O istnieniu obowiązku informacyjnego dotyczącego przetwarzania danych osobowych nie trzeba wspominać. Od momentu stosowania RODO każdy z nas z pewnością dostał niejedną informację RODO. Na czym polega realizacja obowiązku informacyjnego i jak zrobić to zgodnie z przepisami?

Obowiązek informacyjny – z czego wynika?

Kwestię związaną z obowiązkiem informacyjnym art. 13 i 14 RODO. Pierwszy z nich dotyczy bezpośredniej informacji udzielonej osobie zainteresowanej, a drugi wskazuje obowiązki administratora w sytuacji, gdy pozyskał on dane od osoby trzeciej.

Udzielenie wspomnianych informacji należy do zasadniczych i podstawowych wymagań przy przetwarzaniu danych osobowych. Dodatkowo jest to kwestia formalna, dotycząca prowadzonej dokumentacji przy przetwarzaniu danych. Pomimo tego, że każdy administrator danych osobowych musi powyższe obowiązki wykonać większość z nich nie radzi sobie z tym zadaniem.

Podstawowe błędy podczas informowania o przetwarzaniu danych osobowych


Niezrozumienie przepisów oraz brak odpowiednich wzorów dostępnych w Internecie, powoduje, że na co dzień spotykamy się ze bzdurnymi treściami klauzur informacyjnych RODO.

Podstawowy błąd to wypisanie wszystkich praw osób, których dane dotyczą w treści klauzuli. Bezwiedne skopiowanie praw osób i myślenie „lepiej dać więcej niż mniej” wcale nie uchroni administratora od błędu. Każdy z nas spotkał się w treści klauzuli z art. 13 RODO z informacją, że ma prawo do przenoszenia danych. To nic, że przetwarzanie wcale nie odbywało się na podstawie zgody albo umowy… Przecież, kto by się tym przejmował…

Kolejna kwestia to czas przetwarzania danych. Jest on regulowany aktami szczególnymi. Akty szczególne to takie, na podstawie których prowadzi się działalność. Tak więc np. prawo podatkowe – dla wszystkich przedsiębiorców. Ustawa o systemie oświaty – dla placówek edukacyjnych. Każdy z aktów szczególnych powinien określać czas np. archiwizacji dokumentacji. Jeśli nie to administrator danych osobowych ma obowiązek określić racjonalny termin przetwarzania danych.

Przykład: często pojawiają się w klauzurach informacyjnych sformułowania „dane będą przetwarzane bezterminowo” lub „tyle ile będzie to potrzebne”. Jest to spory błąd. Osoba, której dane dotyczą musi mieć jasno określony czas przetwarzania jej danych.

Treść klauzuli informacyjnej RODO


W poniższej treści skupimy się na technicznych aspektach tworzenia klauzur z art. 13 oraz 14 RODO. Opisane zostaną poszczególne ich punkty, z informacją czy jest to element obowiązkowy czy też szczególny. Dodatkowo omówiona zostanie treść danego elementu.

Tożsamość Administratora

Obowiązkowo Informacja ta powinna zawierać co najmniej pełną nazwę podmiotu oraz jego siedzibę – przyjemniej miejscowość. Powyższe jest minimalnym zakresem informacji, jakie administrator danych jest zobowiązany podać. Co więcej, jeśli adres korespondencyjny jest inny niż adres siedziby, to wymagane jest podanie pełnych informacji.

Dane kontaktowe administratora danych

Obowiązkowo Ado jest zobowiązany podać dane, które rzeczywiście pozwolą na kontakt osobie zainteresowanej. Informacja powinna pozwalać na kontakt w różnych formach np. telefon, email itp.

Dane kontaktowe inspektora ochrony danych osobowych

Jeśli został wyznaczony Tutaj również należy podać dane, które rzeczywiście pozwolą w łatwy sposób skontaktować się zainteresowanej osobie z IODem. Najrozsądniejszym rozwiązaniem jest kontakt email. Nie polecany jest kontakt telefoniczny, ponieważ wpływa on na chaotyczność pracy. W przypadku adresu email nie poleca się imiennego adresu, ponieważ zaistnieje potrzeb każdorazowej zmiany w przypadku zmiany na stanowisku IOD.

Cele przetwarzana

Obowiązkowo Należ wskazać cele przetwarzania danych, aby było to zrozumiałe dla odbiorcy. Obowiązuje zasada „tak aby prościej się już nie dało”. Pozwoli to wyeliminować zbędny kontakt ze strony podmiotów danych. Obowiązkiem ado jest dostosowanie treści informacji do założonego kręgu odbiorców.

W przypadku kilku celów przetwarzania należy osobno podać każdy z nich.

Podstawa prawna

Element obligatoryjny. ADO ma obowiązek podania podstawy prawnej przetwarzania wymienionej w art. 6 lub 9 RODO. Podstawą prawną przetwarzania danych osobowych może być np.

  1. Zgoda na przetwarzanie danych osobowych.
  2. Niezbędność do wykonania umowy, której stroną jest osoba, której dane dotyczą lub podjęcie działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy.
  3. Wypełnienie obowiązku prawnego ciążącego na administratorze.
  4. Niezbędność do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej.
  5. Niezbędność do wykonania zadania realizowanego w interesie publicznym lub ramach sprawowania władzy publicznej powierzonej administratorowi.
  6. Realizacja celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora.

Opisanie prawnie uzasadnionego interesu

Tylko jeżeli dane osobowe są przetwarzane na podstawie prawnie uzasadnionego interesu. W sytuacji, w której dane przetwarzane są na podstawie prawnie uzasadnionego interesu, należy wskazać jaki to interes jest np. dochodzenie wierzytelności, ochrona itp.

Okres przechowywania danych

Obowiązkowo. Okres przechowywania danych w zależności od podstawy prawnej może być określany przez przepisy szczególne lub wynikać z wytycznych dla danej branży. Jak już zostało wspominane nie jest możliwe napisane, że dane będą przechowywane tak długo, jak administrator uzna to za wskazane. Jeżeli zaś podstawą prawną przetwarzania danych jest zgoda, dane powinny być przetwarzane do momentu wycofania zgody na przetwarzanie danych osobowych przez podmiot danych.

Prawa podmiotów danych

Obowiązkowo. Prawa podmiotów danych, o jakich należy informować w klauzuli informacyjnej obejmują:

  1. Prawo do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą.
  2. Prawo do sprostowania danych.
  3. Prawo do usunięcia danych.
  4. Prawo do ograniczenia przetwarzania.
  5. Prawo do przenoszenia danych (jeżeli przetwarzanie odbywa się na podstawie zgody lub w celu wykonania umowy; prawo to obejmuje dane, które podmiot danych dostarczył administratorowi – podmiot danych ma także prawo do żądania, by dane osobowe zostały przesłane bezpośrednio innemu administratorowi, o ile jest to technicznie możliwe).

Prawo do wniesienie sprzeciwu

Jeżeli dane osobowe są przetwarzane jako niezbędne do wykonania obowiązku realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi albo na podstawie prawnie uzasadnionego interesu.

Prawo do cofnięcia zgody

Jeżeli przetwarzanie danych odbywa się na podstawie zgody podmiotu danych.

Prawo do wniesienie skargi

Obowiązkowo. Należy wskazać nazwę organu ochrony danych wraz z jego pełnym adresem.

Odbiorcy danych osobowych

Należy umieścić tę informację w klauzuli jedynie w przypadku, jeśli do takiego przekazywania dochodzi.

W przypadku dużej ilości odbiorców danych należy wskazać ich kategorię. Ma to związek z zasadą czytelności informacji przekazywanej do jej odbiorców. Jeśli ADO lub IOD zdecydowali by się wymienić wszystkich odbiorców w jednej klauzuli, to w przypadku ich sporej liczby, klauzura automatycznie stanie się nieczytelna. Odbiorca dostanie za dużo informacji na dużej liczbie stron.

Kim jest odbiorca danych?

Odbiorcą danych jest podmiot, któremu administrator danych przekazuje dane osobowe. Może nim być zarówno współadministrator, administrator albo podmiot przetwarzający dane osobowe na podstawie umowy przetwarzania z art. 28 RODO (powierzenie danych).

Podkreślenia wymaga fakt, że instytucje publiczne na rzecz, których przekazywane są dane osobowe, np. na cele konkretnych postępowań (sądy, policja, prokuratura itp.), nie są w świetle przepisów RODO odbiorcami danych osobowych! Tym samym ADO nie ma obowiązku informowania osób, których dane dotyczą o ujawnianiu ich danych organom władzy publicznej.

Zasada rzetelności RODO wymaga aby ADO poinformował w sposób czytelny i wyczerpujący o odbiorcach danych lub kategoriach odbiorców. O ile takie podmioty, oczywiście występują. Ważne jest aby w przypadku podawania jedynie kategorii danych ADO mógł wykazać, że jest to zgodne z zasadą rzetelności. Oznacza to, że w przypadku kontroli będzie w stanie wskazać znaczącą liczbę odbiorców, którym ujawniał dane osobowe.

Powyższe nie oznacza jedynie, że ADO może zakończyć na tym fakcie. Osoby, których dane dotyczą muszą otrzymać, w razie wyrażenia takiej potzreby, konkretną informację o podmiotach, którym ujawniane są ich dane osobowe. Dlatego zalecane jest aby wymienić te podmioty w polityce prywatności (np. w załączniku do niej – pozwoli to na szybką aktualizację listy).

Przykład:

ADO korzysta z usług IT oferowanych przez zewnętrzne podmioty. Z racji ich liczby lub częstych zmian wystarczającym jest wskazanie w klauzuli informacyjnej, że dane są przekazywane podmiotom IT, które dostarczają rozwiązania techniczne dla administratora.

Konkretne podmioty z nazwy i siedziby powinny zostać wskazane osobno, np. w opisywanym wyżej załączniku do polityki prywatności.

Informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej

ADO jest zobowiązany do jego umieszczenia w informacji z art. 13 RODO, jedynie w sytuacji dokonania takiego przekazania.

Osobę, której dane dotyczą, należy poinformować o zamiarze przekazania danych do państwa trzeciego lub organizacji międzynarodowej. Należy przy tym pamiętać co to jest „państwo trzecie”. Nie są to państwa nienależące do UE, a Europejskiego Obszaru Gospodarczego (European Economic Area, EEA). Więc dodatkowo krajami trzecimi nie są Islandia, Norwegia oraz Lichtenstein.

Przykład:

ADO korzysta z usług IT spółki mającej siedzibę we Francji. W takim wypadku nie jest zobowiązany do informowania o przekazywaniu danych osobowych do państwa trzeciego, ponieważ nie dochodzi do takiej sytuacji.

Jeśli jednak okaże się, że spółka IT z Francji posiada rozwiązania techniczne (np. serwery) w państwie trzecim, np. ZEA to ADO jest zobowiązany do poinformowania o tym fakcie, ponieważ do takiego przekazywania w rzeczywistości dochodzi.

Samo poinformowanie to nie wszystko. Administrator danych zobowiązany jest do przekazania informacji o tym, czy:

·      Komisja Europejska stwierdziła odpowiedni stopień ochrony danych osobowych w danym państwie.

·      Ewentualnym braku stwierdzenia przez KE wystarczającej ochrony danych osobowych, w tym przekazanie czy:

- zgodnie z art. 46 RODO istnieją instrumenty mogące zagwarantować skuteczną ochronę oraz prawa osób, których dane dotyczą;

- przekazywanie odbywa się na podstawie art. 47 RODO, a więc wiążących reguł korporacyjnych;

- przekazanie danych osobowych odbywa się ze względu na szczególne okoliczności, o których mowa w art. 49 RODO (w tym przypadku osoba musi wyrazić na to zgodę).

Skomplikowanie zagadnienia transferu danych osobowych do państwa trzeciego powoduje, że zalecane jest każdorazowe skonsultowanie indywidualnej sytuacji z profesjonalnymi prawnikami, zajmującymi się tym zagadnieniem. Niestety, nie każdy „ekspert od RODO” będzie posiadał wystarczającą wiedzę na ten temat.

Przykład

·      Klauzura przekazania danych osobowych do państwa trzeciego, w którym KE stwierdziła odpowiedni stopień ochrony:

- „dane osobowe będą przekazywane do dostawcom rozwiązań IT, których siedziba znajduje się poza Europejskim Obszarem Gospodarczym (EOG) tj. w Szwajcarii. Komisja Europejska uznała Szwajcarię za państwo zapewniające adekwatny stopień ochrony danych osobowych do stopnia ochrony obowiązującego w EOG.”

·      Klauzura przekazania danych osobowych do państwa trzeciego, stanowiącego wysokie ryzyko:

- „dane osobowe będą przekazywane dostawcom rozwiązań IT w Indiach. Poziom ochrony danych osobowych jest niższy niż w przypadku przetwarzania danych osobowych na terytorium Europejskiego Obszaru Gospodarczego (EOG).”

Zautomatyzowane decyzje oraz profilowanie


Informacja o profilowaniu lub zautomatyzowaniu w podejmowaniu decyzji musi spełniać zasadę rzetelności oraz przejrzystości.  ADO musi dokładnie przekazać informację o zasadach podejmowania decyzji lub celu profilowania. Dodatkowo należy zaznaczyć jakie konsekwencje niesie za sobą wydanie decyzji w sposób zautomatyzowany dla osoby, której dane dotyczą.

Dlaczego jest to tak ważne zagadnienie? Ponieważ automatyczne podejmowanie decyzji odbywa się bez udziału człowieka. Tym samym to algorytm lub już sztuczna inteligencja wpływa na rzeczywiste życie człowieka. Dlatego należy zachować jak największe środki bezpieczeństwa w przypadku korzystania z takich rozwiązań.

Osoba musi zostać jasno poinformowana, w jakim celu odbywa się zautomatyzowane przetwarzanie jej danych oraz wydawana jest decyzja. Tutaj należy posługiwać się jak najbardziej prostym i nieskomplikowanym językiem.

Przykład:

„W związku z przetwarzaniem danych osobowych w celu zawarcia umowy o świadczenie usług IT, decyzja dotycząca Pani / Pana zostanie podjęta w sposób automatyczny, czyli bez udziału człowieka. Decyzja będzie dotyczyła oceny Pani / Pana wiarygodności płatniczej na podstawie przedstawionych informacji, a w konsekwencji możliwości zawarcia umowy.”

Należy również zaznaczyć, że osoba, której dane dotyczą ma prawo do zakwestionowania podjętej automatycznej decyzji. Administrator danych musi wskazać, jakie są w takim przypadku procedury.

Przykład:

„W związku z tym, że decyzja jest podejmowana w sposób zautomatyzowany, o czym zostało wskazane powyżej posiada Pani / Pan prawo do zakwestionowania podjętej decyzji. W takiej sytuacji ma Pani / Pan prawo do wyrażenia własnego stanowiska lub do indywidulanego przeanalizowania sprawy przez pracownika Administratora.”

W przypadku przetwarzania sytuacja wygląda w sposób analogiczny. ADO zobowiązany jest na podstawie przepisów RODO przekazać informację o celu profitowania. Należy pamiętać, że konieczne jest wskazanie danych, które zostaną wykorzystana do profitowania oraz przekazanie informacji o możliwości wycofania zgody (tutaj należy odwołać się do punktu dotyczącego udzielenia zgody. Profilowanie możliwe jest jedynie na tej podstawie).

Dlaczego profilowanie jest tak chronione przez RODO?

Ponieważ dotyczy sfery psychicznej człowieka. Oznacza to, że algorytm niejako oddziałuje podświadomie na odbiorcę informacji i próbuje „przewidzieć” jego kolejny ruch. Twórcy przepisów RODO zdecydowali się na szczególną ochronę obywateli przy tym celu przetwarzania.

Konieczne jest pamiętać, że zgoda w przypadku profitowania musi zostać wyrażona w sposób niebudzący wątpliwości. Niektórzy autorzy nazywają to „zgodą szczególną”. Zgoda RODO musi być bezpośrednia i świadoma.