Obowiązek informacyjny RODO to jeden z podstawowych obowiązków administratora danych osobowych. Polega on na przekazaniu osobie, której dane są przetwarzane, jasnych i przejrzystych informacji m.in. o celu przetwarzania, podstawie prawnej, okresie przechowywania danych oraz przysługujących jej prawach. Zakres tych informacji zależy od tego, czy dane zostały pozyskane bezpośrednio od osoby, czy z innego źródła.
Niespełnienie obowiązku informacyjnego może prowadzić do kar finansowych oraz dodatkowych roszczeń ze strony osób których dane dotyczą. W artykule wyjaśniamy, jakie elementy musi zawierać klauzula informacyjna oraz jak prawidłowo realizować obowiązek informacyjny zgodnie z RODO.
Obowiązek informacyjny RODO – co musi przekazać administrator danych osobowych?
Obowiązek informacyjny RODO to jeden z najważniejszych wymogów, jakie spoczywają na administratorze danych osobowych. Polega on na przekazaniu osobie, której dane dotyczą, jasnych informacji o tym, kto przetwarza dane, w jakim celu oraz na jakiej podstawie prawnej. Administrator musi również poinformować o prawach osoby, okresie przechowywania danych oraz ewentualnych odbiorcach danych. Prawidłowe spełnienie obowiązku informacyjnego zwiększa przejrzystość przetwarzania i pozwala uniknąć naruszeń oraz kar ze strony organu nadzorczego.
Co kryje się pod pojęciem obowiązku informacyjnego?
Obowiązek informacyjny to wymóg wynikający z art. 13 i 14 RODO, który nakłada na administratora danych konieczność poinformowania osoby o zasadach przetwarzania jej danych osobowych. Chodzi o zapewnienie pełnej przejrzystości. Osoba powinna wiedzieć, kto przetwarza jej dane, w jakim celu, przez jaki czas oraz jakie ma prawa. Zakres przekazywanych informacji zależy od tego, czy dane zostały zebrane bezpośrednio od osoby, czy z innego źródła.
Jakie informacje powinny znaleźć się w klauzuli informacyjnej?
Klauzula informacyjna powinna jasno wskazywać, kto jest administratorem danych, w jakim celu i na jakiej podstawie prawnej dane są przetwarzane. Należy w niej określić okres przechowywania danych, odbiorców danych oraz prawa przysługujące osobie, której dane dotyczą. Obowiązkowe jest również poinformowanie o prawie wniesienia skargi do Prezesa UODO oraz o tym, czy podanie danych jest wymogiem ustawowym lub umownym.
Najważniejsze elementy klauzuli informacyjnej
- dane identyfikacyjne administratora (nazwa, dane kontaktowe)
- dane kontaktowe inspektora ochrony danych (jeśli został wyznaczony)
- informację o odbiorcach lub kategoriach odbiorców danych
- okres przechowywania danych lub kryteria jego ustalania
- informację o prawach osoby (np. prawo dostępu, sprostowania, usunięcia danych)
- informację o prawie wniesienia skargi do Prezesa UODO
- wskazanie, czy podanie danych jest obowiązkowe oraz jakie są konsekwencje ich niepodania
- informację o zautomatyzowanym podejmowaniu decyzji, jeśli ma ono miejsce.
Kiedy należy spełnić obowiązek informacyjny wobec osoby, której dane dotyczą?
Obowiązek informacyjny należy spełnić najpóźniej w momencie pozyskiwania danych osobowych od osoby, której dane dotyczą. Jeśli dane są zbierane bezpośrednio, informacje powinny zostać przekazane przy pierwszym kontakcie, np. podczas wypełniania formularza lub zawierania umowy.
W przypadku gdy dane pochodzą z innego źródła, administrator musi przekazać klauzulę informacyjną w rozsądnym terminie – nie później niż w ciągu miesiąca od ich pozyskania, a jeśli planuje kontakt z osobą lub ujawnienie danych innemu odbiorcy, najpóźniej przy pierwszej takiej czynności.
Czy każda firma lub instytucja ma administratora danych?
Tak, każda firma lub instytucja, która przetwarza dane osobowe w ramach swojej działalności, pełni rolę administratora danych. Administratorem jest podmiot, który decyduje o celach i sposobach przetwarzania danych, np. pracodawca wobec danych pracowników czy sklep internetowy wobec danych klientów. Nawet małe przedsiębiorstwa, które zbierają dane kontaktowe lub wystawiają faktury, podlegają obowiązkom administratora wynikającym z RODO.
Administrator i podmiot przetwarzający – czym różnią się te role?
Administrator danych decyduje o celach i sposobach przetwarzania danych osobowych oraz ponosi za to pełną odpowiedzialność. Podmiot przetwarzający działa natomiast na jego zlecenie i przetwarza dane wyłącznie w zakresie określonym w umowie powierzenia. Różnica polega więc wyłącznie na tym, kto podejmuje decyzje dotyczące przetwarzania danych.
Najczęściej zadawane pytania
Na czym polega obowiązek informacyjny RODO?
To obowiązek przekazania osobie jasnych informacji o tym, kto i w jakim celu przetwarza jej dane.
Kiedy trzeba spełnić obowiązek informacyjny?
Najpóźniej w momencie zbierania danych, a przy danych z innych źródeł – w ciągu miesiąca.
Co musi zawierać klauzula informacyjna?
Dane administratora, cele przetwarzania, podstawę prawną, prawa osoby i okres przechowywania.
Zakaz przetwarzania danych wrażliwych – kiedy obowiązuje?
Zgodnie z art. 9 ust. 1 RODO przetwarzanie szczególnych kategorii danych osobowych jest co do zasady zabronione. Oznacza to, że administrator nie może gromadzić, przechowywać ani wykorzystywać danych wrażliwych, chyba że spełni jedną z wyraźnie wskazanych w rozporządzeniu przesłanek dopuszczalności.
Zakaz obowiązuje zawsze wtedy, gdy brak jest podstawy prawnej określonej w art. 9 ust. 2 RODO, np. wyraźnej zgody osoby, której dane dotyczą, realizacji obowiązków z zakresu prawa pracy czy ochrony żywotnych interesów osoby fizycznej. W praktyce oznacza to, że przetwarzanie danych wrażliwych wymaga szczególnej ostrożności, analizy ryzyka oraz wdrożenia odpowiednich środków technicznych i organizacyjnych.
Kiedy przetwarzanie szczególnych kategorii danych jest dopuszczalne?
Przetwarzanie szczególnych kategorii danych osobowych jest dopuszczalne wyłącznie w przypadkach wskazanych w art. 9 ust. 2 RODO. Administrator musi wykazać konkretną podstawę prawną, która uchyla ogólny zakaz przetwarzania danych wrażliwych.
Jakie obowiązki ma administrator danych przy przetwarzaniu danych wrażliwych?
|
Przesłanka |
Na czym polega? |
|
Wyraźna zgoda osoby |
Osoba, której dane dotyczą, świadomie i jednoznacznie zgadza się na przetwarzanie danych wrażliwych |
|
Prawo pracy i zabezpieczenie społeczne |
Przetwarzanie jest niezbędne do realizacji obowiązków pracodawcy wynikających z przepisów prawa |
|
Ochrona żywotnych interesów |
Konieczność ochrony życia lub zdrowia osoby fizycznej |
|
Dochodzenie roszczeń |
Dane są potrzebne do ustalenia, obrony lub dochodzenia roszczeń |
|
Opieka zdrowotna |
Przetwarzanie w celu diagnozy, leczenia lub zarządzania systemem opieki zdrowotnej |
|
Ważny interes publiczny |
Podstawa wynika z przepisów prawa krajowego lub unijnego |
Najczęstsze błędy firm w zakresie danych wrażliwych
Przetwarzanie danych wrażliwych wiąże się z podwyższonym ryzykiem prawnym i organizacyjnym, dlatego firmy często popełniają błędy wynikające z braku wiedzy lub niewłaściwej interpretacji art. 9 RODO. Nieprawidłowości w tym obszarze mogą prowadzić do naruszeń ochrony danych oraz wysokich kar administracyjnych.
Najczęstsze błędy firm w zakresie danych wrażliwych to:
- brak właściwej podstawy prawnej do przetwarzania danych szczególnych kategorii
- opieranie się na „zwykłej” zgodzie zamiast na wyraźnej zgodzie wymaganej przez RODO
- przetwarzanie danych wrażliwych bez przeprowadzenia analizy ryzyka
- niewdrożenie odpowiednich środków technicznych i organizacyjnych
- brak odpowiednich procedur w przypadku naruszenia ochrony danych
- zbyt szeroki zakres zbieranych danych (naruszenie zasady minimalizacji)
Komentarz ekspercki do art. 9 RODO – zakres zakazu i przesłanki dopuszczalności przetwarzania danych wrażliwych
Przetwarzanie danych wrażliwych nie może opierać się na przesłance „niezbędności do wykonania umowy”, ponieważ art. 9 RODO nie przewiduje takiej podstawy. Wyraźna zgoda oznacza podwyższony standard – musi być jednoznaczna i wyrażona najlepiej na piśmie. Administrator ma obowiązek wdrożyć wzmocnione środki bezpieczeństwa, takie jak szyfrowanie, ograniczony dostęp czy szczegółowe procedury ochrony. Każdorazowo należy też ocenić, czy zakres przetwarzanych danych jest rzeczywiście niezbędny, zgodnie z zasadą minimalizacji z art. 5 RODO.
Najczęściej zadawane pytania
Czy przetwarzanie danych wrażliwych jest zawsze zabronione?
Nie. Co do zasady art. 9 RODO wprowadza zakaz, ale przetwarzanie jest dopuszczalne w wyjątkowych sytuacjach, np. na podstawie wyraźnej zgody lub przepisów prawa.
Jakie dane są uznawane za szczególne kategorie danych osobowych?
Są to m.in. dane o zdrowiu, dane biometryczne, genetyczne, poglądy polityczne, przekonania religijne oraz informacje o życiu seksualnym.
Czy zwykła zgoda wystarczy do przetwarzania danych wrażliwych?
Nie. W przypadku danych szczególnych kategorii potrzebna jest wyraźna zgoda, czyli jednoznaczne i świadome potwierdzenie (np. pisemne)