ul. Kazimierza Wielkiego 1

Wrocław

+ 71 740 50 00

Obsługa klienta

Pon - Pt: 8:30 - 16:30

Godziny otwarcia

O mnie

Nazywam się Iwo Klisz, jestem adwokatem specjalizującym się w prawie ochrony danych osobowych oraz wspólnikiem zarządzającym w Kancelarii Klisz i Wspólnicy z Wrocławia, a także liderem zespołu prawników specjalistów w zakresie prawnej obsługi przedsiębiorców

więcej …

Kancelaria Klisz i Wspólnicy

ul. Joachima Lelewela 23/7
53-505 Wrocław

tel. kom. 695 560 425
tel. 71 740 50 00

e-mail: i.klisz@adwokat-wroclaw.biz.pl

O blogu

Główne Tematy

Obowiązek informacyjny wg RODO

obowiązek informacyjny RODO

Jak prawidłowo wykonać obowiązek informacyjny?

Zbierasz dane osobowe i zastanawiasz się, jakie informacje powinieneś przekazać osobie, której dane dotyczą? Chciałbyś wykonać prawidłowo obowiązek informacyjny ale masz wątpliwości, jak go wykonać. A może gromadzisz dane osobowe za pośrednictwem swoich podwykonawców, czy też kupujesz bazy danych osobowych i nie wiesz, czy musisz wykonać obowiązek informacyjny? Jeżeli zadajesz sobie te lub podobne pytania, to odpowiedzi znajdziesz w tym wpisie. Dowiesz się z niego:

  • Kiedy ciąży na tobie konieczność przekazania informacji o przetwarzaniu danych,
  • W jakich terminach obowiązek informacyjny należy wykonać,
  • Jaki jest zakres obowiązku informacyjnego,
  • W jaki sposób obowiązek informacyjny może zostać wykonany,
  • Czy konieczne jest okresowe aktualizowanie przekazywanych informacji?

Kiedy powstaje obowiązek informacyjny

RODO wymaga przekazywania przez administratora danych osobowych szeregu informacji od osób, których dane osobowe gromadzi. Obowiązek ten nie ciąży zatem na podmiocie przetwarzającym (procesorze). Nie jest jednak wykluczone, że administrator sceduje na ciebie obowiązek przekazania wszystkich, bądź niektórych informacji osobom, których dane pozyskujesz będąc procesorem.

Omawiany obowiązek będzie ciebie dotyczył – jeżeli jesteś administratorem – zarówno, gdy sam gromadzisz dane osobowe, jak i gdy korzystać z usług innych podmiotów w tym zakresie (np. pośredników, agentów, przedstawicieli handlowych będących odrębnymi przedsiębiorcami), a także gdy kupujesz zgromadzone przez inny podmiot bazy danych osobowych.

Kiedy i w jaki sposób należy przekazać informacje

Termin ten zależny jest od tego, czy dane gromadzisz bezpośrednio, czy też pośrednio. W pierwszym przypadku stosowne informacje powinieneś przekazać „podczas pozyskiwania danych”, czyli w procesie ich zbierania. Sposobów ich przekazania jest wiele, jedynym ograniczeniem jest konieczność posiadania dowodu, że informacja ta została udostępniona (zgodnie z zasadą rozliczalności). Klauzula informacyjna może zatem być m.in.:

  • wyłożona albo wywieszona do wglądu w biurze lub innym punkcie dostępnym publicznie,
  • wyświetlana na stronie internetowej, przy formularzach kontaktowych albo generowana przez formularz po jego wypełnieniu,
  • załącznikiem do umowy albo innego dokumentu,
  • przekazywana w formie komunikatu dźwiękowego na infolinii.

Jeżeli natomiast dane osobowe pozyskałeś pośrednio, to informacje powinieneś przekazać w jednym z następujących terminów:

  • w rozsądnym terminie po pozyskaniu danych osobowych – najpóźniej w ciągu miesiąca – mając na uwadze konkretne okoliczności przetwarzania danych osobowych,
  • jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą – najpóźniej przy pierwszej takiej komunikacji z osobą, której dane dotyczą,
  • jeżeli planujesz ujawnić dane osobowe innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu.

Jakie informacje należy przekazać zgodnie z RODO?

Zakres danych przekazywanych osobie, której dane są zbierane jest podobny w obu przypadkach. Przy pośrednim zbieraniu danych osobowych, obejmuje on dodatkowo informacje o:

  • źródło pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych, np. dane osobowe pochodzą z bazy danych zakupionej od wskazanej spółki,
  • kategorie przetwarzanych danych osobowych, np. imię, nazwisko, telefon, adres e-mail.

W obu przypadkach natomiast, informacja przekazywana przez ciebie – co do zasady – powinna obejmować następujące dane:

  • twoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie,
  • gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych, tzn. gdy został on przez ciebie powołany,
  • cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania, np. dane osobowe są przetwarzane w celu wykonania umowy, tj. na podstawie art. 6 ust. 1 lit. b) RODO,
  • jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) RODO (przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią) – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią, np. dane osobowe przetwarzane są w celach marketingu bezpośredniego naszych towarów,
  • informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją, np. odbiorcami twoich danych mogą być nasi podwykonawcy, współpracujące biura rachunkowe oraz kancelarie prawne, a także właściwe instytucje państwowe,
  • gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję Europejską odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi RODO, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych,
  • okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu, np. twoje dane osobowe przechowywane będą do czasu przedawnienia roszczeń wynikających z umowy zawartej z naszą firmą,
  • informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych,
  • jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a), tj. na podstawie zgody osoby, której dane dotyczą – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem,
  • informacje o prawie wniesienia skargi do organu nadzorczego,
  • informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych,
  • informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Wyjątkiem od konieczności przekazywania wszystkich ze ww. informacji jest sytuacja, gdy ich adresat poznał już uprzednio ich treść. Może to mieć miejsce, gdy otrzymał już od ciebie pewne dane przy okazji wcześniejszej współpracy.

Czy muszę aktualizować przekazane informacje?

Obowiązek powtórnego udostępnienia informacji o przetwarzaniu danych osobowych może wystąpić w przypadku zmiany celu przetwarzania danych. Przykładowo, jeżeli dotychczas przetwarzałeś dane osobowe w celu wykonania umowy, a została ona zakończona i zamierzasz przechowywać te dane w celu marketingu bezpośredniego, to konieczne będzie poinformowanie o tym osoby, której dane dotyczą.

Rzecz jasna nadal obowiązuje zasada, w myśl której przekazaniu nie podlegają te informacje, którymi adresat komunikatu już dysponuje. W praktyce zatem najczęściej będziesz musiał poinformować jedynie o nowym celu przetwarzania danych oraz jego podstawie prawnej.

pozdrawiam, adwokat Iwo Klisz

Mam nadzieję, że wyjaśniłem Tobie kilka rzeczy. Jeżeli zainteresował Cię artykuł, kliknij „Lubię to” lub polub moją stronę na facebooku (Facebook adwokat Wrocław). Dla Ciebie to tylko "kliknięcie", a dla mnie to dowód, że moja praca jest przydatna, co daje mi motywację do dalszego pisania :)