi informacyjnemu”.
Zagadnienie „obowiązku informacyjnego” zostało uregulowane w art. 13 – 14 Rozporządzenia RODO. Zgodnie z treścią przedmiotowych przepisów, administrator w związku z pozyskiwaniem danych osobowych, jest zobowiązany do udzielania osobie, której dane osobowe dotyczą, informacji określonych w Rozporządzeniu RODO. Jednocześnie jednak różnicuje się zakres „obowiązku informacyjnego”, w zależności od tego, czy pozyskujemy dane osobowe od osoby, której dane dotyczą, czy też pozyskujemy je z tzw. „innych źródeł” (tj. nie od osoby, której dane dotyczą).
W przypadku pozyskiwania danych osobowych od osoby, której dane dotyczą, administrator jest zobowiązany do podania takiej osobie następujących informacji:
- tożsamość i dane kontaktowe administratora (w przypadku obowiązku wyznaczenie przedstawiciela także tożsamość i dane kontaktowe swojego przedstawiciela),
- dane kontaktowe inspektora ochrony danych (w przypadku obowiązku jego powołania lub wyznaczenia go z własnej inicjatywy),
- cele przetwarzania danych osobowych oraz podstawę prawną przetwarzania (jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) Rozporządzenia RODO – należy wskazać dodatkowo prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią),
- informację o odbiorcach danych osobowych lub o kategoriach odbiorców (jeżeli istnieją),
- informację o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi Rozporządzenia RODO, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych (jeżeli ma zastosowanie),
- okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu,
- informację o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych,
- jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) Rozporządzenia RODO (tj. zgoda osoby, której dane dotyczą) – informację o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem,
- informację o prawie wniesienia skargi do organu nadzorczego,
- informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych,
- informację o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4 Rozporządzenia RODO, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
Jednocześnie jednak zwraca się uwagę, iż ww. „obowiązek informacyjny” nie ma zastosowania, gdy – i w zakresie, w jakim – osoba, której dane dotyczą, dysponuje już tymi informacjami.
Nieco inaczej sytuacja kształtuje się w przypadku pozyskiwania danych osobowych z „innego źródła” tj. w sytuacji pozyskiwania danych osobowych od innej osoby (podmiotu), niż osoba, której dane dotyczą. W takiej sytuacji, administrator danych osobowych – poza przekazaniem informacji, o których mowa powyżej – jest zobowiązany do podania następujących informacji:
- kategorii odnośnych danych osobowych;
- źródła pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych;
Administrator jest zobowiązany do podania ww. informacji:
- w rozsądnym terminie po pozyskaniu danych osobowych – najpóźniej w ciągu miesiąca – mając na uwadze konkretne okoliczności przetwarzania danych osobowych;
- jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą – najpóźniej przy pierwszej takiej komunikacji z osobą, której dane dotyczą; lub
- jeżeli planuje się ujawnić dane osobowe innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu.
Podobnie jak w przypadku pozyskiwania danych osobowych od osoby, której dane dotyczą, tak i w tym przypadku, Rozporządzenie RODO przewiduje „wyjątki” od realizacji „obowiązku informacyjnego”. „Wyjątki” dotyczą sytuacji, w których:
- osoba, której dane dotyczą, dysponuje już tymi informacjami;
- udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku (w szczególności w przypadku przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, z zastrzeżeniem warunków i zabezpieczeń, o których mowa w art. 89 ust. 1 Rozporządzenia RODO, lub o ile realizacja „obowiązku informacyjnego” może uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania) – w takich jednak przypadkach administrator jest zobowiązany do podjęcia odpowiednich środków, w celu zapewnienia ochrony praw i wolności oraz prawnie uzasadnionych interesów osoby, której dane dotyczą, w tym udostępnia informacje publicznie,
- pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą;
- dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy.
Powyżej w możliwe syntetyczny sposób przedstawiliśmy Państwu kolejną części problematyki związanej z Rozporządzeniem RODO. W przypadku wątpliwości w tym zakresie lub w innych aspektach związanych z przetwarzaniem danych osobowych na gruncie Rozporządzenia RODO, serdecznie zapraszamy do kontaktu z adwokatem Maciejem Wypych (maciej.wypych@rpwe.pl), który z pewnością odpowie na wszystkie Państwa pytania lub pomoże skonstruować odpowiednie projekty dokumentów.
Maciej Wypych – adwokat / doradca specjalistyczny OWES Debrzno