Jak poprawnie zrealizować obowiązek informacyjny zgodnie z wymaganiami RODO

Obowiązek informacyjny to jedna z ważniejszych zasad Rozporządzenia o Ochronie Danych Osobowych. Każdy administrator dysponujący danymi osobowymi w określonym przepisami czasie zobowiązany jest do przekazania osobom, których dane są przetwarzane szeregu informacji określonych w RODO. Całość musi odbywać się w sposób jasny i zrozumiały, bowiem tylko wówczas osoba skutecznie poinformowana jest w stanie podjąć świadome i dobrowolne działania związane z przetwarzaniem jej danych, realizować swoje uprawnienia oraz jeżeli zaistnieje taka ewentualność skutecznie interweniować w razie nieprawidłowości w tym zakresie.


Ważne: Administrator ma obowiązek udzielenia podmiotom określonych informacji o przetwarzaniu ich danych osobowych w momencie, kiedy rozważa on dalsze ich przetwarzanie w innych celach niezwiązanych z ówczesnym celem ich zebrania. W takiej sytuacji informacja ta powinna trafić do podmiotów przed podjęciem jakichkolwiek kroków w celu ich dalszego przetwarzania. Przetwarzanie danych w każdym celu wymaga zgody ich właściciela.


Potwierdzeniem tych informacji jest wypowiedź Dyrektora Departamentu Zarządzania Danymi z Ministerstwa Adiunkta, Politechniki Warszawskiej dr Macieja Kaweckiego:

Pozyskiwanie danych w sposób inny niż od danej osoby, której one dotyczą polega na gromadzeniu ich z innych źródeł, jest to tak zwane wtórne gromadzenie danych. W tym celu administrator może skorzystać np. z publicznych rejestrów oraz ze współpracy z innymi podmiotami np. kupno bazy mailingowej od innego administratora. Podmiot danych nie uczestniczy więc w tym procesie świadomie. Należy jednak wspomnieć o przypadkach pierwotnego gromadzenia danych przez administratora, w których podmiot działa na rzecz osoby, której te dane dotyczą jest to między innymi działanie rodzica jako przedstawiciela ustawowego np. jeżeli właściciel jest niepełnoletni.


W takich przypadkach, koniecznym jest spełnienie obowiązku informacyjnego dla podmiotu, który pozyskał dane w inny sposób, niż od osoby, której one dotyczą zgodnie z art. 14 RODO


Ważną kwestią jest przekazanie przez Administratora danych, wszelkich niezbędnych informacji w rozsądnym terminie po ich pozyskaniu, okres ten nie może być dłuższy niż miesiąc od chwili zgromadzenia.

Administrator musi mieć na uwadze wszelkie zaistniałe okoliczności w jakich informacje zostały pozyskane i jak najszybciej spełnić swój obowiązek. Okres miesiąca jest terminem granicznym. Administrator zobowiązany jest do podania informacji podmiotowi o źródle pochodzenia danych. W sytuacji kiedy dane pozyskane zostały z różnych źródeł, dopuszczalne jest przedstawienie tych danych w sposób ogólny – jest to jednak wyjątek, takie działania mogą mieć miejsce jedynie w konkretnych okolicznościach o charakterze obiektywnym a nie wyznaczać subiektywne odczucia administratora.

Jakie dane powinny zostać przekazane osobie której one dotyczą?

Kolejny istotny punkt, dotyczy już samej treści przekazywanych informacji. Ilość i zakres danych, które powinny być przekazane może różnić się w zależności od konkretnej sytuacji. Jak to wygląda z punktu widzenia RODO i jakie dane powinny zostać przekazane? Zgodnie z art. 14 ust. 1 i 2 są to:

  • wszelkie informacje dotyczące tożsamości danych kontaktowych administratora,
  • w zaistniałej sytuacji, która ma miejsce: tożsamość i dane kontaktowe przedstawiciela administratora,
  • w zaistniałej sytuacji, która ma miejsce: dane kontaktowe inspektora ochrony danych,
  • cele w jakich dane są przetwarzane oraz podstawę prawną przetarzania,
  • kategorie odnośnych danych osobowych;
  • realizowane interesy na podstawie, których odbywa się przetwarzanie danych osobowych – jeżeli podstawą przetarzania jest uzasadniony prawnie interes administratora,
  • informacje o odbiorcach lub kategoriach odbiorców danych,
  • w zaistniałej sytuacji, która ma miejsce: informacje o przekazaniu danych do państwa trzeciego lub organizacji międzynarodowej a także warunkach ich przekazania,
  • czas i okres, w którym dane zostaną przechowywane, w sytuacji kiedy nie jest to możliwe – kryteria, na podstawie których okres ten został ustalony,
  • informacje o prawach przysługujących właścicielowi danych,
  • informacje o prawie do cofnięcia zgody na przekazanie danych w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania,
  • informacje o możliwości wniesienia skargi do organu nadzorczego,
  • informacje o źródle pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych,
  • informacje o profilowaniu oraz innych dotyczących zautomatyzowanego podejmowania decyzji.

Podanie konkretnego celu przetwarzania danych

Jak zostało wspomniane wcześniej, administrator dysponujący danymi osobowymi innych osób zobowiązany jest do przekazania precyzyjnych informacji na temat celów ich wykorzystania. Koniecznym jest podanie jasnych informacji, z tego względu nieprawidłowym jest wskazanie w klauzuli informacyjnej, że dane osobowe mogą być przetwarzane np. w celu marketingowych, w takiej sytuacji właściciel danych nie ma pewności co do konkretnego celu tych działań i dokładnego miejsca gdzie zostaną one przekazane. Koniecznym jest użycie sformułowania, że dane osobowe nie “mogą ale “będą” przetwarzane w konkretnym celu.

Umowa powierzenia danych osobowych

Kwestią konieczną jest zwrócenie uwagi przez administratora, czy któryś z podmiotów nie ma siedziby w państwie trzecim – poza Europejskim Obszarem Gospodarczym. W takich przypadkach katalog przekazanych informacji powinien zawierać wpis o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej a także o odpowiednim stopniu ochrony lub wzmiankę o właściwych zabezpieczeniach,  miejscu udostępnienia danych, możliwości otrzymania kopii.

Jakie prawa przysługują właścicielowi danych:

  • prawo do żądania dostępu do danych osobowych,
  • możliwość ich sprostowania, usunięcia lub ograniczenia przetwarzania,
  • możliwości wniesienia sprzeciwu wobec przetwarzania,
  • możliwości przenoszenia danych,
  • możliwości wniesienia skargi do organu nadzorczego.

Dodatkowo: Podmiot powinien wskazać właścicielowi jakie kroki może podjąć aby móc z obowiązującego prawa realnie korzystać.


O tym powinieneś wiedzieć: Ważną kwestią jest sytuacja w której dane osobowe zostają gromadzone w związku z wymogiem ustawowym, umownym lub są warunkiem zawarcia umowy pomiędzy stronami. Właściciel danych osobowych, jest wówczas zobowiązany do ich podania. W takim przypadku administrator danych powinien poinformować podmiot o takiej sytuacji i wskazać jakie będą ewentualne konsekwencje ich nie podania np. brak możliwości zawarcia umowy. Więcej na stronie www.dmsales.com

Dodaj komentarz