Rozszerzenie obowiązków w stosunku do Administratorów Danych Osobowych to jedno z najważniejszych zagadnień, któremu warto poświęcić szczególną uwagę na tle procesu wdrażania RODO. Każdy Administrator z dniem 25 maja 2018 r. otrzyma pełen bagaż obowiązków, który (niestety) nie jest lekki jak piórko 🙂 O części obowiązków już pisaliśmy (m.in. o obowiązku prowadzenia rejestru czynności przetwarzania czy o konieczności notyfikacji stwierdzonych naruszeń organowi nadzorczemu). W ramach tego artykułu chcemy poruszyć (chyba) najważniejszy z nich, wokół którego było ostatnio głośno z uwagi na planowane ograniczenie stosowania RODO do małych i średnich przedsiębiorstw – tak jest, dziś kilka słów o obowiązku informacyjnym.

Czym jest obowiązek informacyjny?

Wszystkim osobom zainteresowanym tematem ochrony danych osobowych pojęcie obowiązku informacyjnego jest doskonale znane. Tytułem przypomnienia należy wyjaśnić, iż obowiązek informacyjny to zestaw informacji, jakie Administrator zobowiązany jest przedstawić osobie której dane przetwarza. Z pozoru brzmi to łatwo, ale tak naprawdę…

… Ciężko go zrealizować (?)

Trudność realizacji tego obowiązku jest obecna już na gruncie obecnie obowiązujących przepisów. Zanim pojawiło się RODO i związana z nim reforma, wielu Administratorów nie miało świadomości istnienia takiego obowiązku i po prostu go nie wykonało. Z kolei bazy danych w mgnienia oka rosły jak na drożdżach. Z uwagi na coraz bardziej nagłaśniane wejście w życie RODO, zdaje się, że głównym problem przestanie być brak świadomości, a będzie nim znacząco rozbudowana treść obowiązku informacyjnego w porównaniu do obecnych przepisów.

Jakie informacje składają się na obowiązek informacyjny na gruncie RODO?

Zgodnie z RODO, administrator w obowiązku informacyjnym zobowiązany jest zawrzeć:

1. swoje dane, w tym dane kontaktowe

2. dane kontaktowe inspektora danych osobowych

3. cel i podstawę prawną przetwarzania

4. wskazanie prawnie uzasadnionych interesów jeżeli są one przesłanką przetwarzania

5. informację o  tym, komu zamierza przekazać dane (poprzez wskazanie konkretnych podmiotów lub kategorię podmiotów)

6. informację o zamiarze przekazania danych do państwa trzeciego lub organizacji międzynarodowej

7. okres przez który dane będą przetwarzane lub kryteria jego ustalania

8. informację, jakie prawa przysługują osobie której dane są przetwarzane: prawo dostępu do danych, prawdo do: sprostowania, usunięcia lub ograniczenia przetwarzania, wniesienia sprzeciwu, przenoszenia danych

9. informację o możliwości cofnięcia zgody w każdym momencie

10. informację o prawie do wniesienia skargi do organu nadzorczego

11. informację, czy podanie danych wynika z obowiązku prawnego, umownego lub jest warunkiem zawarcia umowy i jakie konsekwencje wiążą się z brakiem podania danych

12. informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu

13. informację o zmianie celu przetwarzania

14. informację czy dane pochodzą ze źródeł powszechnie dostępnych

15. źródło danych

16. informacje, jakie dane są przetwarzane[1]

Dosyć sporo informacji, prawda? Wyobraźmy sobie przedsiębiorcę prowadzącego działalność telemarketingową – przekazanie tylu informacji potencjalnemu klientowi może sparaliżować przedstawienie oferty – bo albo klient po prostu zaśnie 😉 albo straci cierpliwość 🙂 W związku z tym Ministerstwo Cyfryzacji podjęło próbę znalezienia „złotego środka”.

Ograniczenie stosowania obowiązku informacyjnego dla małych i średnich przedsiębiorstw

Ministerstwo Cyfryzacji postanowiło wyjść naprzeciw potrzebom rynku i warunków biznesowych – na stronie internetowej Ministerstwa pojawiło się oświadczenie, zgodnie z którym przedsiębiorcy zatrudniający mniej niż 250 osób, nie przetwarzający danych wrażliwych oraz nie udostępniający danych innym podmiotom – mają być wyłączeni ze stosowania art. 13 ust. 2 RODO, co w praktyce oznacza iż podmioty takie nie będą musiały informować swoich klientów m.in. o prawie do żądania dostępu do danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania. Będą oni zobowiązani tylko do wskazania informacji wymienionych w art. 13 ust. 1 RODO, czyli podania swoich danych, celu i podstawie prawnej przetwarzania danych oraz danych kontaktowych inspektora ochrony danych (jeżeli został powołany). Jako podstawę prawną ku takiemu rozwiązaniu Ministerstwo wskazało art. 23 ust. 1 RODO, w którym zawarte są dwie klauzule generalne – „ważny interes gospodarczy oraz finansowy państwa członkowskiego”[2].

Redakcja RODOkompasu ma poważne zastrzeżenia co do takiego rozwiązania – przepis ten mówi bowiem o interesie gospodarczym państwa, a nie przedsiębiorcy, co oznacza iż projekt naszej ustawy może zostać zakwestionowany pod względem zgodności z RODO.  

Jak będzie w praktyce? Przekonamy się zapewne już niebawem, a z całą pewnością 25 maja 2018 r. 🙂

Wpis nie stanowi porady ani opinii prawnej w rozumieniu przepisów prawa  oraz ma charakter wyłącznie  informacyjny. Stanowi  wyraz poglądów jego  autora na tematy prawnicze związane z treścią przepisów prawa, orzeczeń sądów, interpretacji organów państwowych i publikacji prasowych. Kancelaria Ostrowski i Wspólnicy Sp.K. i autor wpisu nie ponoszą odpowiedzialności za ewentualne skutki decyzji podejmowanych na jego podstawie.

[1] Podany powyżej zestaw jest pewnym uproszczeniem – Redakcja RODOkompasu wskazuje, iż obowiązek informacyjny należy skonstruować do konkretnej operacji zbierania danych. Zakres informacji różni się bowiem np. w zależnościom tego, czy dane zbieramy od bezpośrednio od osoby której dane dotyczą czy pośrednio – tj. od innego podmiotu. Inne informacje zawrzemy także np. w przypadku przetwarzania danych w celach rekrutacyjnych czy marketingowych.

[2] https://www.gov.pl/cyfryzacja/stosowanie-przepisow-rodo-do-mp-oswiadczenie-wspolne-mc-i-mpit