Komentarz do art. 14 | RODO komentarz

Przejdź do treści

RODO – komentarz

Na bieżąco aktualizowany komentarz do ogólnego rozporządzenia o ochronie danych. 
Piszemy tylko o tym, co ważne w praktyce.

Informacje podawane w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą

  • Jeżeli danych osobowych nie pozyskano od osoby, której dane dotyczą, administrator również zobowiązany jest podać osobie, której dane dotyczą, informacje o przetwarzaniu jej danych osobowych.
  • Katalog informacji, który należy przekazać, różni się (ale niewiele) od katalogu z art. 13 RODO.
  • RODO dokładnie określa termin, w którym informacja powinna zostać przekazana. Różni się on w zależności od okoliczności, ale zasadniczo jest to maksymalnie 1 miesiąc od pozyskania danych.
  • RODO przewiduje kilka wyłączeń od powyższego obowiązku.

Kiedy znajduje zastosowanie art. 14 RODO?

Art. 14 RODO znajduje zastosowanie, gdy administrator danych pozyskuje dane osobowe nie bezpośrednio od osoby, której dane dotyczą, ale np. od osoby trzeciej czy z publicznie dostępnych źródeł.

Jakie informacje należy przekazać zgodnie z art. 14 RODO?

Jeśli administrator danych pozyskuje dane osobowe nie bezpośrednio od osoby, której dane dotyczą, oprócz informacji, o których mowa w art. 13 RODO, należy dodatkowo przekazać tej osobie informacje o:

  • kategoriach danych osobowych, które administrator pozyskał,
  • źródle pochodzenia danych osobowych, a gdy ma to zastosowanie – informację, czy jest to źródło publicznie dostępne – zgodnie z Wytycznymi: Należy przedstawić konkretne źródło danych, chyba że jest to niemożliwe – (…). Jeśli nazwa konkretnego źródła nie została wymieniona, przedstawione informacje powinny obejmować: charakter źródła (tzn. źródło publiczne/prywatne) oraz rodzaj organizacji/branży/sektora.

Warto pamiętać, że niektóre przepisy (inne niż zawarte w RODO) mogą zawierać odstępstwa od konieczności czy zakresu realizacji obowiązków z art. 14 RODO. Tak jest np. w przypadku ustawy o ochronie sygnalistów, która przewiduje, że przepisu art. 14 ust. 2 lit. f RODO (dotyczącego informacji o źródle danych) nie stosuje się, chyba że sygnalista nie spełnia warunków wskazanych w art. 6 ustawy o ochronie sygnalistów albo wyraził wyraźną zgodę na ujawnienie swojej tożsamości.

Przy niebezpośrednim pozyskaniu danych nie trzeba też przekazywać informacji, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych. Brak tego wymogu jest oczywisty, skoro nie dochodzi do bezpośredniego podania danych przez osobę, której dane dotyczą.

Praktyczne wskazówki dotyczące wypełniania obowiązku informacyjnego znaleźć można w wytycznych Grupy Roboczej Art. 29 w sprawie przejrzystości na podstawie rozporządzenia 2016/679 („Wytyczne”).

W jakim terminie administrator musi wykonać obowiązek informacyjny z art. 14 RODO?

Zgodnie z art. 14 RODO administrator podaje osobie, której daną dotyczą informacje:

  1. w rozsądnym terminie po pozyskaniu danych osobowych – najpóźniej w ciągu miesiąca – mając na uwadze konkretne okoliczności przetwarzania danych osobowych;
  2. jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą – najpóźniej przy pierwszej takiej komunikacji z osobą, której dane dotyczą (przy czym jeżeli pierwsza komunikacja z osobą, której dane dotyczą, następuje po ponad jednym miesiącu od uzyskania danych osobowych, wówczas zastosowanie ma termin z punktu a) powyżej); lub
  3. jeżeli planuje się ujawnić dane osobowe innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu (przy czym jeżeli dane osobowe zostaną ujawnione później niż w ciągu jednego miesiąca od uzyskania danych osobowych, wówczas zastosowanie ma termin z punktu a) powyżej).


Niezależnie zatem od okoliczności maksymalny termin na przekazanie informacji osobie, której dane dotyczą, wynosi 1 miesiąc od pozyskania jej danych.

Jak wykonać obowiązek informacyjny? Praktyczne wskazówki dotyczące przejrzystości

Kluczowa dla realizacji obowiązku informacyjnego jest zasada przejrzystości – znajdą tu odpowiednie zastosowanie uwagi zawarte w tym zakresie w komentarzu do art. 13 RODO (podobnie jak uwagi dotyczące rozliczalności oraz języka, w którym obowiązek informacyjny powinien zostać wykonany).

W przypadku pozyskiwania danych za pośrednictwem podmiotów trzecich administratorzy niekiedy starają się „przerzucić” wykonanie obowiązku informacyjnego na te podmioty w drodze umownych ustaleń w tym zakresie. Warto jednak pamiętać, że to administrator jest odpowiedzialny za wykonanie obowiązku informacyjnego, a ewentualne nieprawidłowości w zakresie jego wykonania przez podmiot trzeci będą stanowiły, zasadniczo, naruszenie RODO przez administratora. Decydując się więc na tego typu rozwiązanie, warto się odpowiednio zabezpieczyć, np. określając, jakiej treści klauzula informacyjna ma być przekazana, w jaki sposób oraz w jakim terminie. Do rozważenia jest także w takiej sytuacji ewentualne umowne uregulowanie zasad odpowiedzialności podmiotu trzeciego na wypadek niezrealizowania lub nienależytego zrealizowania przez niego zobowiązań w zakresie wsparcia przy realizacji obowiązku informacyjnego.

Kiedy nie trzeba przekazywać informacji z art. 14 RODO?

Oprócz przypadku, który przewiduje także art. 13 RODO (podmiot danych dysponuje już tymi informacjami o przetwarzaniu danych osobowych), art. 14 RODO przewiduje kilka dodatkowych sytuacji, wskazanych poniżej, w których administrator nie jest zobowiązany do realizacji obowiązku informacyjnego:

1. Administrator nie jest zobowiązany do udostępnienia osobom, których dane dotyczą, informacji, o których mowa w art. 14 RODO, jeśli udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku; w szczególności w przypadku przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, z zastrzeżeniem warunków i zabezpieczeń, o których mowa w art. 89 ust. 1 RODO, lub o ile obowiązek, o którym mowa w art. 14 ust. 1 RODO, może uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania. W takich przypadkach administrator podejmuje odpowiednie środki, by chronić prawa i wolności oraz prawnie uzasadnione interesy osoby, której dane dotyczą, w tym udostępnia informacje publicznie.

Jak wskazują Wytyczne, powyższe wyłączenie obejmuje zasadniczo trzy odrębne sytuacje:

  • jeżeli udostępnienie osobom, których dane dotyczą, informacji, o których mowa w art. 14 RODO, okazuje się niemożliwe (w szczególności do celów archiwalnych, do celów badań naukowych/historycznych lub do celów statystycznych)

    Zgodnie z Wytycznymi: Sytuacja, w której udzielenie informacji „okazuje się niemożliwe”, jest sytuacją zero-jedynkową, ponieważ dana sytuacja albo jest niemożliwa, albo jest możliwa; nie istnieją stopnie „niemożliwości”. Jeżeli administrator danych zamierza powołać się na to odstępstwo, musi wskazać czynniki, które faktycznie uniemożliwiają mu udzielenie odnośnych informacji osobom, których dane dotyczą. Jeżeli po upływie określonego czasu czynniki, które spowodowały „niemożliwość”, przestaną istnieć i administrator danych uzyska możliwość udzielenia informacji osobom, których dane dotyczą, powinien bezzwłocznie to uczynić. W praktyce istnieje bardzo niewiele sytuacji, w których administrator danych może wykazać faktyczną niemożliwość udzielenia informacji osobom, których dane dotyczą.
     
  • jeżeli udostępnienie osobom, których dane dotyczą, informacji, o których mowa w art. 14 RODO, wymagałoby niewspółmiernie dużego wysiłku (w szczególności do celów archiwalnych, do celów badań naukowych/historycznych lub do celów statystycznych).

    W praktyce określenie, czy w danych okolicznościach wykonanie obowiązku informacyjnego wymagałoby niewspółmiernie dużego wysiłku, nastręcza wiele trudności. Z pomocą przychodzi treść motywu 62 RODO, zgodnie z którym ocena tej kwestii powinna być dokonywana z uwzględnieniem liczby osób, których dane dotyczą, okresu przechowywania danych oraz wszelkich przyjętych odpowiednich zabezpieczeń.

    Wytyczne dodatkowo wskazują, że wyjątek ten nie powinien być rutynowo stosowany przez administratorów danych, którzy nie przetwarzają danych osobowych do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych.
    Podobne stanowisko w zakresie ograniczenia możliwości zastosowania omawianego wyłączenia do sytuacji innych niż przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych przedstawił Naczelny Sąd Administracyjny w wyroku z 19 września 2023 r. III OSK 2538/21 (dostępny w Lex nr 3634532), w którym stwierdzono m.in.:

    Możliwość odstąpienia od obowiązku informacyjnego poprzez zastosowanie wyjątku z art. 14 ust. 5 lit. b RODO nie obejmuje więc działalności polegającej na przetwarzaniu danych, która nie realizuje interesu publicznego, służąc w ten sposób realizacji lub ochronie innych wartości istotnych dla dobra ogółu np. w zakresie zdrowia publicznego. Dopiero, gdy ten aspekt przetwarzania danych osobowych ma miejsce, administrator może powoływać na wskazane zwolnienie z obowiązku informacyjnego wykazując jednocześnie, że jego realizacja wiązałaby się z niewspółmiernym dużym wysiłkiem (…) Wspomniany wyjątek nie obejmuje więc przetwarzania danych osobowych w ramach prowadzonej przez stronę skarżącą kasacyjnie działalności gospodarczej, której celem jest osiąganie celów komercyjnych.

    Dodatkowo w Wytycznych stwierdzono, że niewspółmiernie duży wysiłek musi bezpośrednio wynikać z faktu, że dane osobowe zebrano w inny sposób niż od osoby, której dane dotyczą, oraz że Jeżeli administrator danych ma zamiar powołać się na wyjątek określony w art. 14 ust. 5 lit. b) na tej podstawie, że udzielenie informacji wymagałoby niewspółmiernie dużego wysiłku, powinien przeprowadzić test równowagi, aby porównać wysiłek wkładany przez administratora danych w udzielenie informacji osobie, której dane dotyczą, z konsekwencjami i skutkami dla tej osoby w przypadku nieudzielenia tego rodzaju informacji.
     
  • jeżeli udzielenie informacji wymaganych zgodnie z art. 14 ust. 1 RODO mogłoby uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania.

    Zgodnie z Wytycznymi, Aby powołać się na ten wyjątek, administratorzy danych muszą wykazać, że samo udzielenie informacji określonych w art. 14 ust. 1 zniweczyłoby cele przetwarzania. Wytyczne podkreślają także, iż powołanie się na ten wyjątek zakłada, że przetwarzanie danych jest zgodne ze wszystkimi zasadami określonymi w art. 5 RODO oraz – co najważniejsze – że w każdych okolicznościach przetwarzanie danych osobowych jest rzetelne i ma podstawę prawną.

Co istotne, jeśli administrator skorzysta z któregoś z trzech wskazanych wyżej wyłączeń w realizacji obowiązku informacyjnego, zobowiązany jest podjąć odpowiednie środki, by chronić prawa i wolności oraz prawnie uzasadnione interesy osób, których dane dotyczą, w tym publicznie udostępnić informacje, o których mowa w art. 14 RODO. Jeśli administrator powołuje się na omawiane wyłączenia, powinien zawsze publicznie udostępnić informacje, o których mowa w art. 14 RODO.

Jeśli chodzi o sposób udostępnienia, to RODO nie przewiduje konkretnych wymogów w tym zakresie. Wytyczne wskazują jednak, że Administrator może udostępnić informacje publicznie na wiele sposobów, na przykład umieszczając informacje na swojej stronie internetowej lub aktywnie je ogłaszając w gazecie bądź na plakatach w swojej siedzibie.

Poza udostępnieniem informacji publicznie administrator powinien rozważyć wdrożenie dodatkowych, odpowiednich środków, by chronić prawa i wolności oraz prawnie uzasadnione interesy osoby, której dane dotyczą. Jak wskazują Wytyczne, środki te będą zależeć od okoliczności przetwarzania i mogą obejmować przeprowadzenie oceny skutków dla ochrony danych; zastosowanie technik pseudonimizacji danych; zminimalizowanie ilości zbieranych danych i okresu ich przechowywania; oraz wdrażanie środków technicznych i organizacyjnych w celu zapewnienia wysokiego poziomu bezpieczeństwa.

2. Administrator nie jest zobowiązany do udostępnienia osobom, których dane dotyczą, informacji, o których mowa w art. 14 RODO, jeśli pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem UE lub prawem państwa członkowskiego, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą.

Przykład: art. 8 ustawy o zakładowym funduszu świadczeń socjalnych określa m.in. zasady pozyskiwania danych osobowych członków rodziny pracownika uprawnionego do korzystania z funduszu – zgodnie ze stanowiskiem PUODO można w związku z tym rozważać skorzystanie z powyższego wyłączenia w stosunku do osób, których dane osobowe pozyskiwane są na podstawie tego przepisu.

3. Administrator nie jest zobowiązany do udostępnienia osobom, których dane dotyczą, informacji, o których mowa w art. 14 RODO, jeśli dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie UE lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy.

Zgodnie z Wytycznymi W przypadku, gdy administrator danych zamierza powołać się na to odstępstwo, musi być w stanie wykazać, że właściwie je zidentyfikował i przedstawić, w jaki sposób zawodowy obowiązek zachowania tajemnicy bezpośrednio odnosi się do administratora danych, tak że nie wolno mu przekazać osobie, której dane dotyczą, wszystkich informacji określonych w art. 14 ust. 1, art. 14 ust. 2 i art. 14 ust. 4.

Odstąpienie od realizacji obowiązku informacyjnego a zasada rozliczalności

W przypadku odstąpienia od realizacji obowiązku informacyjnego, z uwagi na zasadę rozliczalności, rekomendowane jest, by administratorzy przygotowali i udokumentowali analizę potwierdzającą przyjętą przez nich ocenę w zakresie tego, które wyłączenia z realizacji obowiązku informacyjnego (i dlaczego) znajdują w danym przypadku zastosowanie.