RODO wprowadziło obszerny obowiązek informacyjny, którego skutkiem są zapychające nasze skrzynki mailowe wiadomości o przetwarzaniu danych osobowych. Obowiązek ten jest różnicowany w zależności od tego, kto jest źródłem danych osobowych zbieranych przez administratora.

Treść pierwszej tzw. klauzuli informacyjnej wyznacza art. 13. Dotyczy on sytuacji, w której administrator pozyskuje dane osobowe bezpośrednio od podmiotu tych danych. W takim wypadku podczas pozyskiwania musi poinformować osobę, której dane dotyczą, o:

  1. swojej tożsamości i danych kontaktowych oraz swojego przedstawiciela;
  2. danych kontaktowych inspektora ochrony danych;
  3. celu przetwarzania oraz podstawie prawnej;
  4. prawnie uzasadnionych interesach, jeśli przetwarza dane na podstawie art. 6 ust. 1 lit. f;
  5. odbiorcach lub kategoriach odbiorców danych;
  6. zamierzeniu przekazania danych do państwa trzeciego lub organizacji międzynarodowej.

Powyższe elementy klauzuli informacyjnej są obowiązkowe w każdym przypadku. Dodatkowo w art. 13 ust. 2 wskazano informacje, których trzeba udzielić, jeśli jest to niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania (co jest podziałem z tej perspektywy iluzorycznym, ponieważ i tak trzeba ich będzie udzielić w każdym przypadku):

  1. okres przechowywania danych lub kryteria jego ustalania;
  2. prawa osób, których dane dotyczą;
  3. prawo cofnięcia zgody, jeśli przetwarzamy na jej podstawie;
  4. prawo wniesienia skargi do organu nadzorczego;
  5. informacja, czy podanie danych jest wymogiem ustawowym, umownym, warunkiem zawarcia umowy, czy osoba ma obowiązek podać dane oraz jakie są konsekwencje niepodania;
  6. informacja o zautomatyzowanym podejmowaniu decyzji (w tym o profilowaniu) – oraz znaczenie i konsekwencje takiego przetwarzania.

Powyższy podział ma jednak znaczenie w sytuacji, gdy administrator planuje zmienić cel przetwarzania danych. Przed takim działaniem musi poinformować o osobę o nowym celu oraz udzielić wszystkich informacji z drugiej grupy.

Warto pamiętać, że jeśli osoba, której dane dotyczą posiada już konkretne informacje, administrator nie ma obowiązku udzielać ich kolejny raz. Musi jednak mieć na to dowód.

Michał Wysocki

Bibliografia:

  1. E. Bielak-Jomaa, D. Lubasz (red.), RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, Wolters Kluwer Polska, 2017;
  2. P. Litwiński (red.), Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, C.H. Beck, 2018