Zgodnie z przepisami RODO /art. 12-15/ administrator danych osobowych musi poinformować osobę, której dane osobowe dotyczą, że prowadzi działania związane z przetwarzaniem jej danych osobowych i jaki jest ich cel.

RODO w tym zakresie określa dwie możliwości pozyskiwania danych osobowych:

bezpośrednio od osoby, której dane dotyczą,

pośrednio poprzez inny podmiot.

Jeśli administrator gromadzi dane osobowe bezpośrednio od osoby, której dotyczą, musi ją również poinformować o tym czy ma obowiązek je podać oraz o konsekwencjach, jakie wiążą się z tym, jeśli tego nie zrobi. W przypadku zbierania danych osobowych bezpośrednio obowiązek informacyjny należy spełnić w momencie ich pozyskiwania. W drugim przypadku obowiązek informacyjny należy spełnić w „rozsądnym” terminie po ich uzyskaniu /najpóźniej w ciągu miesiąca/ lub przy pierwszej komunikacji z osobą, której dane dotyczą.

Administrator danych osobowych nie będzie musiał realizować obowiązku informacyjnego w następujących przypadkach:

osoba, której dane osobowe dotyczą, zna już te informacje,

przekazanie informacji jest niemożliwe lub wymagałoby niewspółmiernie wysokiego wysiłku, pozyskiwanie określonych danych osobowych jest uregulowane w prawie unijnym lub krajowym.

Ważnym elementem realizacji obowiązku informacyjnego jest poinformowanie osoby, której dane osobowe dotyczą o tzw. zautomatyzowanym podejmowaniu decyzji wobec osób, których dane osobowe dotyczą, czyli przede wszystkim o profilowaniu. Profilowanie to szczególny rodzaj przetwarzania danych osobowych, który odbywa się w sposób automatyczny i ma na celu ocenę osoby fizycznej lub przewidywanie jej zachowania np. automatyczny dobór reklam na stronie internetowej na podstawie jej aktywności w internecie.

Odrębnym obowiązkiem informacyjnym, który ciąży na administratorze jest poinformowanie osoby, której dane osobowe dotyczą o zdarzeniu naruszenia ochrony danych osobowych, jeżeli to naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności tej osoby np. wypływ danych bankowych, kradzież danych o stanie zdrowia.

Oto przykładowe wzory klauzul informacyjnych:

Wzór klauzuli informacyjnej stosowanej po rozpoczęciu stosowania RODO – w przypadku zbierania danych od osoby, której dane dotyczą.

Informuję, że:

1. administratorem Pani/Pana danych osobowych jest ……… z siedzibą w ……… przy ul. ………, zwany dalej Administratorem; Administrator prowadzi operacje przetwarzania następujących kategorii Pani/Pana danych osobowych:

• …, /np. imię i nazwisko/
• …, /np. adres zamieszkania/
• …, /np. e-mail/
• … itd.

inspektorem danych osobowych u Administratora jest …, e-mail: …, */

2. Pani/Pana dane osobowe przetwarzane będą w celu ……… i nie będą udostępniane innym odbiorcom / w przypadku udostępniania danych innym podmiotom np. biuru rachunkowemu, specjalistycznej przychodni lekarskiej należy podać konkretnie jakiemu podmiotowi będą przekazywane w oparciu o umowę powierzenia/,
3. podstawą przetwarzania Pani/Pana danych osobowych jest ………,
4. Administrator pozyskał Pani/Pana dane osobowe od ……… z siedzibą w ……… przy ul. ………,
5. posiada Pani/Pan prawo do:

• żądania od Administratora dostępu do swoich danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych,
• wniesienia sprzeciwu wobec takiego przetwarzania,
• przenoszenia danych,
• wniesienia skargi do organu nadzorczego,
• cofnięcia zgody na przetwarzanie danych osobowych.

6. Pani/Pana dane osobowe nie podlegają zautomatyzowanemu podejmowaniu decyzji, w tym profilowaniu,
7. Pani/Pana dane osobowe będą przechowywane przez ……… /podać okres np. 3 lata lub opisowo-okres trwania akcji promocyjnej/.

*/ jeśli dotyczy

Zgodnie z przepisami RODO jedną z czterech podstaw prawnych przetwarzania danych osobowych jest zgoda osoby fizycznej, której dane osobowe dotyczą. Zgoda powinna być udzielona za pomocą klarownego, potwierdzającego czynność działania lub oświadczenia złożonego w dowolnej formie. Jednak zawsze-w razie wątpliwości – administrator danych osobowych musi wykazać i udowodnić np. kontrolerowi, że zgoda została udzielona. Dlatego dla celów dowodowych zaleca się dokumentowanie faktu udzielenia zgody. Udzielenie zgody jest zawsze czynnością wcześniejszą niż czynności przetwarzania danych osobowych.

RODO w swoich zapisach duży nacisk kładzie na warunki, w jakich uzyskiwana jest zgoda na przetwarzanie danych osobowych.

Zgoda powinna być:

dobrowolna – możliwość swobodnego podjęcia decyzji bez przymusu bądź groźby np. nie można warunkować zawarcia umowy z celem marketingowym,

konkretna – zrozumiała i dotycząca czynności przetwarzania precyzyjnie określonego celu lub celów przetwarzania,

świadoma – zainteresowany musi wiedzieć, na co się zgadza /cel i zakres oraz metody przetwarzania, jakie ma prawa/,

jednoznaczna – nie może być dorozumiana lub domniemana z innego oświadczenia woli,

odrębna – musi być oddzielona od innych oświadczeń woli, napisana w jasnym i prostym językiem, w łatwo dostępnej formie,

zawarta w formie oświadczenia lub wyraźnego działania potwierdzajacego, które pozwala na przetwarzanie danych osobowych.

Przetwarzanie danych osobowych dzieci, które nie ukończyły 16 lat, jest uznawane za zgodne z prawem wyłącznie w przypadkach, gdy zgodę na przetwarzanie wyraziła osoba sprawująca władzę rodzicielską lub opiekuńczą nad osobą niepełnoletnią.

Wzór klauzuli zgody na przetwarzanie danych osobowych zgodnej z RODO:

1. Wyrażam zgodę na przetwarzanie moich danych osobowych przez administratora danych ……… z siedzibą w ………, ul. ………, numer KRS ………. w celu ………
2. Podaję dane osobowe dobrowolnie i oświadczam, że są one zgodne z prawdą.
3. Zapoznałem(-am) się z treścią klauzuli informacyjnej, w tym z informacją o celu i sposobach przetwarzania danych osobowych oraz prawie dostępu do treści swoich danych i prawie ich poprawiania.

Co z ze zgodami na przetwarzanie danych osobowych i klauzulami informacyjnymi pozyskanymi zgodnie z przepisami obowiązującymi do 24 maja 2018 r.?

Zgodnie z motywem nr 171 zawartym w RODO, jeżeli przetwarzanie danych osobowych ma za podstawę zgodę osoby, której dane osobowe są przetwarzane, uzyskaną na podstawie obecnie obowiązującej ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, osoba ta nie musi ponownie wyrażać zgody, jeżeli sposób jej pierwotnego wyrażenia odpowiada warunkom zawartym w RODO.

W RODO nie ma przepisów, które odnoszą się wprost do aktualności obowiązku informacyjnego zrealizowanego zgodnie z dotychczasowymi przepisami. Można spotkać pogląd, iż taką samą zasadę zawartą w motywie nr 171 dotyczącą ważności zgód należy stosować do dotychczasowego obowiązku informacyjnego. Należy jednak mieć na uwadze, iż nowy obowiązek informacyjny zawarty w RODO jest znacznie bardziej rozbudowany niż obowiązujący do 24 maja 2018 roku.

Przedstawiona powyżej informacja nie wyczerpuje tematu, a tylko ma zachęcić do bliższego zapoznania się z RODO. Wiele zagadnień z tego obszernego tematu nie jest wyjaśnionych i oczekuje na interpretacje organów odpowiedzialnych za stosowanie RODO w praktyce, wiele pozostawiono do decyzji administratora danych osobowych, a wiele rozstrzygną w przyszłości dopiero wyroki sądowe.