Ochrona Danych WG » Obowiązek informacyjny

Obowiązek informacyjny

Obowiązek informacyjny jest jednym z podstawowych obowiązków administratora danych osobowych wynikających z RODO. Jego celem jest zapewnienie osobom fizycznym przejrzystej informacji o tym, kto, w jakim celu, na jakiej podstawie, przez jaki czas i w jaki sposób przetwarza ich dane osobowe. Obowiązek ten realizuje zasadę przejrzystości, zgodnie z którą osoba, której dane dotyczą, powinna mieć realną możliwość zrozumienia, co dzieje się z jej danymi oraz jakie prawa jej przysługują.

Administrator powinien przekazywać informacje w sposób jasny, zwięzły, zrozumiały i łatwo dostępny. Informacja nie powinna być napisana językiem nadmiernie skomplikowanym, nieczytelnym albo ukrytym w dokumentach, do których osoba ma utrudniony dostęp. Szczególne znaczenie ma to w przypadku osób, które nie posiadają specjalistycznej wiedzy prawnej lub technicznej.

Kiedy należy spełnić obowiązek informacyjny

Obowiązek informacyjny powinien zostać spełniony co do zasady już w momencie pozyskiwania danych osobowych. Dotyczy to sytuacji, w których administrator zbiera dane bezpośrednio od osoby, której dane dotyczą, na przykład poprzez formularz papierowy, formularz elektroniczny, umowę, zgłoszenie, rekrutację, korespondencję e-mail, zapis na wydarzenie, kontakt telefoniczny lub korzystanie z systemu informatycznego.

Jeżeli dane osobowe nie zostały pozyskane bezpośrednio od osoby, lecz z innego źródła, administrator również ma obowiązek przekazać tej osobie odpowiednie informacje. Powinien to zrobić w rozsądnym terminie po pozyskaniu danych, najpóźniej w ciągu miesiąca, a jeżeli dane mają być wykorzystane do kontaktu z osobą — najpóźniej przy pierwszej takiej komunikacji. Jeżeli dane mają być ujawnione innemu odbiorcy, informacja powinna zostać przekazana najpóźniej przy pierwszym ujawnieniu danych.

Zakres informacji przekazywanych osobie

Zakres obowiązku informacyjnego zależy od tego, czy dane są pozyskiwane bezpośrednio od osoby, czy z innego źródła. W praktyce administrator powinien przekazać osobie przede wszystkim informacje o:

swojej tożsamości i danych kontaktowych;
danych kontaktowych inspektora ochrony danych, jeżeli został wyznaczony;
celach przetwarzania danych osobowych;
podstawach prawnych przetwarzania;
odbiorcach danych lub kategoriach odbiorców;
zamiarze przekazywania danych poza Europejski Obszar Gospodarczy, jeżeli ma to miejsce;
okresie przechowywania danych albo kryteriach jego ustalania;
prawach przysługujących osobie, której dane dotyczą;
prawie wniesienia skargi do organu nadzorczego;
tym, czy podanie danych jest wymogiem ustawowym, umownym lub warunkiem zawarcia umowy;
konsekwencjach niepodania danych, jeżeli ich podanie jest wymagane;
zautomatyzowanym podejmowaniu decyzji, w tym profilowaniu, jeżeli takie działania są prowadzone.

Jeżeli dane nie zostały pozyskane bezpośrednio od osoby, administrator powinien dodatkowo poinformować ją o źródle pochodzenia danych oraz o kategoriach przetwarzanych danych osobowych.

Forma realizacji obowiązku informacyjnego

Obowiązek informacyjny może być realizowany w różnych formach, zależnie od okoliczności i sposobu pozyskiwania danych. Najczęściej stosuje się klauzule informacyjne umieszczane w formularzach, umowach, regulaminach, wiadomościach e-mail, dokumentach rekrutacyjnych, formularzach zgłoszeniowych, na stronach internetowych, w systemach elektronicznych albo w miejscu, w którym dane są zbierane.

Ważne jest, aby informacja była dostępna dla osoby przed przekazaniem danych lub najpóźniej w chwili ich pozyskania. W przypadku komunikacji elektronicznej można zastosować link do pełnej klauzuli informacyjnej, pod warunkiem że link jest widoczny, łatwo dostępny i prowadzi bezpośrednio do właściwej treści. W przypadku dokumentów papierowych klauzula może być częścią formularza, załącznikiem albo odrębnym dokumentem przekazywanym osobie.

Administrator powinien również zadbać o możliwość wykazania, że obowiązek informacyjny został spełniony. Może to oznaczać przechowywanie wzorów klauzul, wersji formularzy, potwierdzeń zapoznania się z informacją, zapisów systemowych albo dokumentacji procesu, w którym dane zostały pozyskane.

Obowiązek informacyjny a zgoda na przetwarzanie danych

Obowiązku informacyjnego nie należy mylić ze zgodą na przetwarzanie danych osobowych. Klauzula informacyjna służy przekazaniu osobie informacji o przetwarzaniu jej danych, natomiast zgoda jest jedną z możliwych podstaw prawnych przetwarzania. Nie każde przetwarzanie wymaga zgody. W wielu przypadkach dane są przetwarzane na podstawie umowy, obowiązku prawnego, zadania publicznego lub prawnie uzasadnionego interesu administratora.

Jeżeli podstawą przetwarzania jest zgoda, osoba powinna zostać poinformowana także o prawie do jej wycofania w dowolnym momencie. Wycofanie zgody nie wpływa jednak na zgodność z prawem przetwarzania, którego dokonano przed jej wycofaniem. Zgoda powinna być dobrowolna, konkretna, świadoma i jednoznaczna, a administrator powinien być w stanie wykazać, że została prawidłowo udzielona.

Przejrzystość i zrozumiałość informacji

Realizując obowiązek informacyjny, administrator powinien unikać ogólnych, niejasnych lub nadmiernie formalnych sformułowań. Osoba, której dane dotyczą, powinna zrozumieć, jakie dane są przetwarzane, dlaczego są potrzebne, kto będzie miał do nich dostęp, jak długo będą przechowywane oraz jakie działania może podjąć, jeżeli nie zgadza się z określonym sposobem przetwarzania.

W przypadku bardziej złożonych procesów, takich jak monitoring, rekrutacja, obsługa projektów, usługi internetowe, profilowanie, systemy informatyczne lub korzystanie z usług chmurowych, warto stosować warstwowy sposób informowania. Polega on na tym, że w pierwszej warstwie przekazuje się najważniejsze informacje, a pełna klauzula informacyjna dostępna jest w drugim, bardziej szczegółowym poziomie.

Wyjątki od obowiązku informacyjnego

RODO przewiduje sytuacje, w których administrator nie musi ponownie przekazywać informacji osobie, której dane dotyczą. Dotyczy to przede wszystkim przypadku, gdy osoba już posiada te informacje. W praktyce oznacza to, że jeżeli dana osoba wcześniej otrzymała pełną i aktualną klauzulę informacyjną dotyczącą konkretnego procesu przetwarzania, administrator nie musi powtarzać tych samych informacji przy każdym kolejnym kontakcie.

W przypadku danych pozyskanych z innych źródeł istnieją również dodatkowe wyjątki, na przykład gdy udzielenie informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku, gdy pozyskanie lub ujawnienie danych jest wyraźnie uregulowane prawem albo gdy dane muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej. Wyjątki te powinny być jednak interpretowane ostrożnie i każdorazowo odpowiednio udokumentowane.

Obowiązek informacyjny w praktyce organizacji

W praktyce obowiązek informacyjny powinien być uwzględniony we wszystkich procesach, w których organizacja pozyskuje lub przetwarza dane osobowe. Dotyczy to m.in. pracowników, kandydatów do pracy, kontrahentów, klientów, uczestników szkoleń, beneficjentów projektów, osób kontaktujących się z organizacją, użytkowników stron internetowych, osób objętych monitoringiem, odbiorców newslettera oraz osób wskazanych w dokumentach przekazywanych przez inne podmioty.

Każdy proces przetwarzania powinien mieć przypisaną odpowiednią klauzulę informacyjną. Inna treść będzie właściwa dla rekrutacji, inna dla zatrudnienia, inna dla umów cywilnoprawnych, inna dla monitoringu wizyjnego, a jeszcze inna dla formularza kontaktowego lub newslettera. Stosowanie jednej, ogólnej klauzuli do wszystkich procesów może być niewystarczające, ponieważ poszczególne procesy mogą różnić się celem, podstawą prawną, okresem przechowywania danych i kategoriami odbiorców.

Obowiązki administratora

Administrator danych powinien w szczególności:

ustalić, w jakich procesach pozyskuje dane osobowe;
przygotować odpowiednie klauzule informacyjne dla poszczególnych procesów;
zapewnić, aby klauzule były przekazywane w odpowiednim czasie;
zadbać o jasny i zrozumiały język informacji;
aktualizować klauzule w przypadku zmian w przetwarzaniu danych;
dokumentować sposób realizacji obowiązku informacyjnego;
szkolić osoby odpowiedzialne za zbieranie danych;
kontrolować, czy formularze, umowy i systemy zawierają aktualne informacje;
zapewnić zgodność treści klauzul z rejestrem czynności przetwarzania;
weryfikować, czy osoby otrzymują informacje również wtedy, gdy dane pochodzą z innych źródeł.

Skutki niespełnienia obowiązku informacyjnego

Brak prawidłowego spełnienia obowiązku informacyjnego może prowadzić do naruszenia zasady przejrzystości i rzetelności przetwarzania danych. Osoba, której dane dotyczą, może nie wiedzieć, kto przetwarza jej dane, w jakim celu i jakie prawa jej przysługują. Może to skutkować skargą do organu nadzorczego, koniecznością podjęcia działań naprawczych, odpowiedzialnością administracyjną, a w określonych przypadkach również karą pieniężną.

Nieprawidłowości mogą polegać nie tylko na całkowitym braku klauzuli informacyjnej, ale również na jej nieaktualności, zbyt ogólnej treści, braku informacji o podstawie prawnej, braku wskazania okresu przechowywania danych, niewskazaniu praw osoby, ukryciu klauzuli w trudno dostępnym miejscu albo przekazaniu jej zbyt późno.

Podsumowanie

Obowiązek informacyjny jest jednym z kluczowych elementów zgodnego z prawem przetwarzania danych osobowych. Pozwala osobom fizycznym zrozumieć, co dzieje się z ich danymi, kto za nie odpowiada, jak długo będą przechowywane i jakie prawa mogą realizować. Dla administratora stanowi natomiast jeden z podstawowych dowodów przestrzegania zasady przejrzystości i rozliczalności.

Prawidłowa realizacja obowiązku informacyjnego wymaga nie tylko przygotowania klauzul, ale również ich właściwego stosowania w praktyce. Informacje powinny być aktualne, konkretne, łatwo dostępne i dostosowane do danego procesu przetwarzania. Organizacja powinna regularnie weryfikować, czy wszystkie formularze, umowy, systemy, strony internetowe i procedury zawierają odpowiednie klauzule informacyjne oraz czy osoby odpowiedzialne za zbieranie danych wiedzą, kiedy i w jaki sposób należy je przekazywać.