RODO: nowy i zmieniony obowiązek informacyjny | Biuro Podatkowe | Jadwiga Załusińska | Bogdan Polak

25 maja 2018 r. zacznie obowiązywać Rozporządzenie Parlamentu Europejskiego i Rady z 27 kwietnia 2016 r. (UE) 2016/679 c, (Dz. Urz. UE z 2016 r. L 119 s.1), skrótowo zwane: GDPR lub RODO. RODO to bez wątpienia bardzo potrzebny krok do przodu jeśli chodzi o ochronę danych osobowych zarówno w Europie, jak i samej Polsce. Zmienia się rzecz najważniejsza tj. podejście do problemu, jakim jest ochrona danych osobowych. Dotychczasową praktyką była konieczność spełnienia często iluzorycznych obowiązków wynikających zarówno z polskiej ustawy o ochronie danych osobowych, a także szeregu aktów wykonawczych jej towarzyszących. Od przyszłego roku ochrona ma być przede wszystkim bardziej „realna” względem przetwarzanych danych osobowych.

RODO swoim zakresem wprowadza szereg zmian związanych z prawidłowym pozyskiwaniem i przetwarzaniem danych osobowych, daje nowe uprawnienia osobom fizycznym a także wprowadza szereg zmienionych obowiązków w zakresie chociażby konstrukcji zgody osoby fizycznej na przetwarzanie danych czy też obowiązku informacyjnego obejmującego przetwarzanie danych.

W treści niniejszego artykułu chciałbym skupić się na zmianie w mojej ocenie najważniejszej – tj. nowym i rozbudowanym obowiązku informacyjnym.

RODO zdecydowanie rozszerza obowiązek informacyjny jaki Administratorzy Danych Osobowych będą musieli spełnić w stosunku do osób, których dane osobowe pobierają a następnie przetwarzają. Istotnym jest przeanalizowanie preambuły RODO w jej 60 motywie oraz treści art. 12 i 13 RODO.

Istotą motywu numer 60 preambuły RODO pozostaje określenie rzetelnego i przejrzystego przetwarzania danych osobowych osoby, której dane dotyczą. Co za tym idzie, każdy Administrator powinien podać osobie, której dane dotyczą, wszelkie inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania, uwzględniając konkretne okoliczności i konkretny kontekst przetwarzania danych osobowych. Ponadto, należy poinformować osobę, której dane dotyczą, o fakcie profilowania oraz o konsekwencjach takiego profilowania. Jeżeli gromadzi się dane osobowe od osoby, której dane dotyczą, należy ją też poinformować czy ma ona obowiązek je podać oraz o konsekwencjach ich niepodania. Informacje te można przekazać w połączeniu ze standardowymi znakami graficznymi, które w widoczny, zrozumiały i czytelny sposób przedstawią sens zamierzonego przetwarzania.

Ochrona danych osobowych

RODO rozszerza obowiązek informacyjny jaki Administratorzy Danych Osobowych będą musieli spełnić w stosunku do osób, których dane osobowe pobierają a następnie przetwarzają.

W art. 12 RODO, ustawodawca opisał w jakiej formie obowiązek ten ma zostać spełniony. Przekazywana informacja w swojej treści, poza jej prostotą i jasnością przekazu, ma być zwięzła, przejrzysta, zrozumiała i dostępna w łatwej formie. RODO, dopuszcza różne formy przekazu wymaganych informacji o przetwarzaniu danych. Poza powszechna formą pisemną, w grę wchodzi również forma elektroniczna, a także forma ustna – gdy takie jest żądanie wnioskodawcy, o ile innymi sposobami potwierdzi on swoją tożsamość.

Co musi się znaleźć się w naszej informacji dotyczącej zbierania danych osobowych od osoby, której dane dotyczą?

Zgodnie z art. 13 ust. 1 i 2 RODO, do niezbędnych elementów informacyjnych zaliczyć należy podanie:

swojej tożsamości i danych kontaktowych oraz, gdy ma to zastosowanie, tożsamości i danych kontaktowych swojego przedstawiciela;
gdy ma to zastosowanie – danych kontaktowych inspektora ochrony danych;
celu przetwarzania danych osobowych, oraz podstawy prawnej przetwarzania;
informacji o odbiorcach danych osobowych lub o kategoriach odbiorców;
informacji o zamiarze transferu danych osobowych do państwa trzeciego, ze szczególnym uwzględnieniem:
- przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej;
- stwierdzenia lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony;
- lub – w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi RODO – wzmianki o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych;
okresie, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteriach ustalania tego okresu;
informacji o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) RODO – informacji o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
informacji o prawie wniesienia skargi do organu nadzorczego;
informacji czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
informacji o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Rozbudowany obowiązek informacyjny, w zakresie wskazanym powyżej niejednokrotnie powodował będzie problem w zakresie prawidłowego konstruowania klauzuli informacyjnej w sposób prosty i jasny, zwięzły, przejrzysty, zrozumiały i dostępny w łatwej formie (art. 12 RODO).

Bez wątpienia dzisiejsze klauzule informacyjne składające się z 2, 3 zdań zostaną wyparte przez klauzule swoja treścią obejmujące nawet do 1,5 strony A4. Niestety, ich brak stanowić będzie ciężkie naruszenie ochrony danych osobowych (art. 83 ust. 5 lit. b RODO), co w konsekwencji prowadzić może do nałożenia kary pieniężnej w wysokości nawet do 20.000.000 mln Euro, a w przypadku przedsiębiorstw do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku, przy czym zastosowanie ma kwota wyższa.

Klauzula informacyjna zgodna z RODO

Informujemy, że:

1. Administratorem danych wskazanych w zgodzie na przetwarzanie danych osobowych wyrażonej powyżej jest …………… z siedzibą przy ul. ……………, w ………. (kod pocztowy: ………………), tel.: ……………, adres e-mail: …………….

2. Celem zbierania danych jest …………………….

3. Przysługuje Pani/Panu prawo dostępu do treści danych oraz ich sprostowania, usunięcia lub ograniczenia przetwarzania, a także prawo sprzeciwu, zażądania zaprzestania przetwarzania i przenoszenia danych, jak również prawo do cofnięcia zgody w dowolnym momencie oraz prawo do wniesienia skargi do organu nadzorczego (tj.: […]).

Uwaga: w miejsce […] wpisujemy:

przed 25 maja 2018 r. – Generalny Inspektor Ochrony Danych Osobowych,
po 25 maja 2018 r. – Prezes Urzędu Ochrony Danych Osobowych.

4. Podanie danych jest dobrowolne, lecz niezbędne do …………………. (realizacja celu np. wykonanie umowy). W przypadku niepodania danych nie będzie możliwe ……………. (realizacja celu np. wykonanie umowy).

5. Dane udostępnione przez Panią/Pana nie będą podlegały udostępnieniu podmiotom trzecim. Odbiorcami danych będą tylko instytucje upoważnione z mocy prawa.

6. Dane udostępnione przez Panią/Pana nie będą podlegały profilowaniu.

7. Administrator danych nie ma zamiaru przekazywać danych osobowych do państwa trzeciego lub organizacji międzynarodowej.

8. Dane osobowe będą przechowywane przez okres ………. lat, licząc od początku roku następującego po roku, w którym została wyrażona zgoda na przetwarzanie danych osobowych.