530 990 449

bok@iptcc.pl

Poznań

Kielce

Lwów

Spełnienie obowiązku informacyjnego

Zgodnie z nowymi przepisami Rozporządzenia o Ochronie Danych Osobowych, czyli RODO, każdy przedsiębiorca, który posiada dane osobowe czy to swoich pracowników, czy też klientów jest ich administratorem i musi dopełnić pewnych obowiązków, w tym tzw. obowiązku informacyjnego.

NA CZYM POLEGA TO ZOBOWIĄZANIE I JAK SIĘ Z NIEGO WYWIĄZAĆ?

Przede wszystkim osoby, których dane osobowe przetwarzamy, powinny zostać poinformowane o tym fakcie – nasi klienci czy kontrahenci muszą wiedzieć, kto przetwarza dane i nimi administruje, a także w jakich celach i w jaki sposób. Dzięki temu osoby te mają możliwość kontrolowania tego, kto i jak dysponuje ich danymi, a także podjęcia odpowiednich działań, jeśli zauważą jakieś niepokojące sygnały.

Kiedy jest właściwy moment, aby poinformować osoby, których dane przetwarzamy o tym fakcie? Po wejściu w życie RODO większość podmiotów rozsyłała swoim klientom, kontrahentom czy użytkownikom maile, zawierające niezbędne informacje. Dopełnienie tego obowiązku jest konieczne w trzech sytuacjach, które krótko omówimy.

PIERWOTNE POZYSKIWANIE DANYCH

W momencie pozyskiwania danych osobowych od osoby, której te dane dotyczą, należy poinformować ją, kto będzie administratorem danych. Jest to tzw. pierwotne pozyskiwanie danych i dotyczy zarówno sytuacji bezpośredniego podania danych np. przy okazji wypełniania kwestionariusza, jak i otrzymania danych wskutek obserwacji zachowań danej osoby, np. gdy ktoś korzysta z urządzeń gromadzących dane, w sytuacji zastosowania monitoringu itp.

W sytuacji tej RODO nakłada na administratora danych obowiązek poinformowania o przetwarzaniu danych osobowych w momencie, kiedy są one gromadzone (Art. 13. Ust. 1.). Natomiast jeśli administrator planuje przetwarzać zebrane dane w innym celu, niż pierwotny cel ich pozyskiwania, musi poinformować o tym podmiot przed dalszym przetwarzaniem.

WTÓRNE GROMADZENIE DANYCH

Ta część szczególnie dotyczy osób zatrudnionych w takich branżach, jak call center, marketing, public relations, media – wtórne gromadzenie danych ma miejsce wtedy, gdy pozyskiwane dane pochodzą nie bezpośrednio od osób, których dotyczą, ale z innych źródeł. Innymi źródłami mogą być dostępne publicznie rejestry i bazy, ale także pozyskane od innych podmiotów bazy danych. W takiej sytuacji podmiot nie jest bezpośrednio zaangażowany w proces zbierania i przetwarzania danych – RODO chroni więc jego interes, nakładając na administratora danych obowiązek dotarcia do osób, których dotyczą dane, z informacją o ich przetwarzaniu. Kiedy powinno to nastąpić?

Do tej pory (zgodnie z UODO) należało poinformować podmiot o przetwarzaniu danych zgromadzonych w sposób wtórny po ich zebraniu i przygotowaniu do przetwarzania. Obecnie mamy do czynienia z trzema sytuacjami, kiedy administrator powinien dopełnić obowiązku informacyjnego:

W ciągu miesiąca po pozyskaniu danych – według twórców rozporządzenia miesiąc to czas niezbędny (albo wystarczający) do przygotowania się administratora do przetwarzania danych.

Najpóźniej przy pierwszym kontakcie, jeśli dane zebrano w celu nawiązania kontaktu z daną osobą.

Najpóźniej w okolicznościach pierwszego ujawnienia danych, jeśli dane zebrano w celu ujawnienia ich innemu odbiorcy (np. w sytuacji sprzedaży bazy danych).

Podsumowując – administrator danych powinien dążyć do tego, by jak najszybciej spełnić obowiązek informacyjny. Przyjmuje się jednak, że termin miesiąca powinien być zachowany niezależnie od zaistnienia dwóch pozostałych sytuacji.

CAŁY OKRES PRZETWARZANIA DANYCH

Oprócz obowiązku informowania podmiotów o przetwarzaniu ich danych osobowych w momencie ich pozyskania – w sposób bezpośredni lub z innych źródeł – administrator danych ma ponadto obowiązek informować osoby, których danymi zarządza, o wszelkich zmianach. Osoby te mają mieć zapewnioną rzetelną informację na temat tego, co dzieje się z ich danymi, jak i przez kogo są przetwarzane, komu mogą być udostępnione i na jakich zasadach.

ZAKRES INFORMACJI, JAKICH NALEŻY UDZIELIĆ PRZY SPEŁNIANIU OBOWIĄZKU INFORMACYJNEGO

Co powinno być przedmiotem informacji przekazywanej w ramach spełniania obowiązku informacyjnego osobom, których dane są przetwarzane? RODO znacznie rozszerza zakres informacji w stosunku do wymogów UODO. Aby zgodnie z nowymi przepisami poinformować odpowiednie podmioty o przetwarzaniu danych, należy zawrzeć w komunikacie następujące elementy:

Tożsamość administratora oraz dane kontaktowe – najlepiej pełna, nie skrócona nazwa firmy oraz dane umożliwiające nawiązanie komunikacji. Jeśli firma ma swojego przedstawiciela, należy podać również jego dane (nazwę i dane kontaktowe), a także dane inspektora danych osobowych (jeśli powołano taką funkcję).

Cele przetwarzania danych osobowych zgodne ze stanem faktycznym – tutaj nie należy stosować wybiegów „na przyszłość” i wskazywania, że dane „mogą” zostać wykorzystane w jakiś sposób. Należy poinformować podmiot o tym, jak dane faktycznie są przetwarzane.

Podstawa prawna – przepisy narzucające konieczność pozyskania danych, opis interesów, które legalizują przetwarzanie danych, przesłanki zawarte w artykułach 6 i 9 RODO.

Odbiorcy – informacje o tym, kto będzie odbiorcą danych osobowych.

Przekazanie danych – informacje o zamiarach przekazania danych osobowych innemu państwu lub międzynarodowej organizacji, opis warunków przekazania danych.

Okres przetwarzania danych osobowych – jeśli nie da się wskazać konkretnego okresu, należy podać w jaki sposób ustala się długość trwania okresu przetwarzania danych.

Prawa – osoby, których dotyczą dane, powinny zostać poinformowane o przysługujących im prawach w sposób jasny i zrozumiały. Powinna znaleźć się tu również informacja, że dany podmiot ma prawo wycofania zgody na przetwarzanie danych, jeśli wcześniej takiej zgody udzielił. Ponadto podmiot ma prawo wnieść skargę do odpowiednich organów i o tym również należy go poinformować.

Informacja o wymogach – osoba podająca dane powinna zostać poinformowana, czy podanie danych jest wymagane ustawowo czy też jest to wymóg umowny. Należy poinformować podmiot, czy musi podawać dane, czy też nie, oraz jakie są skutki niepodania danych osobowych, np. w przypadku zatrudnienia.

Informacje o zautomatyzowanym podejmowaniu decyzji oraz o profilowaniu – są to praktyki stosowane dość często w wielu sektorach, polegające na wykorzystywaniu oprogramowania do przygotowywania dedykowanych ofert itp. – podmiot powinien być poinformowany o istnieniu takich procesów oraz ich celach. Dodatkowo, jeśli dane są zbierane w sposób wtórny, osoba, której dotyczą dane, powinna otrzymać informacje o tym, z jakiego źródła pozyskano jej dane, w tym – czy było to źródło publicznie dostępne.

Spełnienie obowiązku informacyjnego można zrealizować na różne sposoby – może to być rozmowa telefoniczna, mail lub tradycyjny list, osobiste spotkanie… Najistotniejsze jest to, aby dopełnić swoich obowiązków szczególnie jeśli chodzi o zakres informowania oraz moment przekazania informacji.

Chętnie pomagamy naszym Partnerom w realizacji takich działań. Wspólnie przygotujemy treść oraz formę przekazania istotnych informacji zgodnie z wymogami RODO. Tutaj możesz zobaczyć jak wygląda treść spełnionego obowiązku.