eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plPrawoPrawo dla biznesuRODO: nowy i zmieniony obowiązek informacyjny

RODO: nowy i zmieniony obowiązek informacyjny

2017-10-20 10:13

RODO: nowy i zmieniony obowiązek informacyjny

Ochrona danych osobowych © thodonal - Fotolia.com

25 maja 2018 r. zacznie obowiązywać Rozporządzenie Parlamentu Europejskiego i Rady z 27 kwietnia 2016 r. (UE) 2016/679 c, (Dz. Urz. UE z 2016 r. L 119 s.1), skrótowo zwane: GDPR lub RODO. RODO to bez wątpienia bardzo potrzebny krok do przodu jeśli chodzi o ochronę danych osobowych zarówno w Europie, jak i samej Polsce. Zmienia się rzecz najważniejsza tj. podejście do problemu, jakim jest ochrona danych osobowych. Dotychczasową praktyką była konieczność spełnienia często iluzorycznych obowiązków wynikających zarówno z polskiej ustawy o ochronie danych osobowych, a także szeregu aktów wykonawczych jej towarzyszących. Od przyszłego roku ochrona ma być przede wszystkim bardziej „realna” względem przetwarzanych danych osobowych.

Przeczytaj także: RODO - tylko pół roku na wdrożenie

RODO swoim zakresem wprowadza szereg zmian związanych z prawidłowym pozyskiwaniem i przetwarzaniem danych osobowych, daje nowe uprawnienia osobom fizycznym a także wprowadza szereg zmienionych obowiązków w zakresie chociażby konstrukcji zgody osoby fizycznej na przetwarzanie danych czy też obowiązku informacyjnego obejmującego przetwarzanie danych.

W treści niniejszego artykułu chciałbym skupić się na zmianie w mojej ocenie najważniejszej – tj. nowym i rozbudowanym obowiązku informacyjnym.

RODO zdecydowanie rozszerza obowiązek informacyjny jaki Administratorzy Danych Osobowych będą musieli spełnić w stosunku do osób, których dane osobowe pobierają a następnie przetwarzają. Istotnym jest przeanalizowanie preambuły RODO w jej 60 motywie oraz treści art. 12 i 13 RODO.

Istotą motywu numer 60 preambuły RODO pozostaje określenie rzetelnego i przejrzystego przetwarzania danych osobowych osoby, której dane dotyczą. Co za tym idzie, każdy Administrator powinien podać osobie, której dane dotyczą, wszelkie inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania, uwzględniając konkretne okoliczności i konkretny kontekst przetwarzania danych osobowych. Ponadto, należy poinformować osobę, której dane dotyczą, o fakcie profilowania oraz o konsekwencjach takiego profilowania. Jeżeli gromadzi się dane osobowe od osoby, której dane dotyczą, należy ją też poinformować czy ma ona obowiązek je podać oraz o konsekwencjach ich niepodania. Informacje te można przekazać w połączeniu ze standardowymi znakami graficznymi, które w widoczny, zrozumiały i czytelny sposób przedstawią sens zamierzonego przetwarzania.

fot. thodonal - Fotolia.com

Ochrona danych osobowych

RODO rozszerza obowiązek informacyjny jaki Administratorzy Danych Osobowych będą musieli spełnić w stosunku do osób, których dane osobowe pobierają a następnie przetwarzają.


W art. 12 RODO, ustawodawca opisał w jakiej formie obowiązek ten ma zostać spełniony. Przekazywana informacja w swojej treści, poza jej prostotą i jasnością przekazu, ma być zwięzła, przejrzysta, zrozumiała i dostępna w łatwej formie. RODO, dopuszcza różne formy przekazu wymaganych informacji o przetwarzaniu danych. Poza powszechna formą pisemną, w grę wchodzi również forma elektroniczna, a także forma ustna – gdy takie jest żądanie wnioskodawcy, o ile innymi sposobami potwierdzi on swoją tożsamość.

Co musi się znaleźć się w naszej informacji dotyczącej zbierania danych osobowych od osoby, której dane dotyczą?


Zgodnie z art. 13 ust. 1 i 2 RODO, do niezbędnych elementów informacyjnych zaliczyć należy podanie:
  • swojej tożsamości i danych kontaktowych oraz, gdy ma to zastosowanie, tożsamości i danych kontaktowych swojego przedstawiciela;
  • gdy ma to zastosowanie – danych kontaktowych inspektora ochrony danych;
  • celu przetwarzania danych osobowych, oraz podstawy prawnej przetwarzania;
  • informacji o odbiorcach danych osobowych lub o kategoriach odbiorców;
  • informacji o zamiarze transferu danych osobowych do państwa trzeciego, ze szczególnym uwzględnieniem:
    • przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej;
    • stwierdzenia lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony;
    • lub - w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi RODO - wzmianki o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych;
  • okresie, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteriach ustalania tego okresu;
  • informacji o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
  • jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) RODO – informacji o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
  • informacji o prawie wniesienia skargi do organu nadzorczego;
  • informacji czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
  • informacji o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Rozbudowany obowiązek informacyjny, w zakresie wskazanym powyżej niejednokrotnie powodował będzie problem w zakresie prawidłowego konstruowania klauzuli informacyjnej w sposób prosty i jasny, zwięzły, przejrzysty, zrozumiały i dostępny w łatwej formie (art. 12 RODO).

Bez wątpienia dzisiejsze klauzule informacyjne składające się z 2, 3 zdań zostaną wyparte przez klauzule swoja treścią obejmujące nawet do 1,5 strony A4. Niestety, ich brak stanowić będzie ciężkie naruszenie ochrony danych osobowych (art. 83 ust. 5 lit. b RODO), co w konsekwencji prowadzić może do nałożenia kary pieniężnej w wysokości nawet do 20.000.000 mln Euro, a w przypadku przedsiębiorstw do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku, przy czym zastosowanie ma kwota wyższa.

Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ

Komentarze (0)

DODAJ SWÓJ KOMENTARZ

Eksperci egospodarka.pl

1 1 1

Wpisz nazwę miasta, dla którego chcesz znaleźć jednostkę ZUS.

Wzory dokumentów

Bezpłatne wzory dokumentów i formularzy.
Wyszukaj i pobierz za darmo: