Informacje podawane w przypadku zbierania danych od osoby, której dane dotyczą
Podczas pozyskiwania danych osobowych od osoby, której dane osobowe dotyczą, administrator zobowiązany jest przekazać jej informację o tym, w jaki sposób przetwarza jej dane osobowe. Informacja ta powinna zawierać elementy, które RODO wymienia jako obligatoryjne w art. 13.
Administrator nie musi przekazywać powyższej informacji w zakresie, w jakim dana osoba już nią dysponuje.
Kto i kiedy zobowiązany jest wykonać obowiązek informacyjny z art. 13 RODO?
Zgodnie z art. 13 RODO podczas pozyskiwania danych osobowych od osoby, której dane osobowe dotyczą, administrator zobowiązany jest do przekazania jej informacji o tym, w jaki sposób przetwarza jej dane osobowe. Informacja ta powinna zawierać elementy określone w art. 13 RODO.
Praktyczne wskazówki dotyczące wypełniania obowiązku informacyjnego znaleźć można w wytycznych Grupy Roboczej Art. 29 w sprawie przejrzystości na podstawie rozporządzenia 2016/679 („Wytyczne”).
Kiedy dane są pozyskiwane od osoby, której dane dotyczą? Nie tylko wtedy, gdy osoba ta sama przekazuje administratorowi dane, np. wypełniając formularz. Także wtedy, gdy administrator pozyskuje dane przez obserwację – zgodnie z Wytycznymi np. przy zastosowaniu automatycznych rejestratorów danych lub oprogramowania rejestrującego dane, np. kamer, urządzeń sieciowych, śledzenia sieci Wi-Fi, RFID lub innych rodzajów sensorów.
To, czy mamy do czynienia z pozyskiwaniem danych osobowych określonej osoby od osoby, której dane osobowe dotyczą, czy też od innej osoby, ma określone implikacje. W pierwszym przypadku znajdzie bowiem zastosowanie art. 13 RODO, a w drugim – art. 14 RODO.
Ma to więc wpływ na samą treść klauzuli informacyjnej oraz na możliwość zastosowania wyłączenia od obowiązku przekazywania klauzuli informacyjnej. Jeśli bowiem dane osobowe nie są pozyskiwane bezpośrednio od osoby, której dane dotyczą, RODO przewiduje w pewnych okolicznościach możliwość nieprzekazywania informacji podmiotowi danych.
Elementy z art. 13 RODO – uwagi
Zgodnie z art. 13 RODO administrator powinien przekazać klauzulę informacyjną, w której znajdą się następujące informacje:
tożsamość i dane kontaktowe administratora oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe przedstawiciela administratora –zgodnie z Wytycznymi najlepiej podać różne formy komunikacji z administratorem (czyli nie ograniczać się np. tylko do podania adresu siedziby, ale wskazać także np. adres e-mail). Jeśli chodzi o przekazanie danych dotyczących przedstawiciela administratora, to odnosi się to wyłącznie do administratorów niemających jednostki organizacyjnej w Unii Europejskiej, którzy mają obowiązek wyznaczyć przedstawiciela zgodnie z art. 27 RODO.
gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych – administrator, który wyznaczył inspektora ochrony danych w rozumieniu RODO, powinien podać jego dane kontaktowe. Wymóg ten dotyczy wyłącznie takich administratorów, którzy wyznaczyli IOD w rozumieniu RODO. Nie dotyczy on administratorów, którzy np. nie mają obowiązku wyznaczenia IOD i powierzyli wykonywanie obowiązków z zakresu danych osobowych np. specjaliście ds. danych osobowych. Jeśli taki administrator chce wskazać dane kontaktowe takiego specjalisty, powinien pamiętać, że nie należy wprowadzać podmiotów danych w błąd i wskazywać, że specjalista ten pełni funkcję IOD w rozumieniu RODO, jeśli faktycznie jego rola w organizacji jest inna.
Nie ma wymogu podawania imienia i nazwiska IOD w ramach klauzuli informacyjnej z art. 13 RODO, ale warto pamiętać, że zgodnie z ustawą o ochronie danych osobowych podmiot, który wyznaczył IOD, zobowiązany jest udostępnić dane IOD (imię, nazwisko oraz adres poczty elektronicznej lub numer telefonu IOD) niezwłocznie po jego wyznaczeniu, na swojej stronie internetowej – piszemy o tym w komentarzu do art. 37 RODO.
cele przetwarzania danych osobowych oraz podstawę prawną przetwarzania –administratorzy często opisują w jednej sekcji klauzuli informacyjnej cele przetwarzania, a w innej sekcji podstawy przetwarzania. W efekcie podmioty danych mają trudności ze stwierdzeniem, która podstawa znajdzie zastosowanie do jakiego celu. W związku z tym rekomendowane jest przejrzyste ujęcie tej kwestii i przyporządkowanie określonej podstawy do danego celu.
jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) RODO – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią – oznacza to, że jeśli administrator przetwarza dane osobowe w oparciu o prawnie uzasadniony interes, powinien wskazać, o jaki interes chodzi. Zgodnie z Wytycznymi W ramach najlepszej praktyki administrator może również przedstawić osobie, której dane dotyczą, informacje uzyskane w wyniku testu równowagi, który należy przeprowadzić, aby można było oprzeć się na art. 6 ust. 1 lit. f) jako podstawie prawnej przetwarzania, zanim jakiekolwiek dane osobowe osoby, której dane dotyczą, zostaną zebrane. (…) z informacji udzielonych osobie, której dane dotyczą, powinno jasno wynikać, iż informacje dotyczące testu równowagi mogą uzyskać na żądanie.
informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją –zgodnie z Wytycznymi Jeśli administrator zamierza przedstawić kategorie odbiorców, informacje powinny być w jak największym stopniu szczegółowe, tzn. należy wskazać rodzaj odbiorcy (np. poprzez odniesienie do działalności, którą prowadzi), branżę, sektor, podsektor oraz lokalizację odbiorcy.
gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi RODO, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych – informacja o przetwarzaniu danych powinna pozwalać podmiotom danych zrozumieć, czy ich dane będą przekazywane poza Europejski Obszar Gospodarczy, a jeśli tak, to gdzie oraz jakie mechanizmy zostały zastosowane przez administratora, by taki transfer był zgodny z RODO.
okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu – należy unikać ogólnych stwierdzeń (np. że dane będą przechowywane tak długo, jak długo jest to niezbędne do prawnie uzasadnionych celów przetwarzania) i starać się wskazywać konkretne terminy lub informacje pozwalające na ich oszacowanie.
informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych – dodatkowo, jeśli chodzi o prawo do sprzeciwu wobec przetwarzania danych, należy przedstawić to prawo jasno i odrębnie od wszelkich innych informacji.
jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem –administrator powinien także wskazać sposób, w jaki można wycofać zgodę.
informacje o prawie wniesienia skargi do organu nadzorczego –zgodnie z Wytycznymi Informacja ta powinna zawierać wyjaśnienie, że zgodnie z art. 77 osoba, której dane dotyczą, ma prawo wnieść skargę do organu nadzorczego, w szczególności w państwie członkowskim swojego zwykłego pobytu, swojego miejsca pracy lub miejsca popełnienia domniemanego naruszenia RODO.
informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych –np. formularz, w którym podawane są dane, powinien określać, które pola są obowiązkowe do wypełnienia, a które nie, a także jakie będą konsekwencje niewypełnienia wymaganych pól (np. brak możliwości zawarcia umowy, brak możliwości kontaktu w określony sposób itp.).
informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4 RODO, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach podejmowania tych decyzji, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą – wymóg ten dotyczy konieczności przedstawienia informacji o zautomatyzowanym podejmowaniu decyzji (tj. bez faktycznego udziału człowieka) dokonywanym w oparciu o przetwarzane przez administratora dane osobowe, które wywołują wobec podmiotu danych skutki prawne lub w podobny sposób istotnie na nią wpływają. Realizacja tego obowiązku w zakresie przekazania informacji o zasadach podejmowania decyzji może w praktyce nastręczać szczególnych trudności, jako że może wymagać wyjaśniania prostym językiem zasad działania złożonych algorytmów.
Często administratorzy dość kreatywnie podchodzą do formułowania treści klauzuli informacyjnej, zamieszczając w niej informacje „ponadnormatywne” (np. opisując sposoby zabezpieczenia danych), ale jednocześnie zapominają zawrzeć w klauzuli informacyjnej elementy wymagane na gruncie art. 13 RODO, co może narazić administratora na zarzuty nieprawidłowego wykonywania obowiązku informacyjnego. Opracowując klauzulę informacyjną, należy w pierwszej kolejności skupić się na przedstawieniu informacji, które są wprost wymagane przez art. 13 RODO.
Jak wykonać obowiązek informacyjny? Praktyczne wskazówki dotyczące przejrzystości
Kluczowa dla realizacji obowiązku informacyjnego jest zasada przejrzystości – zgodnie z motywem 39 RODO Zasada przejrzystości wymaga, by wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem tych danych osobowych były łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem.
Praktyczne wskazówki dotyczące przejrzystości można znaleźć w Wytycznych, w których czytamy, że:
(…) administratorzy danych powinni przekazywać informacje / komunikować się w sposób efektywny i zwięzły, tak aby nie przytłoczyć odbiorcy informacjami. Informacje te należy wyraźnie odróżnić od innych informacji niezwiązanych z prywatnością, np. postanowień umownych lub ogólnych warunków korzystania.
Wymóg „zrozumiałości” informacji oznacza, że powinien ją zrozumieć przeciętny przedstawiciel grupy docelowych odbiorców. Zrozumiałość ma ścisły związek z wymogiem stosowania jasnego i prostego języka. Odpowiedzialny administrator danych będzie posiadał wiedzę na temat osób, o których zbiera informację, i będzie mógł ją wykorzystać, aby określić, jakie sformułowania będą najprawdopodobniej zrozumiałe dla odbiorców.
(…) osoba, której dane dotyczą, powinna zawsze być w stanie z wyprzedzeniem określić zakres i skutki przetwarzania i (…) nie powinna zostać później zaskoczona informacją, w jaki sposób wykorzystano jej dane osobowe.
(…) osoba, której dane dotyczą, nie powinna być zmuszona do wyszukiwania informacji.
Należy również unikać takich wyrazów określających jak „może”, „niektóre”, „często” i „możliwe”.
RODO nie określa formatu i sposobu realizacji obowiązku informacyjnego. Zgodnie z art. 12 RODO informacji udziela się na piśmie lub w inny sposób, w tym w stosownych przypadkach – elektronicznie. Jeżeli osoba, której dane dotyczą, tego zażąda, informacji można udzielić ustnie, o ile innymi sposobami potwierdzi się tożsamość osoby, której dane dotyczą. Zgodnie z Wytycznymi Najważniejsze jest, aby wybrane metody udzielania informacji były dostosowane do konkretnej sytuacji, tj. do sposobu komunikacji między administratorem danych a osobą, której dane dotyczą, lub sposobu zbierania informacji odnoszących się do tej osoby. I tak np. Wytyczne zalecają, aby administrator działający w internecie wykonywał obowiązek informacyjny, stosując tzw. warstwowe internetowe oświadczenie o ochronie prywatności, o czym piszemy poniżej.
Administratorzy powinni pamiętać o zasadzie rozliczalności. Choć nie ma prawnego wymogu, by podmiot danych popisywał potwierdzenie, że zapoznał się z klauzulą informacyjną, ani też by zaznaczał checkbox, który potwierdza jej odczytanie, to administrator musi być w stanie wykazać, że zrealizował obowiązek informacyjny określonej treści w określonej dacie.
Czy w miejscu pozyskiwania danych osobowych muszą pojawić się wszystkie informacje, które wymienia art. 13 RODO?
Aby uniknąć przeładowania informacjami, Wytyczne zalecają stosowanie tzw. warstwowego podejścia przy przekazywaniu informacji na temat przetwarzania danych osobowych, w ramach którego osoby odwiedzające stronę internetową mogą zapoznać się z najbardziej interesującymi dla nich fragmentami.
Tzw. pierwsza warstwa powinna zawierać informacje na temat:
tożsamości administratora,
celów przetwarzania,
praw podmiotu danych,
miejsca, w którym można znaleźć pełną informację o przetwarzaniu danych osobowych (zawierającą wszystkie elementy z art. 13 RODO).
Obok tych informacji powinna być również dostępna informacja na temat przetwarzania, które ma największy wpływ na daną osobę lub które może być dla niej zaskoczeniem.
Niezależnie od pierwszej warstwy na stronie internetowej powinien również być dostępny dokument, do którego pierwsza warstwa odsyła i który zawiera wszystkie informacje z art. 13 RODO (spójne z informacjami z pierwszej warstwy).
W jakim języku wypełnić obowiązek informacyjny?
Obowiązek informacyjny powinien być realizowany w języku, którym posługują się podmioty danych, do których administrator kieruje informacje.
Jak określić, do jakich podmiotów danych informacje są kierowane? Wytyczne jako wskazówkę podają np. to, że administrator umożliwia płatność w walucie danego państwa, oferuje opcje dla poszczególnych państw albo prowadzi stronę internetową w określonym języku.
W tym zakresie wypowiedział się również Prezes Urzędu Ochrony Danych Osobowych: W przypadku, gdy administrator przetwarza dane wielu osób posługujących się różnymi językami możliwym rozwiązaniem jest stworzenie - oprócz klauzuli informacyjnej w języku polskim - klauzuli informacyjnej w języku uniwersalnym takim, jak np. język angielski. W sytuacji gdy administrator będzie przetwarzał dane obywateli jednego kraju, np. Ukrainy, powinien zapewnić, aby informacje, o których mowa w art. 13 lub 14 RODO były przekazywane tym osobom w języku dla nich zrozumiałym.
Kiedy nie trzeba przekazywać informacji z art. 13 RODO?
Jedyną przewidzianą przez RODO sytuacją, w której administrator nie musi przekazywać informacji z art. 13 RODO osobie, od której pozyskuje dane bezpośrednio, jest sytuacja, w której osoba ta dysponuje już tymi informacjami.
Wytyczne zwracają uwagę, że administrator danych musi jednak być w stanie wykazać (oraz mieć udokumentowane), jakie informacje posiada już podmiot danych, kiedy je otrzymał i w jaki sposób, a także że od tego czasu nie nastąpiły żadne zmiany w tych informacjach, które spowodowałyby ich dezaktualizację.
Wyłączenia od realizacji obowiązku informacyjnego w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą, wskazane są natomiast w art. 14 RODO (patrz komentarz do art. 14 RODO).
Komentarz do art. 13
Informacje podawane w przypadku zbierania danych od osoby, której dane dotyczą
Kto i kiedy zobowiązany jest wykonać obowiązek informacyjny z art. 13 RODO?
Zgodnie z art. 13 RODO podczas pozyskiwania danych osobowych od osoby, której dane osobowe dotyczą, administrator zobowiązany jest do przekazania jej informacji o tym, w jaki sposób przetwarza jej dane osobowe. Informacja ta powinna zawierać elementy określone w art. 13 RODO.
Praktyczne wskazówki dotyczące wypełniania obowiązku informacyjnego znaleźć można w wytycznych Grupy Roboczej Art. 29 w sprawie przejrzystości na podstawie rozporządzenia 2016/679 („Wytyczne”).
Kiedy dane są pozyskiwane od osoby, której dane dotyczą? Nie tylko wtedy, gdy osoba ta sama przekazuje administratorowi dane, np. wypełniając formularz. Także wtedy, gdy administrator pozyskuje dane przez obserwację – zgodnie z Wytycznymi np. przy zastosowaniu automatycznych rejestratorów danych lub oprogramowania rejestrującego dane, np. kamer, urządzeń sieciowych, śledzenia sieci Wi-Fi, RFID lub innych rodzajów sensorów.
To, czy mamy do czynienia z pozyskiwaniem danych osobowych określonej osoby od osoby, której dane osobowe dotyczą, czy też od innej osoby, ma określone implikacje. W pierwszym przypadku znajdzie bowiem zastosowanie art. 13 RODO, a w drugim – art. 14 RODO.
Ma to więc wpływ na samą treść klauzuli informacyjnej oraz na możliwość zastosowania wyłączenia od obowiązku przekazywania klauzuli informacyjnej. Jeśli bowiem dane osobowe nie są pozyskiwane bezpośrednio od osoby, której dane dotyczą, RODO przewiduje w pewnych okolicznościach możliwość nieprzekazywania informacji podmiotowi danych.
Elementy z art. 13 RODO – uwagi
Zgodnie z art. 13 RODO administrator powinien przekazać klauzulę informacyjną, w której znajdą się następujące informacje:
Nie ma wymogu podawania imienia i nazwiska IOD w ramach klauzuli informacyjnej z art. 13 RODO, ale warto pamiętać, że zgodnie z ustawą o ochronie danych osobowych podmiot, który wyznaczył IOD, zobowiązany jest udostępnić dane IOD (imię, nazwisko oraz adres poczty elektronicznej lub numer telefonu IOD) niezwłocznie po jego wyznaczeniu, na swojej stronie internetowej – piszemy o tym w komentarzu do art. 37 RODO.
Często administratorzy dość kreatywnie podchodzą do formułowania treści klauzuli informacyjnej, zamieszczając w niej informacje „ponadnormatywne” (np. opisując sposoby zabezpieczenia danych), ale jednocześnie zapominają zawrzeć w klauzuli informacyjnej elementy wymagane na gruncie art. 13 RODO, co może narazić administratora na zarzuty nieprawidłowego wykonywania obowiązku informacyjnego. Opracowując klauzulę informacyjną, należy w pierwszej kolejności skupić się na przedstawieniu informacji, które są wprost wymagane przez art. 13 RODO.
Jak wykonać obowiązek informacyjny? Praktyczne wskazówki dotyczące przejrzystości
Kluczowa dla realizacji obowiązku informacyjnego jest zasada przejrzystości – zgodnie z motywem 39 RODO Zasada przejrzystości wymaga, by wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem tych danych osobowych były łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem.
Praktyczne wskazówki dotyczące przejrzystości można znaleźć w Wytycznych, w których czytamy, że:
RODO nie określa formatu i sposobu realizacji obowiązku informacyjnego. Zgodnie z art. 12 RODO informacji udziela się na piśmie lub w inny sposób, w tym w stosownych przypadkach – elektronicznie. Jeżeli osoba, której dane dotyczą, tego zażąda, informacji można udzielić ustnie, o ile innymi sposobami potwierdzi się tożsamość osoby, której dane dotyczą. Zgodnie z Wytycznymi Najważniejsze jest, aby wybrane metody udzielania informacji były dostosowane do konkretnej sytuacji, tj. do sposobu komunikacji między administratorem danych a osobą, której dane dotyczą, lub sposobu zbierania informacji odnoszących się do tej osoby. I tak np. Wytyczne zalecają, aby administrator działający w internecie wykonywał obowiązek informacyjny, stosując tzw. warstwowe internetowe oświadczenie o ochronie prywatności, o czym piszemy poniżej.
Administratorzy powinni pamiętać o zasadzie rozliczalności. Choć nie ma prawnego wymogu, by podmiot danych popisywał potwierdzenie, że zapoznał się z klauzulą informacyjną, ani też by zaznaczał checkbox, który potwierdza jej odczytanie, to administrator musi być w stanie wykazać, że zrealizował obowiązek informacyjny określonej treści w określonej dacie.
Czy w miejscu pozyskiwania danych osobowych muszą pojawić się wszystkie informacje, które wymienia art. 13 RODO?
Aby uniknąć przeładowania informacjami, Wytyczne zalecają stosowanie tzw. warstwowego podejścia przy przekazywaniu informacji na temat przetwarzania danych osobowych, w ramach którego osoby odwiedzające stronę internetową mogą zapoznać się z najbardziej interesującymi dla nich fragmentami.
Tzw. pierwsza warstwa powinna zawierać informacje na temat:
Obok tych informacji powinna być również dostępna informacja na temat przetwarzania, które ma największy wpływ na daną osobę lub które może być dla niej zaskoczeniem.
Niezależnie od pierwszej warstwy na stronie internetowej powinien również być dostępny dokument, do którego pierwsza warstwa odsyła i który zawiera wszystkie informacje z art. 13 RODO (spójne z informacjami z pierwszej warstwy).
W jakim języku wypełnić obowiązek informacyjny?
Obowiązek informacyjny powinien być realizowany w języku, którym posługują się podmioty danych, do których administrator kieruje informacje.
Jak określić, do jakich podmiotów danych informacje są kierowane? Wytyczne jako wskazówkę podają np. to, że administrator umożliwia płatność w walucie danego państwa, oferuje opcje dla poszczególnych państw albo prowadzi stronę internetową w określonym języku.
W tym zakresie wypowiedział się również Prezes Urzędu Ochrony Danych Osobowych: W przypadku, gdy administrator przetwarza dane wielu osób posługujących się różnymi językami możliwym rozwiązaniem jest stworzenie - oprócz klauzuli informacyjnej w języku polskim - klauzuli informacyjnej w języku uniwersalnym takim, jak np. język angielski. W sytuacji gdy administrator będzie przetwarzał dane obywateli jednego kraju, np. Ukrainy, powinien zapewnić, aby informacje, o których mowa w art. 13 lub 14 RODO były przekazywane tym osobom w języku dla nich zrozumiałym.
Kiedy nie trzeba przekazywać informacji z art. 13 RODO?
Jedyną przewidzianą przez RODO sytuacją, w której administrator nie musi przekazywać informacji z art. 13 RODO osobie, od której pozyskuje dane bezpośrednio, jest sytuacja, w której osoba ta dysponuje już tymi informacjami.
Wytyczne zwracają uwagę, że administrator danych musi jednak być w stanie wykazać (oraz mieć udokumentowane), jakie informacje posiada już podmiot danych, kiedy je otrzymał i w jaki sposób, a także że od tego czasu nie nastąpiły żadne zmiany w tych informacjach, które spowodowałyby ich dezaktualizację.
Wyłączenia od realizacji obowiązku informacyjnego w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą, wskazane są natomiast w art. 14 RODO (patrz komentarz do art. 14 RODO).