Obowiązek informacyjny to jedno z podstawowych zagadnień, które kojarzy się z RODO. Znają je administratorzy, znają i jego odbiorcy. Pamiętasz ten natłok informacji o przetwarzaniu danych osobowych, który spłynął do Ciebie w okolicy 25 maja 2018 r.? Ja pamiętam. Dowiedziałem się wtedy, że moje dane są przetwarzane tam, gdzie bym się tego kompletnie nie spodziewał.
Bo o przekazanie informacji na temat przetwarzania danych osobowych właśnie chodzi. Napisałem już na ten temat inny artykuł, z którym możesz zapoznać się tutaj. Opisałem tam, jakie informacje powinieneś przekazać jako administrator osobie, której dane przetwarzasz. Ten wpis poświęcę natomiast na omówienie formy realizacji obowiązku informacyjnego.
Kiedy należy zrealizować obowiązek informacyjny?
Jak najszybciej. Zgodnie z motywem 61 RODO, informacje o przetwarzaniu danych osobowych dotyczących osoby, której dane dotyczą, należy przekazać tej osobie w momencie zbierania danych, a jeżeli danych nie uzyskuje się od osoby, której dane dotyczą, lecz z innego źródła – w rozsądnym terminie, zależnie od okoliczności.
Pamiętaj, że przepisy prawa mogą precyzować konkretny termin. Za przykład może posłużyć Kodeks postępowania administracyjnego lub Ordynacja podatkowa, w których regulacje prawne przewidują, że obowiązek informacyjny powinien zostać zrealizowany przy pierwszej czynności skierowanej do strony.
Kiedy obowiązek informacyjny można pominąć?
Udzielenie informacji może nie być konieczne. Jest tak w następujących przypadkach:
- gdy osoba, której dane dotyczą, dysponuje już informacjami o przetwarzaniu;
- gdy utrwalenie lub ujawnienie danych są wyraźnie przewidziane prawem;
- gdy poinformowanie osoby, której dane dotyczą, okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku.
Ta ostatnia okoliczność może zajść w szczególności przy przetwarzaniu danych w celach archiwalnych w interesie publicznym, badań naukowych, historycznych lub statystycznych. W takim przypadku należy uwzględnić liczbę osób, których dane dotyczą, okres przechowywania i stosowane zabezpieczenia.
W jakiej formie zrealizować obowiązek informacyjny?
Zdarza się, że przepisy prawa przewidują konkretną formę, w jakiej należy zrealizować obowiązek informacyjny. W większości przypadków jednak decyzja w tym zakresie będzie należeć do Ciebie jako administratora. Możliwości jest wiele, dlatego warto zastanowić się, która z nich będzie najbardziej odpowiednia w konkretnej sytuacji.
Myślę, że nie będzie kontrowersyjnym stwierdzeniem, że podstawową formą realizacji obowiązku informacyjnego jest klauzula informacyjna. To nic innego jak spisane w jednym miejscu zasady przetwarzania danych osobowych. Ta może co do zasady obejmować pełną treść wymaganych przez RODO informacji lub jedynie jej najważniejszą część. W takim przypadku mówimy o tzw. warstwowej realizacji obowiązku informacyjnego. Pamiętaj, że korzystając z tej skróconej formy powinieneś wskazać, gdzie można zapoznać się z pełną informacją na temat przetwarzania.
Jak już wspomniałem, istnieje wiele możliwości realizacji obowiązku informacyjnego, co zależy od charakteru przetwarzania. Oto kilka z przykładów:
- przekazanie klauzuli informacyjnej dołączonej do innego dokumentu, np. wniosku;
- zawarcie informacji w stopce maila;
- przekazanie informacji przez umożliwienie odtworzenia ich nagrania, np. w przypadku rejestrowania połączeń telefonicznych;
- zawieszenie tabliczki informującej o monitoringu wizyjnym wraz z podstawowymi informacjami;
- utworzenie okna pop-up w aplikacji;
- opracowanie polityki prywatności;
- uwzględnienie informacji o przetwarzaniu danych osobowych w regulaminie, np. świadczenia usług drogą elektroniczną;
- załączenie treści informacji o przetwarzaniu do umowy.
Obowiązek informacyjny nie bez przyczyny…
Informowanie o przetwarzaniu danych osobowych jest obowiązkiem prawnym administratora. Jego zignorowanie może prowadzić do przykrych konsekwencji. Nie ma chyba lepszego przykładu niż kara nałożona na spółkę Bisnode, która dotyczyła właśnie niezrealizowania obowiązku informacyjnego. Wyniosła ona niemal milion złotych, a po latach postępowania odwoławczego, Naczelny Sąd Administracyjny potwierdził jej słuszność. Spowodowało to przesłanie informacji o przetwarzaniu danych przez spółkę Dun & Bradstreet, następcę prawnego ukaranej Bisnode. Informacje te, jako przedsiębiorca, otrzymał również ja.
Zakończę przesłaniem. Warto dbać o przejrzystość działań!😉