Obowiązek informacyjny w świetle pierwszej kary PUODO - udostępniamy wzór

Jak się okazało, podstawowym przewinieniem, za które nałożono blisko milionową karę, był brak realizacji obowiązku informacyjnego. Przypomnijmy zatem najważniejsze kwestie w zakresie jego spełniania przez administratora.

Interesują Cię szczegóły dotyczące pierwszej w Polsce kary administracyjnej na gruncie RODO? – zachęcamy do przeczytania artykułu: "Milion za niezgodność z RODO".

Obowiązek informacyjny – czym jest i dlaczego jest taki ważny

Każdy podmiot przetwarzający dane osobowe, będący  administratorem, jest obarczony licznymi obowiązkami na gruncie RODO. Jednym z nich jest spełnienie tzw. obowiązku informacyjnego. Ze względu na interes osoby, której dane są przetwarzane, jest to jedno z najważniejszych zobowiązań administratora. To właśnie dzięki obowiązkowi informacyjnemu osoba ta może uzyskać podstawowe informacje na temat przetwarzania jej danych osobowych.

Realizacja omawianego obowiązku polega na podaniu osobie, której dane dotyczą, wszelkich informacji wymaganych przepisami RODO. Grupa Robocza art. 29 (obecnie: Europejska Rada Ochrony Danych) w swoich wytycznych dotyczących przejrzystości słowo  „podaje” rozumie jako czynne działania administratora w celu udzielenia wszelkich informacji lub czynne skierowanie tej osoby do miejsca, w którym znajdują się takie informacje. Co istotne, osoba, której dane dotyczą, nie powinna być zmuszona do samodzielnego szukania informacji odpowiadających obowiązkowi informacyjnemu pośród innych treści, np. w ramach obszernych regulaminów.

Jeśli kwestie związane z RODO nie są dla Ciebie oczywiste, skontaktuj się z naszym doradcą ds. ochrony danych – Marcinem Kuźniakiem. Udzieli Ci wsparcia i cennych wskazówek.

Treść obowiązku informacyjnego

Kluczowe w tym zakresie są dwa przepisy, tj. art. 13 oraz art. 14 RODO. Wybór jednego z przywołanych przepisów zależy od źródła, z którego administrator pozyskał dane osobowe. Artykuł 13 RODO znajdzie bowiem zastosowanie, gdy administrator pozyskuje dane osobowe bezpośrednio od osoby, której dane dotyczą. W wytycznych dotyczących przejrzystości Grupa Robocza art. 29 wskazuje następujące przykłady takich sytuacji:

1. osoba, której dane dotyczą, samodzielnie przekazuje administratorowi dane osobowe (np. wypełniając formularz internetowy),
2. administrator samodzielnie pozyskuje dane od osoby, której one dotyczą, w drodze obserwacji (np. przy zastosowaniu automatycznych rejestratorów, takich jak kamery czy urządzenia sieciowe).

Natomiast art. 14 RODO administrator będzie musiał uwzględnić, jeżeli dane osobowe zostały przez niego pozyskane nie bezpośrednio od osoby, której one dotyczą. Przywołane wytyczne w sprawie przejrzystości wskazują jako przykłady konieczności zastosowania tego przepisu m.in.:

1. pozyskanie danych osobowych od zewnętrznego administratora danych (np. udostępnienie danych osobowych przez kontrahenta, partnera biznesowego, właściciela bazy danych),
2. pozyskanie danych osobowych ze źródeł publicznie dostępnych (np. pozyskanie danych z CEIDG, KRS lub GUS),
3. pozyskanie danych osobowych od innych osób (np. pozyskanie danych dotyczących członków rodzin, podanych przez pracowników).

Jeżeli dane osobowe pozyskujemy bezpośrednio od osoby, której one dotyczą, prawidłowo sformułowany obowiązek informacyjny, stosownie do art. 13 RODO, powinien zawierać:

1. tożsamość i dane kontaktowe administratora (ewentualnie jego przedstawiciela),
2. dane kontaktowe inspektora ochrony danych (jeżeli został powołany),
3. cele przetwarzania danych osobowych oraz podstawę prawną przetwarzania,
4. wyjaśnienie prawnie uzasadnionego interesu realizowanego przez administratora lub przez stronę trzecią (jeżeli podstawą przetwarzania danych jest art. 6 ust. 1 lit. f RODO),
5. listę odbiorców danych osobowych lub ich kategorie (jeżeli przetwarzane dane osobowe będą przekazywane np. do podmiotów przetwarzających dane lub innych administratorów danych),
6. informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz informację o sposobach uzyskania kopii tych zabezpieczeń lub o miejscu ich udostępnienia;
7. okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe – kryteria ustalania tego okresu,
8. informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania albo o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych,
9. informacje o prawie do cofnięcia zgody (jeżeli stanowiła ona podstawę prawną przetwarzania danych),
10. informacje o prawie wniesienia skargi do organu nadzorczego,
11. informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym albo warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych,
12. informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, z uwzględnieniem informacji o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Jeżeli podstawą realizacji obowiązku informacyjnego będzie art. 14 RODO, oprócz wyżej wymienionych informacji administrator jest zobowiązany podać:

1. kategorie danych, które przetwarza,
2. źródło pozyskania danych.

Z przykładową klauzulą informacyjną można  zapoznać się w materiale: "Klauzule RODO".

Realizacja obowiązku informacyjnego

Jeżeli administrator będzie pozyskiwać dane osobowe bezpośrednio od osoby fizycznej, powinien zrealizować obowiązek informacyjny podczas pozyskiwania tych danych. Realizacja obowiązku informacyjnego powinna zatem nastąpić najpóźniej przed zakończeniem zbierania danych osobowych. Rekomenduje się jednak, aby do spełnienia obowiązku informacyjnego doszło jeszcze przed pozyskaniem danych osobowych. W praktyce będzie się to odnosiło do umożliwienia osobie, której dane dotyczą, zapoznania się treścią klauzuli informacyjnej. Jako przykłady rozwiązań w tym zakresie można wskazać:

1. umieszczenie klauzuli informacyjnej w treści formularza służącego do pozyskiwania danych osobowych,
2. spełnienie obowiązku informacyjnego na wstępie rozmowy telefonicznej (dotyczy to np. telefonicznych biur obsługi klienta),
3. przekazanie podstawowych informacji – takich jak tożsamość administratora danych, cele przetwarzania danych, opis praw przysługujących osobie, do której należą dane osobowe – z jednoczesnym odesłaniem do pełnej treści klauzuli informacyjnej, np. poprzez podany link (tzw. warstwowy obowiązek informacyjny).

Termin na spełnienie obowiązku informacyjnego, w sytuacji gdy dane osobowe administrator pozyskuje nie od osoby, której dane dotyczą, jest dłuższy (art. 14 ust. 3 RODO). W takim scenariuszu administrator ma maksymalnie miesiąc na zrealizowanie tego obowiązku od momentu pozyskania danych osobowych. Termin ten może ulec skróceniu, jeżeli:

1. dane są wykorzystywane do komunikacji z osobą, której te dane dotyczą – wówczas obowiązek informacyjny powinien zostać spełniony podczas pierwszego kontaktu z tą osobą,
2. dane mają zostać ujawnione innemu odbiorcy – wówczas administrator powinien zrealizować obowiązek informacyjny najpóźniej przy pierwszym ujawnianiu.

Przy podejmowaniu decyzji odnośnie do terminu przekazania informacji o przetwarzaniu danych osobowych administrator powinien uwzględnić rozsądne oczekiwania osób, których dane są przetwarzane, oraz wpływ tego przetwarzania na te osoby i ich prawa.

Jeżeli administratora dotyczy przypadek wskazany w art. 14 RODO, sposoby realizacji obowiązku informacyjnego mogą być następujące:

1. przesłanie e-maila lub listu pocztą tradycyjną z klauzulą informacyjną lub odesłaniem do strony WWW, na której znajduje się pełna treść klauzuli,
2. załączenie klauzuli informacyjnej do pierwszej wiadomości e-mailowej lub do listu przesłanego pocztą tradycyjną,
3. zawarcie na stałe w stopce e-maila klauzuli informacyjnej lub odesłania do pełnej treści klauzuli

Omawiając sposób realizacji obowiązku informacyjnego, warto zwrócić uwagę na stanowisko Grupy Roboczej art. 29, zawarte w cytowanych już wytycznych. Zgodnie z nim wszelkie informacje, które zostały przekazane osobie (np. w liście, e-mailu lub formularzu do pozyskiwania danych), powinny być dla niej dostępne niezależnie w innym miejscu lub w ramach innego dokumentu. Takie miejsce lub taki dokument powinny być łatwo dostępne, jeżeli osoba, której dane są przetwarzane, chciałaby zapoznać się ponownie z całością klauzuli informacyjnej (przykładem takich rozwiązań są zakładki pojawiające się na stronach internetowych administratorów, np. „Polityki prywatności”, „Zasady przetwarzania danych osobowych”, „RODO”).

Wyłączenia (teoretyczne) realizacji obowiązku informacyjnego

Przepisy RODO przewidują kilka sytuacji, w których realizowanie obowiązku informacyjnego może zostać wyłączone (tak stanowi teoria). Przykładem może być taki stan rzecz (wskazany w art. 13 ust. 4 RODO), gdy administrator przetwarza dane osoby, które pozyskał bezpośrednio od niej, i osoba ta dysponuje już wszelkimi informacjami z art. 13 ust. 1, 2 i 3 RODO, wymienionymi w niniejszym artykule w części „Treść obowiązku informacyjnego”.

W przypadku zaś pośredniego pozyskiwania danych osobowych, zgodnie z art. 14 ust. 5 RODO, administrator może nie realizować obowiązku przekazywana informacji na temat przetwarzania danych osobowych, jeżeli:

1. osoba, której dane dotyczą, dysponuje już informacjami w zakresie przetwarzania jej danych osobowych przez administratora,
2. udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku; w szczególności w przypadku przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, z zastrzeżeniem warunków i zabezpieczeń, o których mowa w art. 89 ust. 1 RODO,
3. pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą,
4. dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy.

Niezależnie od powyższego zwolnieniem z obowiązku informacyjnego z art. 14 ust. 1 i 2 RODO objęto administratorów wykonujących zadania publiczne, jeżeli takie zwolnienie służy realizacji zadania publicznego. Podstawę zwolnienia w tym przypadku stanowi art. 4 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2018 r. poz. 1000 ze zm.). Przywołana ustawa w art. 2 przewiduje również całościowe wyłączenia stosowania art. 13 i art. 14 RODO w przypadku działalności polegającej na redagowaniu, przygotowywaniu, tworzeniu lub publikowaniu materiałów prasowych w rozumieniu ustawy z dnia 26 stycznia 1984 r. – Prawo prasowe (t.j. Dz.U. z 2018 r. poz. 1914).

Warto w tym miejscu wskazać, że realizacja obowiązku informacyjnego nie będzie wymagana wówczas, gdy administrator danych nie przetwarza danych teleadresowych (np. numer telefonu, adres e-mailowy, adres miejsca zamieszkania/korespondencyjny) osób znajdujących się w jego systemach. Pozyskanie takich danych tylko w celu dokonania obowiązku informacyjnego nie jest konieczne (zważywszy na treść art. 11 ust. 1 RODO), a nawet może zostać uznane za złamanie zasady minimalizacji danych, gdyż nie są one potrzebne administratorowi do realizacji podstawowego celu ich przetwarzania.

Wpływ pierwszej kary za naruszenie RODO
na realizację obowiązku informacyjnego – apetyt na ryzyko

Informacja o administracyjnej karze pieniężnej nałożonej przez Prezesa Urzędu Ochrony Danych decyzją z dnia 15  marca 2019 r. (ZSPR.421.3.2018) rozpowszechniła się nie tylko z tego względu, że jest to pierwsze tego typu rozstrzygnięcie polskiego organu nadzorczego. Bardzo istotne dla praktyków zajmujących się prawem ochrony danych osobowych jest podważenie w tej decyzji zasadności skorzystania przez administratora z przepisu wyłączającego konieczność spełnienia obowiązku informacyjnego.

Więcej na ten temat w artykule: "Milion za niezgodność z RODO".

Mając na względzie powyższe, należy podkreślić, że powoływanie się na wymienione wyłączenia będzie musiało być związane z pewnym apetytem na ryzyko. Wynika to w szczególności z faktu, że sam Urząd Ochrony Danych Osobowych nie przedstawia jednolitego stanowiska w prezentowanych przez siebie poglądach. Czytając komentarze przedstawicieli Urzędu Ochrony Danych Osobowych do decyzji z dnia 15 marca  2019 r., można spotkać się ze opinią, że realizacja obowiązku informacyjnego przez przesłanie stosownych informacji listem poleconym to nie jedyne możliwe rozwiązanie. Jest to istotne dla administratorów ze względu na koszty związane realizacją obowiązku informacyjnego w taki sposób, szczególnie jeżeli w grę wchodzi przetwarzanie danych osobowych dotyczących dużej liczby osób.

Nie byłoby w tym poglądzie nic niewłaściwego  (zdaniem autora jest on całkowicie słuszny), gdyby nie fakt, że w decyzjach Prezesa Urzędu Ochrony Danych można znaleźć stanowisko podważające jego zasadność. Mowa tutaj o decyzji z dnia 21 grudnia 2018 r. (ZSPR.440.854.2018), w której organ nadzorczy uznał, że samo potwierdzenie nadania listu zwykłego zawierającego treść klauzuli informacyjnej nie jest wystarczającym dowodem na to, że osoba została skutecznie poinformowana o fakcie przetwarzania jej danych osobowych. Z przywołanej decyzji można wysnuć wniosek, że w celach dowodowych administrator powinien dysponować zwrotnym potwierdzeniem odbioru lub innym dokumentem potwierdzającym odbiór korespondencji przez osobę, której dane przetwarza. W tym miejscu trzeba podkreślić, że komentowana decyzja dotyczyła interpretacji art. 105a ust. 3 ustawy z dnia 29 sierpnia 1997 r. – Prawo bankowe (t.j. Dz.U. z 2018 r. poz. 2187 ze zm.),  regulującego konieczność poinformowania osoby o przetwarzaniu jej danych osobowych. Jednakże zdaniem autora mocno rzutuje ona również na interpretację słowa „podaje”,  użytego w art. 13 i art. 14 RODO.

Efektem przywołanych decyzji Prezesa Urzędu Ochrony Danych będzie zapewne konieczność asekuracyjnego podejścia administratorów do rezygnacji z realizacji obowiązku informacyjnego. Zdaniem autora podjęcie decyzji o skorzystaniu z możliwości nieprzekazywania treści klauzul informacyjnych, przewidzianych w przepisach art. 13 ust. 4 lub art. 14 ust. 5 RODO, będzie musiało być związane z wysokim apetytem na ryzyko, wynikającym z prawdopodobieństwa podważenia prawidłowości przyjętego rozwiązania przez organ nadzorczy.

Podsumowanie

Przed podjęciem decyzji o realizacji obowiązku informacyjnego administrator powinien w pierwszej kolejności poszukać odpowiedzi na pytania:

1. skąd będą pochodzić dane osobowe (czy bezpośrednio od osoby, której one dotyczą, czy z innego źródła)?
2. jakie dokładnie dane osobowe administrator będzie przetwarzał?

Pytania te powinny być dla administratora szczególnie istotne przy podejmowaniu decyzji, czy w ogóle będzie realizować obowiązek informacyjny (mając na względzie art. 11 ust. 1 RODO), a jeżeli tak, to w jaki sposób – ten uregulowany w art. 13 czy też w art. 14 RODO. Ustalenia w tym zakresie pozwolą również na precyzyjne określenie terminu, w jakim administrator powinien przekazać klauzulę informacyjną.

Należy podkreślić, że administrator powinien udzielić odpowiedzi na powyższe pytania już na etapie projektowania danego procesu przetwarzania danych. Wówczas niezbędne jest również ustalenie dalszych bardzo ważnych kwestii, mianowicie:

1. jaki jest cel oraz jaka jest podstawa prawna przetwarzania?
2. przez jaki czas administrator będzie przetwarzać dane osobowe?
3. jakiemu odbiorcy administrator będzie udostępniać/powierzać dane osobowe?
4. czy dane będą przekazywane do państw trzecich?
5. czy dane będą podlegały zautomatyzowanemu przetwarzaniu?

Dopiero tak usystematyzowana wiedza pozwoli administratorowi na przygotowanie prawidłowej klauzuli informacyjnej. Podobne informacje należy zawrzeć i na bieżąco aktualizować w rejestrze czynności przetwarzania, o którym piszemy w artykule: "Nowy dokument z zakresu ochrony danych osobowych już od 25 maja 2018r.".