21 sty

Czy ze względu na RODO należy na nowo wypełnić obowiązek informacyjny?

Wspominałam już o tym, że RODO bardzo rozszerza obowiązki informacyjne wobec osoby której dane dotyczą, który ma być w sposób jasny i zrozumiały informowany o swoich prawach. Jeżeli RODO wymaga, aby administrator danych podawał więcej informacji, niż dotychczas, czy oznacza to, że powinien on na nowo wypełnić obowiązek informacyjnych wobec osób, których dane zgromadził?
Może dodam, że obowiązek informacyjny jest jednym z najsłabiej realizowanych przez administratorów wymagań, wynikających z przepisów o ochronie danych osobowych (obecnie art. 24-25 ustawy o ochronie danych osobowych). Jeżeli nie wiesz, o czym mówię, poczytaj więcej na temat obowiązku informacyjnego tutaj.
Odpowiedź na pytanie z tytułu postu, wymaga krótkiej analizy zapisów RODO.
Po pierwsze zgodnie z motywem 61: Informacje o przetwarzaniu danych osobowych dotyczących osoby, której dane dotyczą, należy przekazać tej osobie w momencie zbierania danych, a jeżeli danych nie uzyskuje się od osoby, której dane dotyczą, lecz z innego źródła – w rozsądnym terminie, zależnie od okoliczności. Zgodnie z art. 12 ust. 1 RODO: Informacji udziela się na piśmie lub w inny sposób, w tym w stosownych przypadkach – elektronicznie. Jeżeli osoba, której dane dotyczą, tego zażąda, informacji można udzielić ustnie, o ile innymi sposobami potwierdzi się tożsamość osoby, której dane dotyczą. Warto podkreślić, że forma ustna jest „formą na żądanie”, ponieważ jest to rozwiązanie, które nie daje możliwości udowodnienia, że administrator faktycznie wypełnił obowiązek informacyjny.Motyw 61 dodatkowo wskazuje, że obowiązek informacyjny należy wypełnić także, jeżeli dane osobowe można zgodnie z prawem ujawnić innemu odbiorcy. Należy dokonać tego w momencie pierwszorazowego ujawnienia danych temu odbiorcy. Co ciekawe RODO wskazuje, że jeżeli administrator planuje przetwarzać dane osobowe w celu innym niż cel, w których dane osobowe zostały zebrane, powinien on przed takim dalszym przetwarzaniem poinformować osobę, której dane dotyczą, o tym innym celu oraz dostarczyć jej innych niezbędnych informacji. W mojej ocenie nie dotyczy to sytuacji, w której dane są przetwarzane na podstawie zgody tej osoby (o przesłankach legalności przeczytasz więcej tutaj).
RODO tak samo, jak ustawa o ochronie danych osobowych, przewiduje że nie trzeba wypełniać obowiązku informacyjnego, jeżeli osoba, której dane dotyczą, dysponuje już tymi informacjami, jeżeli utrwalenie lub ujawnienie danych są wyraźnie przewidziane prawem, lub jeżeli poinformowanie osoby, której dane dotyczą, okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku. Sytuacja braku możliwości lub niewspółmiernie dużego wysiłku może zachodzić w szczególności przypadku, gdy przetwarzanie służy celom archiwalnym w interesie publicznym, celom badań naukowych lub historycznych lub celom statystycznym. Uwzględnić przy tym należy liczbę osób, których dane dotyczą, okres przechowywania danych oraz wszelkie przyjęte odpowiednie zabezpieczenia.
Podsumowując obowiązek informacyjny wypełnia się w momencie gromadzenia danych, a w przypadku gdy dane są pozyskiwane z innego źródła, w jak najkrótszym czasie od ich uzyskania. Zgodnie z przytoczonymi powyżej artykułami oraz motywami rozporządzenia, nie ma obowiązku aktualizacji obowiązku informacyjnego, ponieważ jest on wypełniany w momencie gromadzenia danych. Jednakże zwracam uwagę, że dotychczasowy obowiązek informacyjny wynikający z art. 24 i 25 ustawy o ochronie danych osobowych jest bardzo ubogi w stosunku do tego, który wynika z art. 13 i 14 RODO. Pomimo, że nie ma takiego obowiązku, zalecałabym jednak administratorom, którzy na podstawie zgody przetwarzają dane osobowe (w szczególności, jeśli pozyskali je z innego źródła lub są to dane dotyczące dzieci), wypełnili nowy obowiązek informacyjny wobec osób, które dane dotyczą, aby dostarczyć im informacji o prawach przysługujących im na mocy ustawy, o których nie mieli pojęcia. Tym bardziej jeżeli zgoda została pozyskana dawno temu, a dane nie były od tej pory aktualizowane.
Warto zwrócić także uwagę, że RODO wymaga określenia czasu przetwarzania pozyskanych danych, więc dobrą praktyką przed majem 2018 roku byłby przegląd baz danych pod kątem legalności przetwarzania danych, aktualności danych oraz ponownego wypełnienia obowiązku informacyjnego, w celu należytego wypełnienia obowiązku informacyjnego.


Nazywam się Sylwia Czub-Kiełczewska, jestem ekspertką ds. ochrony danych osobowych oraz certyfikowaną audytorką wewnętrzną ISO 27001 /TISAX. Pomagam organizacjom wdrożyć skuteczne systemy bezpieczeństwa informacji, przeprowadzam audyty zgodności z RODO / ISO27001. Jestem skuteczna, bo stosuję indywidualne podejście, oparte na zrozumieniu klienta oraz jego działalności. Potrzebujesz wsparcia? Napisz do mnie



Zapraszam na moje (bardzo praktyczne i konkretne) szkolenia!

We wpisie wykorzystano zdjęcie z serwisu Pixabay.com.


 

Data aktualizacji: 3 czerwca 2018