Obowiązek informacyjny w praktyce – co to jest w kontekście RODO?

Przepisy RODO narzucają na administratorów danych obowiązek informacyjny wobec osób, których dane są przetwarzane. Na czym ten obowiązek dokładnie polega?

Prawo do informacji

Zalecenia RODO jak przechowywać dokumenty dotyczące danych osobowych nie wyczerpują wszystkiego. Drugą ważną kwestią jest obowiązek informacyjny wobec osób, których dane osobowe są przetwarzane.
Takie osoby mają prawo do obszernej informacji dotyczącej przetwarzania ich danych osobowych. Warto o tym pamiętać, bo jeżeli kontrola UODO wykaże nieprawidłowości w tym temacie, kary mogą być poważne.
Procedury RODO mówią, że osoba, której dane dotyczą powinna być poinformowana o przetwarzaniu jej danych osobowych, a także o celach takiego przetwarzania.
RODO nakazuje wypełnienie obowiązku informacyjnego wobec osoby, której dane są przetwarzane w dwóch sytuacjach.

  1. W przypadku, gdy dane są zbierane bezpośrednio od osoby, której one dotyczą.
  2. W momencie gromadzenia danych ze źródeł pośrednich czyli nie bezpośrednio od osoby, której dane dotyczą.

Kiedy i jak należy przekazać informacje?

W pierwszym przypadku stosowne informacje powinny zostać przekazane w momencie pozyskiwania danych. Klauzula informacyjna może być:

  • wyłożona albo wywieszona do wglądu w biurze lub innym punkcie dostępnym publicznie,
  • zamieszczona na stronie internetowej, przy formularzach kontaktowych albo generowana przez formularz po jego wypełnieniu,
  • może być udostępniona w formie załącznika do umowy,
  • przekazywana jako informacja na infolinii.

Dane zbierane pośrednio – jakie obowiązki?

Jeżeli dane zbiera się pośrednio, a nie od osoby zainteresowanej, to obowiązek informacyjny należy spełnić:

  • najpóźniej w ciągu miesiąca,
  • jeżeli pozyskane dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą, to obowiązek informacyjny należy wypełnić najpóźniej przy pierwszym kontakcie z tą osobą,jeżeli dane osobowe mają być przekazane innemu odbiorcy, to informacje osobie zainteresowanej należy przekazać najpóźniej przy pierwszym ujawnieniu.
  • Zakres przekazywanych danych jest podobny w obu sytuacjach. Jest on trochę większy w przypadku pośrednim zbieraniu danych. I dodatkowo obejmuje:wskazanie źródła pochodzenia danych osobowych, czy dane pochodzą ze źródeł publicznych czy zostały zakupione,wskazanie kategorii przetwarzanych danych osobowych.

Jakie informacje należy przekazać według RODO?

W obu powyższych przypadkach obowiązek informacyjny nakazuje również podanie przez przetwarzającego dane takich informacji jak:

  • imię i nazwisko i dane kontaktowe,
  • dane kontaktowe inspektora ochrony danych ( ewentualnie),
  • cele przetwarzania danych osobowych i podstawę prawną,
  • informację o odbiorcach danych osobowych lub kategoriach odbiorców. Np. mogą to być biura rachunkowe czy kancelarie prawne lub instytucje państwowej,
  • jeżeli taki jest rzeczywisty cel, to należy podać również informacje o zamiarze przekazania danych osobowych do państw trzecich lub organizacji międzynarodowej,
  • czas, przez jaki dane osobowe będą przetwarzane lub warunki po spełnieniu którego dane nie będą przetwarzane np. dane będą przechowywane do czasu wygaśnięcia umowy itp.,
  • należne prawo dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania,
  • prawo do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych,
  • prawo do cofnięcia zgody na przetwarzanie w dowolnym momencie,
  • prawo do wniesienia skargi do organu nadzorczego,
  • czy podanie danych osobowych jest wymogiem ustawowym czy warunkiem zawarcia umowy,
  • czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje odmowy podania danych.

Podsumowanie

Jak widać przepisy RODO jak przechowywać dokumenty to jeden element, a obowiązek informacyjny to drugi element układanki pod nazwą ochrona danych osobowych. Oba są równie ważne.