Obowiązek informacyjny RODO – jak go realizować?

Dziś postanowiłam uporządkować temat obowiązku informacyjnego wynikającego z RODO, tak żeby nic nie umknęło. Temat wydaje się prosty, ale  w niektórych momentach jest kontrowersyjny, warto zatem nim się zająć.

KIEDY NALEŻY PRZEKAZAĆ INFORMACJĘ I KOMU?

Administrator ma obowiązek informować osobę o przetwarzaniu jej danych w następujących sytuacjach:

  • podczas pozyskiwania danych bezpośrednio od tej osoby (art. 13 RODO);
  • zbierając dane o osobie z innych źródeł niż ta osoba (art. 14 RODO);
  • zmieniając cel przetwarzania danych lub dodając nowy cel przetwarzania;
  • na żądanie osoby, których dane są przetwarzane.

Zastanówmy się zatem jakich kategorii osób pozyskujemy dane przy prowadzeniu działalności gospodarczej. Na pewno będą to:

  • kandydaci do pracy, współpracy  – w procesie rekrutacyjnym;
  • pracownicy (szeroko rozumiani tzn.  gdzie będzie obowiązywała umowa o pracę, umowa cywilno-prawna) oraz współpracowników (umowa B2B z osobą fizyczną prowadzącą działalność gospodarczą);
  • praktykanci, stażyści;
  • potencjalni klienci i klienci będący osobami fizycznymi, w tym również prowadzący działalność gospodarczą;
  • kontrahenci będący osobami fizycznymi prowadzący działalność gospodarczą;
  • użytkownicy aplikacji mobilnych;
  • osoby komentujące artykuły i wpisy w mediach społecznościowych;
  • osoby korzystające w newslettera;
  • uczestnicy organizowanych przez nas konferencji itp… itd….

Możemy wciąż uzupełniać tę listę i zastanawiać się czy i jak spełniać obowiązek informacyjny. Dziś bardzo ogólnie rozwiniemy temat i w kolejnych wpisach postaramy się znaleźć złote środki ;). Mam nadzieję, że mi w tym pomożecie…

Jak widzimy, w przypadku niektórych tych kategorii będziemy pozyskiwać dane bezpośrednio od tych osób, więc będzie interesował nas obowiązek wynikający z art. 13 RODO. W innych przypadkach te dane będą udostępniane nam przez inne podmioty np. pracodawców osób. Inne przypadki związane z zakupem baz danych, czy też poleceniami zadowolonych klientów pozostawmy sobie na później.

CO POWINNO ZNALEŹĆ SIĘ W TAKIEJ INFORMACJI?

Tutaj powinniśmy przeanalizować art. 13 i 14 RODO. Mamy cały katalog informacji dla osoby, której dane dotyczą, a mianowicie:

  1. tożsamość i dane osobowe administratora, a jeżeli dane osobowe będą współadministrowane przez dodatkowe podmioty, w informacji należy podać również dane współadministratorów;
  2. dane kontaktowe inspektora ochrony danych, przy czym dane te nie muszą obejmować tożsamości Inspektora; Administrator podaje preferowany sposób komunikacji, może to być przykładowo: telefon, e-mail, formularz na stronie internetowej; Jeżeli podmiot nie wyznaczył IOD, to możne wskazać osobę do kontaktu np.koordynatora w zakresie ochrony danych osobowych;
  3. cele przetwarzania danych oraz podstawy przetwarzania dla każdego celu:
    • jeżeli podstawą przetwarzania jest prawo (art. 6 ust.1 lit. c oraz e, art. 9 ust.2 lit. b, g-j RODO), należy podać konkretny przepis;
    • w przypadku podania podstawy prawnej odnoszącej się do prawnie uzasadnionych interesów realizowanych przez administratora lub osoby trzecie, należy wskazać jakie to są interesy; i tak np.:
      • dla monitoringu wizyjnego celami przetwarzania mogą być: zapewnienie bezpieczeństwa pracowników, ochrona mienia, kontrola produkcji, zachowanie w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę;
      • dla monitoringu poczty elektronicznej, ruchu sieciowego, kopiowania, drukowania danych celami przetwarzania mogą być: kontrola czasu pracy pracowników, monitorowania właściwego użytkowania udostępnionych pracownikowi narzędzi pracy, ujawnienie naruszenia tajemnicy informacji, wykrycie działań mających negatywny wpływ na wizerunek i reputację organizacji itp.;
  4. informacje o odbiorcach danych osobowych lub kategoriach odbiorców, przy czym jako odbiorcę danych należy traktować również podmiot przetwarzający. Tutaj warto przystanąć. Definicja odbiorcy danych jest znacznie szersza niż w poprzednich przepisach i obejmuje również podmioty przetwarzające. Przykładowymi odbiorcami danych mogą być:
    • ZUS, urzędy skarbowe, banki,
    • podmioty w związku z wykonywaniem obowiązków pracowniczych np.: zewnętrzni przedstawiciele, usługodawcy, dostawcy, partnerzy, dystrybutorzy, podwykonawcy;
    • podmioty trzecie oferujące dodatkowe świadczenia dla pracowników takie jak grupowe ubezpieczenia oraz podmioty uczestniczące w organizacji podróży służbowych;
    • wykonawcy usług pocztowych i operacyjnych;
    • biegli rewidenci oraz audytorzy zewnętrzni;
    • podmioty świadczące usługi na rzecz administratora, w szczególności usługi informatyczne, marketingowe i telekomunikacyjne, księgowe, windykacyjne, faktoringowe, wydruku faktur, archiwizacji i niszczenia dokumentów, którym administrator powierza do przetwarzania dane osobowe;
    • podmioty współpracujące w zakresie ochrony ubezpieczeniowej;
    • podmioty lub organy uprawnione na podstawie przepisów prawa (w tym sądy, prokuratorzy, komornicy, organy regulacyjne i nadzorcze);
  5. informacje o przekazywaniu danych do krajów trzecich, jeżeli dotyczy; jeżeli dane nie są przekazywane warto zamieścić taką informację;
  6. okres przechowywania danych lub kryteria jego wyznaczenia;
  7. informacje o prawach osoby, której dane dotyczą, tj. o prawie do:
    • dostępu do danych;
    • sprostowania danych;
    • usunięcia danych – warto wskazać, że skorzystać z tego prawa można jeżeli osoba, której dane dotyczą uważa, że nie ma podstaw do ich przetwarzania;
    • ograniczenia przetwarzania – warto wskazać, że można z prawa skorzystać, gdy podmiot danych uważa, że dane są nieprawidłowe lub nie ma podstaw do ich przetwarzania lub podmiot danych nie chce usunąć danych w związku z dochodzeniem lub obroną roszczeń, lub na czas wniesionego sprzeciwu względem przetwarzania danych; występując z tym żądaniem przetwarzanie zostanie ograniczone wyłącznie do przechowywania lub uzgodnionych z osobą działań;
    • sprzeciwu – warto wskazać, że z prawa tego można skorzystać w przypadku sprzeciwu wobec przetwarzania danych w celu prowadzenia marketingu bezpośredniego, bądź z uwagi na szczególną sytuację;
    • przenoszenia danych – warto uwzględnić, że prawo to nie ma charakteru generalnego, więc podmiot danych może z niego skorzystać, gdy do przetwarzania dochodzi na podstawie zgody lub umowy, a dodatkowo przetwarzanie musi odbywać się w sposób zautomatyzowany; można również poinformować, że prawo dotyczy żądania wydania danych w ustrukturyzowanym, powszechnie używanym formacie, bądź przesłania ich bezpośrednio innemu administratorowi;
    • skargi do organu nadzorczego, w przypadku zastrzeżeń co do zgodności z prawem przetwarzania;
    • cofnięcia zgody, jeżeli przetwarzanie oparto o zgodę;
    • UWAGA: Nie w każdym procesie przetwarzania osoba będzie dysponowała całym katalogiem praw, dlatego należy zwrócić uwagę na charakter procesu przetwarzania w naszej organizacji i wskazać tylko te, które rzeczywiście w danym przypadku przysługują podmiotowi praw. Przykładowo nie będziemy zatem informować o prawie do przenoszenia danych, jeżeli są one przetwarzane wyłącznie w formie papierowej, albo o prawie osunięcia danych pracownika, gdy jesteśmy zobligowani przepisami praca gromadzić i przechowywać akta pracownicze;
  8. informacje o wymogu lub dobrowolności podania danych oraz jakie są konsekwencje niepodania danych. Tutaj powinniśmy podać informację o tym, czy podanie danych jest wymogiem ustawowym, a może wymogiem związanym z zawarciem umowy lub też całkowicie dobrowolne;
  9. gdy administrator opiera swoje decyzje na zautomatyzowanym podejmowaniu decyzji lub na profilowaniu i decyzje te wywierają skutki prawne lub podobne na osobę, której dane dotyczą, należy podać:
    • informacje o rodzajach zautomatyzowanego przetwarzania danych i podejmowanych decyzjach;
    • istotne informacje o zasadach podejmowania zautomatyzowanych decyzji;
    • informacje o konsekwencjach dla osoby, której dotyczą;
  10. gdy obowiązek informacyjny jest realizowany przez współadministatorów należy dodatkowo podać informacje odnośnie wspólnych uzgodnień pomiędzy współadministratorami;
  11. w przypadku danych pozyskanych z innych źródeł niż osoba, której dane dotyczą oprócz informacji, o których mowa powyżej administrator dodatkowo informuję osobę o:
    • kategoriach danych, które pozyskał – zaleca się kategoryzować dane przetwarzane przez administratora np.: proste dane identyfikacyjne, dane finansowe, dane o stanie zdrowia, dane osobiste, dane biometryczne, dane dotyczące umów i transakcji, dane dotyczące  historii zatrudnienia, wykształcenia itp.
    • źródle danych, w tym źródłach publicznych, jeżeli z nich korzystał. Dane osobowe nie posłużą do podejmowania zautomatyzowanej decyzji, w tym profilowania czyli zautomatyzowanego przetwarzania danych;
  12. jeżeli informacja jest związana ze zmianą celu lub nowym celem przetwarzania, administrator podaje informacje spośród ww. katalogu, których osoba jeszcze nie posiada;
  13. ponadto motyw 60 RODO nakazuje administratorowi podać wszelkie inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania, uwzględniając konkretne okoliczności i kontekst przetwarzania danych osobowych.

CZY ZAWSZE MUSIMY SPEŁNIĆ OBOWIĄZEK INFORMACYJNY?

Otóż nie! Obowiązek informacyjny nie musi być realizowany, jeżeli:

  • osoba, której dane dotyczą dysponuje już tymi informacjami,
  • poinformowanie osoby, której dane dotyczą, okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku. Sytuacja braku możliwości lub niewspółmiernie dużego wysiłku może zachodzić w szczególności przypadku, gdy przetwarzanie służy celom archiwalnym w interesie publicznym, celom badań naukowych lub historycznych lub celom statystycznym.
  • podanie informacji uniemożliwiłoby osiągnięcie celów przetwarzania lub poważnie je utrudniło. Przykładem takich sytuacji może być gromadzenie danych z innych źródeł w związku z obowiązkami prawnymi, gdzie przedstawienie podmiotowi informacji o procesach przetwarzania jego danych mogłoby uniemożliwić realizację tych obowiązków (np. pozyskiwanie danych w związku z realizacją obowiązków związanych z przeciwdziałaniem praniu pieniędzy i finansowaniu terroryzmu);
  • przepisy szczegółowo określają warunki pozyskania lub ujawnienia informacji,
  • dane są objęte tajemnica ustawową lub zawodową przewidzianą prawem krajowym lub unijnym.

KIEDY I W JAKI SPOSÓB POWINNYŚMY UDZIELIĆ INFORMACJI?

Może zanim przejdziemy do odpowiedzi na to pytanie, zadamy sobie pytanie „jak”. Jak można się zorientować mamy wiele informacji do przekazania. Jeżeli chcemy zrobić to na telefon, to przekazanie informacji może być dłuższe niż dalsza rozmowa. Zatem jak wyważyć prawo do informacji z szanowaniem czasu osób, którym chcemy przekazać informację?

Grupa Robocza art. 29 uznała za zasadne dokonanie selekcji i przekazanie w pierwszej kolejności najistotniejszych wiadomości, a zetem obowiązek informacyjny może być spełniany warstwowo. Pierwsza warstwa powinna zawierać informacje o tożsamości administratora, celach przetwarzania oraz o istnieniu praw osób, których dane dotyczą. W drugiej warstwie należy podać wszystkie pozostałe informacje, o których mowa w art. 13 oraz 14.

W przypadku pozyskania danych osobowych od osoby, której dane dotyczą, wszelkie wskazane wyżej informacje powinny być tej osobie przekazane podczas pozyskiwania danych, w zależności od kanału ich pozyskania:

  • słownie – jednak z uwagi na objętość informacji, warto przekazać je warstwowo: cześć informacji w rozmowie, pozostała przesłana mailowo (jeżeli przewidziana jest taka forma dalszej komunikacji), odesłanie do strony internetowej, możliwość pobrania informacji w formie papierowej;
  • mailowo – jeżeli inicjacja kontaktu następuje przez:
    • administratora – wraz z wysłaniem pierwszego maila;
    • osobę, której dane dotyczą – w odpowiedzi na pierwszego maila;
  • poprzez stronę internetową – należy odnieść informacje adekwatnie do kategorii osoby, której dane są przetwarzane np. oddzielne informacje dla kandydata do pracy, oddzielne dla klienta, dostawcy czy odwiedzającego stronę internetową itp.
  • informacja dostępna w widocznym miejscu w punkcie obsługi klienta, jeżeli w takim punkcie dane są pozyskiwane.

W przypadku pozyskiwania danych osobowych nie od osoby, której dane dotyczą, informacje powinny być tej osobie przekazane w zależności od sytuacji:

  • w rozsądnym terminie po pozyskaniu danych osobowych – najpóźniej w ciągu miesiąca – mając na uwadze konkretne okoliczności przetwarzania danych osobowych;
  • jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą – najpóźniej przy pierwszej takiej komunikacji z osobą, której dane dotyczą; lub
  • jeżeli planuje się ujawnić dane osobowe innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu.

CO Z OBOWIĄZKIEM INFORMACYJNYM WOBEC OSÓB WYSTĘPUJĄCYCH Z ŻĄDANIEM?

Właściwie nic innego jak przekazanie informacji ze standardowego obowiązku (art. 13 i 14 RODO), no może trochę bardziej szczegółowo. Przykładowo zamiast podawać kategorie odbiorców informacji wskazać konkretnych odbiorców z nazwy.

W przypadku żądania udzielenia informacji, administrator musi upewnić się co do tożsamości osoby występującej z żądaniem i zasadności jej żądania. Zaleca się, aby udzielać informacji wyłącznie osobom, których dane dotyczą lub które mają upoważnienie do otrzymania tego typu informacji (niebudzące wątpliwości). Potwierdzenie tożsamości może nastąpić poprzez zadanie kilku pytań weryfikujących tożsamość na podstawie katalogu danych podanych przez osobę danych np.:

    • przy kontakcie bezpośrednim – weryfikacja na podstawie dowodu tożsamości;
    • przy kontakcie telefonicznym – weryfikacja nr telefonu, ustalonych haseł do kontaktu, ewentualnie pytania dotyczące np. szczegółowych danych identyfikujących np. nr dokumentu tożsamości, nr PESEL, danych dotyczących miejsca urodzenia, szczegółów umowy, szczegółów transakcji itp.;
    • przy kontakcie mailowym lub za pośrednictwem usług pocztowych – weryfikacja adresu do korespondencji, weryfikacja danych osoby, w tym podpisów.

Na dzisiaj to tyle w tym temacie. Przy następnym spotkaniu przeanalizujemy najbardziej kontrowersyjne przypadki np. informowanie pracowników naszego kontrahenta, wyznaczonych przez niego do realizacji umowy. Informować, czy nie informować? Można tak, można tak… jak to w starym dowcipie o maści na szczury… Dowcipu nie przytoczę, ale Wujek Google szybko go odnajdzie. Do zobaczenia wkrótce!

 

 

 

 

Jeżeli spodobał Ci się mój artykuł i uznasz, że warto się nim podzielić, udostępnij go w mediach społecznościowych lub wyślij znajomemu. Wystarczy, że klikniesz przyciski poniżej. Jeżeli chcesz zostawić komentarz pod artykułem jest to równoznaczne z wyrażeniem zgody na przetwarzanie przeze mnie Twoich danych zawartych w formularzy komentarza. Więcej przeczytasz w polityce prywatności.