Czy powiadamiać Cię o nowych wpisach?

Bądź na bieżąco - z nami nie ominą Cię żadne zmiany w przepisach.

Zapisz się

Informujemy, że Administratorem danych osobowych jest Lex Artist Przemysław Zegarek, ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe zostały przekazane dobrowolnie i będą przetwarzane wyłącznie w celu przesłania powiadomień o nowych wpisach na blogu oraz nowych usługach. Bez wyraźnej zgody dane osobowe nie będą udostępniane innym odbiorcom danych. Mają Państwo prawo dostępu do swoich danych oraz ich poprawiania poprzez kontakt: newsletter@blog-daneosobowe.pl

Informowanie osób, których dane dotyczą o przetwarzaniu ich danych osobowych, stanowi jeden z podstawowych obowiązków administratora danych.

Tylko osoba skutecznie poinformowana, jest w stanie podejmować świadome decyzje w związku z przetwarzaniem jej danych osobowych i skutecznie reagować na ewentualne nieprawidłowości w tym zakresie.

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)(dalej: Rozporządzenie lub RODO) wprowadza istotne zmiany w zakresie problematyki informowania podmiotów danych o przetwarzaniu danych osobowych ich dotyczących.

Zmiany odnoszą się przede wszystkim do zakresu informacji, do których przekazania zobowiązany jest administrator, a także momentu, w którym te informacje powinny zostać przekazane.

Tak jak to miało miejsce w poprzednich publikacjach, w których omawialiśmy zagadnienia związane z nowym Rozporządzeniem, również i w niniejszym artykule, temat obowiązku informacyjnego zostanie przedstawiony w ujęciu porównawczym, tj. w odniesieniu do wymogów określonych w aktualnie obowiązującej Ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (dalej: UODO).

Moment aktualizacji obowiązku informacyjnego

Kluczowe dla prawidłowości realizacji obowiązku informacyjnego, jest określenie momentu jego aktualizacji, tj. sytuacji, kiedy administrator danych jest zobowiązany przedstawić osobie, której dane dotyczą informacje związane z przetwarzaniem jej danych osobowych.

Obowiązek informacyjny aktualizuje się w trzech sytuacjach:

  • przy zbieraniu danych, od osoby, której dane dotyczą;
  • przy zbieraniu danych w sposób inny niż od osoby, której dane dotyczą;
  • przez cały okres przetwarzania danych osobowych (w związku z prawem dostępu przysługującym osobie, której dane dotyczą).

W niniejszym artykule skupimy się na dwóch pierwszych sytuacjach, które wiążą się ze stosowaniem przez administratora tzw. klauzul informacyjnych (komunikatów dotyczących przetwarzania danych osobowych). Prawa osób, których dane dotyczą, w tym prawo dostępu do danych, zostaną omówione w dalszych artykułach z cyklu.

Zbieranie danych, od osoby, której dane dotyczą

Gromadzenie danych od osoby, której dane dotyczą, jest najczęstszym sposobem pozyskiwania danych przed administratorów. Będziemy mieli z nim do czynienia przede wszystkim wtedy, kiedy podmiot danych świadomie dostarcza administratorowi swoje dane (np. przy wypełnianiu papierowego kwestionariusza, formularza online , czy też w rozmowie telefonicznej z konsultantem). Z tzw. pierwotnym gromadzeniem danych mamy również do czynienia wówczas, kiedy administrator sam pozyskuje dane na skutek obserwacji zachowania danej osoby (np. przy wykorzystaniu kamer, urządzeń GPS lub innych zautomatyzowanych urządzeń lub oprogramowania).

Przekazanie podmiotowi danych informacji o przetwarzaniu jego danych osobowych, powinno nastąpić w momencie gromadzenia tych danych.

O ile art. 13 ust. 1 RODO wprost wskazuje na ten właśnie moment, to obecnie regulujący tę kwestię art. 24 UODO milczy na ten temat. Nie oznacza to jednak, że Rozporządzenie wprowadza w tym zakresie nowe wymogi, gdyż pomimo braku jasno zdefiniowanego terminu, interpretacja przepisu UODO sprowadza się do tego samego stanowiska.

RODO zobowiązuje dodatkowo administratora do udzielania podmiotom danych określonych informacji dotyczących przetwarzania danych osobowych, w sytuacji, kiedy planuje on dalej przetwarzać te dane w celu innym niż cel, w którym zostały pierwotnie zebrane. Wówczas informacji udziela się przed takim dalszym przetwarzaniem.

Zbieranie danych w sposób inny niż od osoby, której dane dotyczą

Zbieranie danych w sposób inny niż od osoby, której dane dotyczą, polega na pozyskaniu danych z innych źródeł. Przy tzw. wtórnym gromadzeniu danych, administrator może skorzystać m.in. ze źródeł powszechnie dostępnych (np. publicznych rejestrów), jak również ze współpracy z innymi podmiotami (np. kupno bazy marketingowej od innego administratora). W praktyce oznacza to, że podmiot danych, co do zasady, nie uczestniczy świadomie w procesie gromadzenia jego danych przez administratora.

Należy jednak zaznaczyć, że przypadki, kiedy źródłem informacji jest podmiot działający w imieniu i na rzecz osoby, której dane dotyczą (np. działanie rodzica jako przedstawiciela ustawowego) należy interpretować jako przypadki pierwotnego gromadzenia danych.

Zgodnie z art. 25 ust. 1  UODO, obowiązek poinformowania powinien zostać spełniony bezpośrednio po utrwaleniu zebranych danych, a więc po zapisaniu danych w sposób umożliwiający ich dalsze przetwarzanie.

RODO w sposób odmienny niż UODO definiuje powyższy termin. Zgodnie z art. 14 ust. 3 RODO, informacje o przetwarzaniu danych osobowych, administrator danych podaje podmiotowi danych:
  • w rozsądnym terminie po pozyskaniu danych osobowych – najpóźniej w ciągu miesiąca – mając na uwadze konkretne okoliczności przetwarzania danych osobowych;
  • jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą – najpóźniej przy pierwszej takiej komunikacji z osobą, której dane dotyczą; lub
  • jeżeli planuje ujawnić dane osobowe innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu.

Administrator który gromadzi dane z innych źródeł niż osoba, której dane dotyczą powinien przekazać tej osobie, wszystkie niezbędne informacje w tzw. rozsądnym terminie po uzyskaniu danych, jednak nie później niż w ciągu miesiąca od tej chwili. Termin powinien być oceniany jako rozsądny, przy uwzględnieniu konkretnych (faktycznych) okoliczności przetwarzania danych osobowych, w oparciu o obiektywne kryteria. Oznacza to tyle, że administrator powinien dążyć do jak najszybszego spełnienia obowiązku informacyjnego wobec podmiotu danych, biorąc pod uwagę dostępne na chwilę pozyskania danych środki.

Niezależnie od powyższego, przekazanie informacji powinno nastąpić nie później niż w terminie miesiąca od zgromadzenia danych. Termin ten należy traktować jako ogólny graniczny termin przekazania informacji, który będzie również znajdował zastosowanie do kolejnych punktów.

Najlepsze na rynku szkolenia e-learningowe. Zależy Ci na tym aby Twoi pracownicy otrzymali certyfikat i poznali praktyczną widzę z zakresu RODO zamiast nużących regułek? Sprawdź nasze interaktywne szkolenia e-learningowe.

Sprawdź

Oznacza to, że jeżeli pierwsza komunikacja z osobą, której dane dotyczą lub pierwsze ujawnienie jej danych innemu podmiotowi, planowane jest przez administratora przed upływem jednego miesiąca po uzyskaniu danych, wówczas informacje muszą zostać dostarczone najpóźniej w chwili tego kontaktu lub ujawnienia jej danych, niezależnie od tego, że jeden miesiąc od momentu uzyskania danych nie wygasł.

Jeżeli natomiast pierwszy kontakt lub ujawnienie danych administrator planuje później niż miesiąc po uzyskaniu danych osobowych, nadal obowiązuje go termin wskazany w punkcie pierwszym, tj. stosowne informacje muszą zostać przekazane osobie, której dane dotyczą, najpóźniej w ciągu miesiąca od  otrzymania danych.

Zakres informacji przekazywanych osobie, której dane dotyczą

Teraz zajmijmy się kluczowym elementem obowiązku informacyjnego – czyli jego treścią. Zakres informacji do, których przekazania zobowiązany jest administrator, różni się w zależności od sytuacji, w której aktualizuje się obowiązek informacyjny.

Zbieranie danych, od osoby, której dane dotyczą

UODO RODO
Podstawa prawna art. 24 ust. 1 art. 13 ust. 1 i 2
Zakres przekazywanych informacji 1) adres i pełna nazwa administratora, a w przypadku gdy administratorem danych jest osoba fizyczna – miejsce zamieszkania oraz jej imię i nazwisko;

2) cel zbierania danych;

3) znani w czasie udzielania informacji lub przewidywani odbiorcy lub kategorie odbiorców danych;

3) informacja o prawie dostępu do treści danych oraz ich poprawiania;

4) informacja o dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej;

1) tożsamość i dane kontaktowe administratora;

2) gdy ma to zastosowanie – tożsamość i dane kontaktowe przedstawiciela administratora;

2) gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;

3) cele przetwarzania danych osobowych;

4) podstawy prawne przetwarzania;

5) jeżeli przetwarzanie odbywa się na podstawie prawnie uzasadnionych interesów administratora lub strony trzeciej, te realizowane interesy;

6) informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;

7) gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz warunkach tego przekazania;

8) okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;

9) informacje o przysługujących osobie, której dane dotyczą prawach;

10) jeżeli przetwarzanie odbywa się na podstawie zgody, informacje o prawie do jej cofnięcia; w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na jej podstawie jej cofnięciem;

11) informacje o prawie wniesienia skargi do organu nadzorczego;

12) informacje, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;

13) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu;

Już na pierwszy rzut oka widać, że Rozporządzenie znacznie rozszerza zakres obowiązku informacyjnego. Podmiot danych ma zostać nie tylko w sposób kompleksowy poinformowany o procesach przetwarzania jego danych osobowych, ale również o przysługujących mu związku z tym przetwarzaniem prawach, możliwych do podjęcia działaniach (skarga do organu nadzoru), jak i konsekwencjach jakie niesie dla niego dokonywane przetwarzanie.

Informując osobę, której dane dotyczą o swojej tożsamości i siedzibie, administrator powinien przekazać takie swoje dane, które będą mogły w łatwy sposób go zidentyfikować i zostać wykorzystane do nawiązania z nim kontaktu. Przykładowo, nie zaleca się stosowania skrótu nazwy, jeżeli nie umożliwia on jednoznacznej identyfikacji podmiotu. To co natomiast należy zarekomendować, to podanie danych, które umożliwiają skorzystanie z różnych form komunikacji (np. adres email, numer telefonu, adres strony internetowej).

Takie same uwagi odnoszą się do wskazania przedstawiciela administratora danych (wymóg wyznaczenia przedstawiciela dotyczy administratorów nie mających siedziby w Unii Europejskiej).

W sytuacji, kiedy w administrator w swojej strukturze powołał inspektora ochrony danych (dalej: IOD), zobowiązany jest on do przekazania jego danych kontaktowych. Dane kontaktowe IOD powinny umożliwiać osobom, których dane dotyczą, nawiązanie z nim kontaktu w łatwy sposób (adres korespondencyjny, telefon kontaktowy, dedykowany adres email).

Art. 13 RODO nie wymaga publikowania imienia i nazwiska IOD. Zamieszczenie takich informacji w przekazywanej podmiotowi danych klauzuli informacyjnej należy traktować jedynie jako dobrą praktykę.

Decyzja o tym, czy udostępnienie tych danych może być konieczne lub pomocne, powinna zostać podjęta wspólnie przez administratora oraz IOD. Należy zwrócić uwagę, że zamieszczenie tego typu informacji na formularzach czy kwestionariuszach, za pomocą, których zbierane są dane osobowe, może okazać się na dłuższą metę niepraktyczne. Zmiana personalna na stanowisku IOD, każdorazowo wymagałaby bowiem zmiany stosowanych formularzy. O ile łatwo tego dokonać w przypadku dokumentów w formie elektronicznej, to w przypadku dokumentów w formie papierowej jedynym rozwiązaniem byłoby ich zniszczenie i zastąpienie nowymi, co może generować dość duże koszty.

Cele przetwarzania danych osobowych powinny zostać wskazane przez administratora w sposób precyzyjny w oparciu o istniejący w tym zakresie stan faktyczny. Z uwagi na zasadę przejrzystości, nie jest dopuszczalne wskazywanie celów przetwarzania na zapas (więcej o zasadach przetwarzania na gruncie RODO w artykule: https://blog-daneosobowe.pl/nowe-zasady-przetwarzania-danych-wg-rodo/

Tym samym, nieprawidłowym będzie wskazanie w klauzuli informacyjnej, że dane osobowe mogą być przetwarzane w jakimś celu (np. marketingowym). Takie zwroty mogą powodować, że podmiot danych nie będzie miał pewności co do tego w jakich konkretnie celach jego dane są rzeczywiście wykorzystywane. Zaleca się zatem posługiwanie zwrotami typu: dane osobowe będą / przetwarzane w jakimś celu (np. marketingowym).

Wskazując podstawy przetwarzania danych należy odnieść się do przesłanek legalizujących wskazanych w art. 6 oraz 9 RODO (więcej o podstawach przetwarzania na gruncie RODO w artykule: https://blog-daneosobowe.pl/rodo-a-legalnosc-przetwarzania-danych/). Jeżeli  przetwarzanie odbywa się na podstawie prawnie uzasadnionych interesów administratora lub strony trzeciej, należy wskazać jakie konkretnie interesy legalizują to przetwarzanie. Dodatkowo, w ramach dobrej praktyki, w sytuacji, jeżeli podstawę przetwarzania będzie stanowiło wypełnianie obowiązku prawnego ciążącego na administratorze, należałoby wskazać konkretny przepis, z którego ten obowiązek wynika.

Tak jak to miało miejsce na gruncie UODO, tak i RODO nakłada obowiązek informowania podmiotów danych o odbiorcach lub o kategoriach odbiorców ich danych osobowych, jeżeli takowi istnieją.

To co stanowi novum w tym zakresie, to rozszerzenie przez Rozporządzenie definicji odbiorcy danych. Do kręgu odbiorców RODO zalicza nie tylko podmioty, którym dane osobowe są udostępniane, ale również podmioty, którym administrator powierzył przetwarzanie danych osobowych. Oznacza to, że klauzula informacyjna powinna zawierać dane o wszystkich podmiotach, którym administrator przekazuje przetwarzane przez siebie dane osobowe. Pomimo tego, że RODO nie wymaga podania pełnych danych tych podmiotów, dopuszczając wymienianie tylko ich kategorii to punktem wyjścia, w ramach realizacji powoływanej już zasady przejrzystości, powinna być jednak próba konkretnego zdefiniowania tych podmiotów. Jeżeli administrator decyduje się na wskazanie jedynie kategorii odbiorców, powinien być w stanie wykazać, dlaczego uważa, że takie rozwiązanie będzie dla odbiorcy informacji zrozumiałe.

Umowa powierzenia

Instrukcja wypełniania i gotowy szablon umowy powierzenia zgodnej z RODO. Działaj na sprawdzonym szablonie i wytycznych, których autorem są eksperci Kancelarii Lex Artist – lidera na rynku ochrony danych osobowych.

Sprawdź

Podczas podawania informacji o odbiorach danych, administrator powinien zwrócić uwagę, czy któryś z tych podmiotów nie ma siedziby w państwie trzecim (poza Europejskim Obszarem Gospodarczym). Jeżeli tak, wówczas katalog przekazywanych informacji powinien zostać rozszerzony dodatkowo o informacje o zamiarze przekazania danych osobowych do tego państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję Europejską odpowiedniego stopnia ochrony lub wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych.

Kwestie związane z przekazywaniem danych do państw trzecich zostaną omówione w osobnym artykule z cyklu.

Kolejnym elementem klauzuli informacyjnej, jest wskazanie przez administratora okresu, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteriów ustalania tego okresu. W tym zakresie należy pamiętać o tym, że okresy te mogą się od siebie różnić w zależności od tego jaki jest cel przetwarzania danych. Jeżeli gromadzone dane będą przetwarzane w różnych celach, należy wskazać okresy przechowywania danych dla tych różnych celów. Administrator może dopełnić tego obowiązku poprzez wskazanie konkretnych dat (np. do 31 grudnia 2018 r.), przedziałów czasowych (np. przez okres 5 lat, przez okres obowiązywania zawartej umowy, etc.) lub sytuacji (np. do czasu wycofania zgody, do czasu wniesienia sprzeciwu, etc.).

Na gruncie RODO osoba, której dane dotyczą powinna zostać również poinformowana o przysługujących jej prawach, tj. prawie do żądania dostępu do danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, prawie do wniesienia sprzeciwu wobec przetwarzania, prawie do przenoszenia danych, a także prawie do wniesienia skargi do organu nadzorczego. Pomimo, że nie jest to wprost wymagane przez RODO, informując podmiot o przysługujących mu prawach, administrator w ramach dobrych praktyk powinien również wskazać mu, jakie kroki powinien on podjąć, aby móc z tego prawa realnie skorzystać (np. wskazując dane  kontaktowe do organu nadzoru).

Jeżeli przetwarzanie odbywa się na podstawie zgody, administrator powinien przekazać osobie, której dane dotyczą informacje o prawie do cofnięcia tej zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na jej podstawie przed jej cofnięciem.

W sytuacji, jeżeli dane gromadzone są w związku z wymogiem ustawowym lub umownym lub pod warunkiem zawarcia umowy, a osoba, której dane dotyczą, jest zobowiązana do podania tych danych, administrator powinien ją o tym poinformować oraz dodatkowo wskazać jakie są ewentualne konsekwencje niepodania przez nią danych osobowych.

Możliwą konsekwencją niepodania danych może być przykładowo brak możliwości zawarcia umowy (w sytuacji jeżeli podmiot odmawia przekazania danych identyfikujących). W tym zakresie należy podkreślić, że ten element klauzuli informacyjnej, nie może być wykorzystywany przez administratorów do wymuszania podania przez osoby, których dane dotyczą szerszego zakresu danych niż jest to niezbędne dla celu przetwarzania (np. zastrzeganie adresu email jako niezbędnego do zawarcia umowy).

Ostatni z punktów art. 13 RODO wymaga od administratora dostarczania podmiotowi danych konkretnych informacji o automatycznym podejmowaniu decyzji, opartych wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołujących wobec tego podmiotu skutki prawne lub w podobny sposób istotnie na niego wpływających (art. 22 RODO).

Kwestii zautomatyzowanego podejmowania decyzji oraz profilowania, poświęcony zostanie osobny artykuł z naszej serii publikacji o RODO. Na potrzeby tego artykułu warto zasygnalizować jedynie, że decyzje oparte na zautomatyzowanym przetwarzaniu danych, w tym profilowaniu, są obecnie powszechnie wykorzystywane w obszarach takich jak sektor bankowy, ubezpieczeń czy zdrowia. Decyzje takie podejmowane są przy wykorzystaniu dedykowanych algorytmów m.in. na potrzeby scoringu kredytowego, określania limitów na kartach kredytowych, etc. Jeżeli administrator podejmuje takie decyzje, musi:

  • przekazać osobie, której dane dotyczą, informacje że wykonuje na jej danych tego typu działania oraz określić ich cel;
  • dostarczać istotnych informacji o regułach podejmowania takich decyzji, w szczególności czynnikach wpływających na określoną treść decyzji;
  • wyjaśnić znaczenie i przewidywane konsekwencje takiego przetwarzania.

Zbieranie danych w sposób inny niż od osoby, której dane dotyczą

UODO RODO
Podstawa prawna art. 25 ust. 1 art. 14 ust. 1 i 2
Zakres przekazywanych informacji 1) adres i pełna nazwa administratora, a w przypadku gdy administratorem danych jest osoba fizyczna – miejsce zamieszkania oraz jej imię i nazwisko;

2) cel i zakres zbierania danych;

3) znani w czasie udzielania informacji lub przewidywani odbiorcy lub kategorie odbiorców danych;

3) informacja o źródle danych;

4) informacja o prawie dostępu do treści danych oraz ich poprawiania;

4) informacja o prawie do wniesienia umotywowanego żądania zaprzestania przetwarzania danych ze względu na szczególną sytuację oraz wniesienia sprzeciwu wobec przetwarzania;

1) tożsamość i dane kontaktowe administratora;

2) gdy ma to zastosowanie – tożsamość i dane kontaktowe przedstawiciela administratora;

3) gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;

4) cele przetwarzania danych osobowych;

5) podstawy prawne przetwarzania;

6) kategorie odnośnych danych;

7) informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;

7) gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz warunkach tego przekazania;

8) okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;

9) jeżeli przetwarzanie odbywa się na podstawie prawnie uzasadnionych interesów administratora lub strony trzeciej, te realizowane interesy;

10) informacje o przysługujących osobie, której dane dotyczą prawach;

11) jeżeli przetwarzanie odbywa się na podstawie zgody, informacje o prawie do jej cofnięcia; w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na jej podstawie jej cofnięciem;

12) informacje o prawie wniesienia skargi do organu nadzorczego;

12) źródło pochodzenia danych, a gdy ma to zastosowanie informacja czy dane pochodzą ze źródeł publicznie dostępnych;

13) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu;

Podobnie jak to ma miejsce w przypadku pierwotnego gromadzenia danych, RODO znacznie rozszerza katalog informacji jakie administrator danych powinien przekazać podmiotowi, przy wtórnym gromadzeniu jego danych.

Część z tych informacji pozostaje analogiczna do informacji podawanych w przypadku zbierania danych osobowych bezpośrednio od osoby, której dane dotyczą (dot. to m.in. informacji o administratorze, inspektorze ochrony danych, celach i podstawach przetwarzania, etc.).

W przypadku wtórnego pozyskiwania danych RODO rozszerza katalog przekazywanych informacji o kategorie odnośnych danych osobowych oraz wskazanie źródła ich pochodzenia.

Poprzez pojęcie kategorie odnośnych danych należy rozumieć kategorie danych osobowych pozyskanych przez administratora z innego źródła. Kategorie tych danych mogą zostać wskazane dwojako, albo poprzez wskazanie typów i rodzajów danych (np. dane identyfikacyjne, dane pracownicze) albo poprzez wskazanie zakresu informacji (np. imię, nazwisko, email, adres). Biorąc pod uwagę zasadę przejrzystości przetwarzania danych zasadnym będzie przyjęcie przez administratora drugiego ze wskazanych rozwiązań.

Źródło pochodzenia danych powinno zostać określone przez administratora w sposób jak najbardziej  precyzyjny, tak aby podmiot danych mógł je w sposób poprawny zidentyfikować, bez konieczności podejmowania w tym zakresie nadmiernych działań. W sytuacji, kiedy administrator danych pozyskał dane z różnych źródeł, RODO (motyw 61) dopuszcza przedstawienie tych źródeł w sposób ogólny. Sytuacja taka powinna jednak stanowić wyjątek, a niemożność podania źródła powinna oznaczać okoliczność  o charakterze obiektywnym, a nie stanowić subiektywne odczucie administratora (jak np. konieczność skrócenia klauzuli z uwagi na ograniczoną ilość znaków w przesyłanej do podmiotu danych wiadomości).

Druga część informacji dotyczących obowiązku informacyjnego już za tydzień!

 

Powiązane artykuły

Rejestr Czynności Przetwarzania – mapowanie procesów
Recenzujemy najnowszy projekt ustawy o ochronie danych osobowych!
Czym są dane osobowe wg RODO?

18 Odpowiedzi

  1. Artur

    Artykuł 14 ustęp 5 RODO przewiduje wyłączenia obowiązku informacyjnego. Są wskazane m.in. takie sytuacje, jak to że fakt spełnienia obowiązku informacyjnego może uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania. Jeżeli więc wierzyciel dostanie nowe informacje o stanie majątkowym, miejscu przebywania lub stanie zdrowia dłużnika (od sąsiadów, komornika itp.), to czy może nie przekazywać takiej informacji dłużnikowi, gdy mogłoby to utrudnić odzyskanie należnych pieniędzy?
    Dodatkowo, czy art. 15 ust. 5 d) może odnosić się do tajemnicy bankowej?

    1. Kancelaria Lex Artist

      Dzień dobry. W zakresie pierwszego pytania – wszystko zależy od tego, czy dane o sytuacji finansowej, które zostały pozyskane potraktujemy jako nowe dane osobowe, czy też dane zaktualizowane. W drugim przypadku obowiązek informacyjny w ogóle nie istnieje, ponieważ nie mamy wówczas do czynienia z pierwotnym zebraniem danych. W pierwszym natomiast z czysto prawnego punktu widzenia obowiązek taki istnieje. Prosimy jednak pamiętać, że osoba, której dane dotyczą, z uwagi na relację wierzyciel-dłużnik, nie będzie mogła skorzystać z niektórych uprawnień, w które wyposaża ją RODO (np. w prawo do sprzeciwu wobec przetwarzania danych, czy prawo do bycia zapomnianym). Co do drugiego pytania – dokładnie tak. 🙂 Pozdrawiamy!

  2. Aga

    Mam może banalne pytanie, ale w natłoku informacji już nie mam pewności. Jeśli zbieram tylko podstawowe dane klienta – nazwisko, adres, telefon, które są wykorzystywane tylko w celu realizacji umowy zakupu , to czy muszę od niego uzyskać zgodę?
    I druga kwestia – czy od pracowników, których dane są zbierane i wykorzystywane tylko na potrzeby związane z zatrudnieniem , czy od nich też muszę mieć zgodę? Wiem , że jeśli chciałabym wykorzystać ich zdjęcie np. w firmowej korespondencji , to wtedy zgoda na to jest konieczna.
    Z góry dziękuję i pozdrawiam 😉

      1. Magda

        Czy przy przewarzaniu danych osobowych pracowników szerzej niz pozwala na to prawo pracy (np.wizerunek) zgoda pracownika faktycznie nie jest wymagana?

        1. Kancelaria Lex Artist

          Dzień dobry. Jeśli chodzi o wizerunek, wszystko zależy od tego, w jakim celu ten wizerunek będzie przetwarzany. Przykładowo – jeśli planują Państwo przetwarzać wizerunek pracowników na kartach identyfikacyjnych w celu zapewnienia bezpieczeństwa na terenie zakładu pracy, to jest to dopuszczalne bez zgody pracowników, jednak informację o przetwarzaniu wizerunku należy wtedy zawrzeć w zapisach Regulaminu Pracy. Natomiast jeśli np. wizerunek pracowników miałby być wykorzystany w komunikacji promocyjnej z Klientem (choćby na stronie internetowej Państwa firmy), to wówczas koniecznym byłoby pozyskiwanie od pracowników zgody na przetwarzanie wizerunku. Proszę pamiętać również o tym, że wizerunek (oprócz przepisów o ochronie danych osobowych) chroniony jest także przepisami ustawy o prawie autorskim i prawach pokrewnych. Pozdrawiamy!

  3. Michał

    Biuro rachunkowe (mój procesor) poinformowało mnie, że w bazie ich programu są dane archiwalne dotyczące mojego przedsiębiorstwa, które zgodnie z prawem powinny być nadal przechowywane. Chodzi tutaj zarówno o dane osobowe byłych pracowników, zleceniobiorców, jak również o dane byłych kontrahentów (osób fizycznych) w postaci informacji zawartych w wystawionych przez nich lub dla nich fakturach (na fakturach są zarówno dane kontrahenta ujawnione w CEiDG, jak i inne informacje, takie jak: numer rachunku bankowego, rodzaj wykonanej usługi, czy też jej wartość – te informacje są również w bazie programu księgowego). Biuro zwróciło mi uwagę, że przed 25 maja powinienem wypełnić obowiązek informacyjny (art. 13 RODO) wobec tych osób – jest to spora liczba osób. Czy faktycznie jestem zobowiązany do poinformowania tych osób o przetwarzaniu zgodnie z RODO? Czy przyjmując fakturę od nowego kontrahenta (osoby fizycznej) powinienem przedstawić tej osobie informacje zgodnie z art. 13 RODO (w tym podać dane biura rachunkowego jako odbiorcy danych osobowych)?

    1. Kancelaria Lex Artist

      Dzień dobry. Z czysto prawnego punktu widzenia powinien Pan dopełnić obowiązku informacyjnego zarówno wobec osób, których dane Pan już posiada, jak i od osób, których dane Pan pozyska po 25 maja 2018 r. Zdajemy sobie jednak sprawę, iż co do osób, które są np. w archiwach, z praktycznego punktu widzenia może się to nawet okazać niewykonalne. W tym zakresie pozostaje czekać na ewentualne rekomendacje organu nadzoru. Natomiast po 25 maja, wystawiają faktury czy podpisując z kimś umowę, powinien zostać spełniony obowiązek informacyjny zgodny z art. 13 RODO, który m. in. zakłada podanie odbiorców danych lub przynajmniej ich kategorii. To oznacza, że nie musi Pan np. wskazywać konkretnego biura rachunkowego, lecz samą “kategorię” odbiorców czyli np. “biura rachunkowe, spółki/firmy prowadzące obsługę rachunkowo-księgową” lub podobne. Pozdrawiamy!

      1. Michał

        Bardzo dziękuję za wyczerpującą odpowiedź. Czy są Państwu znane jakieś wytyczne albo wskazówki, jak w praktyce wypełnić obowiązek informacyjny w sytuacji, gdy administrator przyjmuje fakturę od osoby fizycznej, np. za zakupy w sklepie spożywczym, którego właścicielem jest osoba fizyczna albo za wymianę opon itp. Dane tej osoby będą przetwarzane do celów księgowych. Czy od 25 maja należy mieć zawsze pod ręką formularz z informacją i po dokonaniu zakupu przekazać go sprzedawcy oraz poprosić sprzedawcę o potwierdzenie podpisem faktu zapoznania się z nim? Czy też w przypadku przyjmowania faktur od dostawców tego obowiązku nie będzie?

        1. Kancelaria Lex Artist

          Mamy takie informacje i wskazówki, natomiast jest to już usługa płatna. 🙂 Najlepiej informację zamieścić razem z fakturą. Pozdrawiamy!

  4. Kasia

    Mam pytanie – jak informować klientów w obowiazku informacyjnym z art.13 RODO o okresie przetwarzania ich danych w newsletterze? od czego ten okres zależy? jak liczyć ten okres?

    1. Kancelaria Lex Artist

      Dzień dobry. Przetwarzanie danych w newsletterze odbywa się na podstawie zgody osoby, której dane dotyczą. Wobec tego jako okres przetwarzania danych w tym zakresie należy wskazać, że dane będą przetwarzane do momentu wycofania zgody. Pozdrawiamy!

  5. Sylwek

    Długi artykuł jak na sam obowiązek informacyjny (ale jednak czytelny), jednak RODO bardzo zwiększa zakres pobieranych danych. W związku z obowiązkiem (który może wynikać ze zgody), mam pytanie o wizytówkę. Czy potrafi mi Pan/i odpowiedzieć na jedno pytanie: na targi jedzie Dyrektor Sprzedaży, czy może on dysponować wizytówkami innej osobie w firmie (takimi danymi jak imię i nazwisko przedstawiciela handlowego, który mu podlega?). Czy może też przekazać kontakt (imię nazwisko, telefon, mail) np: do Działu Technicznego swojej firmy. Bo jednak Dyrektor nie dysponuje swoimi danymi osobowymi, ale z drugiej strony, trudno, żeby te czynności nie były podejmowane. Jaką podstawę prawną możemy ewentualnie zastosować: art 6.1.b czy art. 6.1.f??

    1. Kancelaria Lex Artist

      Dzień dobry. Dziękujemy, że mimo długości, artykuł jest czytelny. 🙂 Niestety, jeśli Pan spojrzy w zakres obowiązku informacyjnego w art. 13 RODO, to również jest on baaaardzo długi. 🙂 Jako podstawę prawną do opisywanego przez Pana stanu faktycznego można przyjąć prawnie uzasadniony interes (art. 6 ust. 1 lit f RODO), należy jednak zadbać o to, aby kontakty do pracowników, które Państwa Dyrektor dystrybuuje miały na celu relacje biznesowe (związane z Państwa firmą). Pozdrawiamy!

  6. Sylwek

    A takie pytanie. Dzwoni ktoś do centrali i chce rozmawiać z pracownikiem marketingu czy sprzedaży (nie mamy możliwości zidentyfikowania osoby dzwoniącej). Pracownik marketingu (czy sprzedaży) czasami się przedstawia (imię, nazwisko, firma-więc podaje automatycznie swoje dane osobowe), czy przełączenie z centrali (sekretariatu) do tej osoby można podłączyć pod prawnie uzasadniony interes (art. 6 ust. 1 lit f. RODO)? Druga sytuacja: do sekretariatu (działu HR) dzwoni urzędnik, informacje, które chce uzyskać z centrali/sekretariatu są danymi osobowymi pracownika firmy, czy mamy mu te dane podać (czy może zaproponować bezpieczniej kontakt mailowy?). Jeżeli nie możemy podać, ale numer, z którego dzwoni urzędnik łatwo zweryfikować, że jest to numer urzędu (bo jest na stronie urzędu; bo jest na platformie sprawozdawczej GUS;), czy wtedy możemy dane osobowe pracownika podać?

    1. Kancelaria Lex Artist

      Po odpowiedzi na bardziej złożone i wymagające poświęcenia więcej czasu kwestie zapraszamy do skorzystania z usługi konsultacji. 🙂 Pozdrawiamy!

Zostaw odpowiedź