Co zmienia RODO – Rozszerzony obowiązek informacyjny

Co zmienia RODO – Rozszerzony obowiązek informacyjny

Już obecnie obowiązujące przepisy zobowiązują podmioty pozyskujące dane osobowe do przekazywania osobom, których te dane dotyczą, takich informacji, jak: adres i siedziba administratora danych, cel zbierania danych czy źródło tych danych.

Ogólne rozporządzenie o ochronie danych (RODO) podkreśla jeszcze bardziej konieczność realizacji obowiązku informacyjnego. Od wszystkich administratorów danych wymagać się będzie, by wszelkie informacje kierowane do osób, których dane dotyczą, były formułowane jasnym i prostym językiem, by były zwięzłe i zrozumiałe. Szczególnie istotne będzie to zaś wówczas, gdy informacje i komunikaty będą kierowane do dzieci, które musza móc je bez trudu zrozumieć (patrz. Zgoda dziecka na przetwarzanie danych).

Ważną zmianą, jaką wprowadzi rozporządzenie, jest zwiększenie zakresu informacji, które należy przekazać. Od 25 maja 2018 r. administratorzy danych będą musieli poinformować również m.in. o okresie, przez który dane osobowe będą przetwarzane (retencja danych), o ewentualnym fakcie profilowania i jego konsekwencjach czy tez o danych kontaktowych inspektora ochrony danych, jeśli został on wyznaczony.

Zachęcamy wiec do zapoznania się z art. 13 i art. 14 rozporządzenia oraz do przeglądu stosowanych obecnie klauzul informacyjnych i analizy, jakie treści należy zmienić, a jakie uzupełnić – tak by odpowiednio wcześnie zaplanować wszelkie niezbędne zmiany w spełnianiu obowiązku informacyjnego zgodnie z wymogami rozporządzenia. Wobec szerszego katalogu informacji, które należy przekazać, z cała pewnością obecnie stosowane komunikaty będą musiały być zaktualizowane.

Przykładem rozwiązania już stosowanego w praktyce może być poinformowanie klientów o wprowadzeniu nowych klauzul informacyjnych (uwzględniających wymagania ogólnego rozporządzenia) z okresem obowiązywania od 25 maja 2018 r. Niewłaściwe jest jednak przekazywanie niektórych informacji już teraz, jak np. informacji o danych kontaktowych inspektora ochrony danych – obecnie w polskim systemie prawnym mamy jeszcze administratorów bezpieczeństwa informacji (ABI).

Co musi się znaleźć w naszej informacji dotyczącej zbierania danych osobowych od osoby, której dane dotyczą?

Zgodnie z RODO, do niezbędnych elementów informacyjnych zaliczyć należy podanie:

  • swojej tożsamości i danych kontaktowych;
  • gdy ma to zastosowanie – danych kontaktowych inspektora ochrony danych;
  • celu przetwarzania danych osobowych, oraz podstawy prawnej przetwarzania;
  • informacji o odbiorcach danych osobowych lub o kategoriach odbiorców;
  • informacji o zamiarze transferu danych osobowych do państwa trzeciego;
  • okresie, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteriach ustalania tego okresu;
  • informacji o prawie do żądania od administratora dostępu do swoich danych osobowych ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
  • jeżeli przetwarzanie odbywa się na podstawie wcześniej wyrażonej zgody – informacji o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
  • informacji o prawie wniesienia skargi do organu nadzorczego;
  • informacji czy podanie danych osobowych jest wymogiem ustawowym, umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
  • informacji o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu jeśli taki występuje.

Rozbudowany obowiązek informacyjny, w zakresie wskazanym powyżej, niejednokrotnie powodował będzie problem w zakresie prawidłowego konstruowania klauzuli informacyjnej w sposób prosty i jasny, zwięzły, przejrzysty, zrozumiały i dostępny w łatwej. Niestety, jej brak stanowić będzie ciężkie naruszenie ochrony danych osobowych (art. 83 ust. 5 lit. b RODO), co w konsekwencji prowadzić może do nałożenia kary pieniężnej w wysokości nawet do 20 mln euro.

Mimo, że RODO zacznie obowiązywać w całej Unii Europejskiej dopiero od 25 maja 2018 r., warto już teraz przygotować się do nadchodzących zmian. W związku z rozszerzeniem zakresu obowiązku informacyjnego należy dokonać dogłębnej analizy obecnie stosowanych klauzul informacyjnych, tak być móc zaplanować z wyprzedzeniem jakie treści należy zmienić lub uzupełnić zgodnie z wymogami rozporządzenia.

Opublikuj komentarz