eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plPrawoPrawo dla biznesuObowiązek informacyjny administratora w świetle RODO. Jakie wyjątki?

Obowiązek informacyjny administratora w świetle RODO. Jakie wyjątki?

2020-04-06 09:25

Obowiązek informacyjny administratora w świetle RODO. Jakie wyjątki?

RODO © Krzysztof - Fotolia.com

Jedną z kluczowych powinności spoczywających na podmiotach będących administratorami danych osobowych stanowi na gruncie RODO obowiązek informacyjny przewidziany przez art. 12-14 Rozporządzenia. Jego istotą jest przekazanie szeregu wskazanych przez przepisy informacji dotyczących przetwarzania danych określonej osoby. W wielu okolicznościach realizacja tej czynności może być dla ADO problematyczna. Jednak, czy w każdym przypadku jest ona bezwzględnie wymagana?

Przeczytaj także: Rok RODO

Informacyjne prawo i obowiązek


Najpowszechniejszą formą, za pośrednictwem której administratorzy spełniają obowiązek informacyjny, jest przekazanie osobom, których dane dotyczą, klauzuli informacyjnej, obejmującej obligatoryjne elementy wskazane w art. 13 oraz 14 RODO. Do najistotniejszych należą tożsamość oraz dane kontaktowe administratora, cele i podstawy prawne przetwarzania danych, jego okres, a także odbiorcy danych. W rzeczywistości wskutek powyższego od niemal dwóch lat obowiązywania ogólnego rozporządzenia o ochronie danych informacje te bombardują nas przy niemal każdej czynności podejmowanej w internecie czy też poza nim.

Dane pozyskane niebezpośrednio od osoby, której dotyczą


Analizując przedmiotowe zagadnienie, nie sposób pominąć faktu, iż europejski ustawodawca nie bez powodu wyodrębnił dwa przepisy regulujące kwestię spoczywającego na administratorach obowiązku informacyjnego. Mianowicie art. 13 odnosi się do sytuacji, gdy dane pozyskiwane są bezpośrednio od osoby, której dotyczą, czyli np. w związku z wypełnianym przez taką osobę formularzem rejestracyjnym w serwisie internetowym administratora. Art. 14 RODO znajduje natomiast zastosowanie, gdy ADO wchodzi w posiadanie danych określonej osoby z innych niż ona sama źródeł, np. z publicznie dostępnych baz i rejestrów, takich jak CEIDG, od innej osoby bądź od innego administratora. Zakres przekazywanych w klauzuli informacyjnej danych odbiega wówczas nieznacznie od tego pierwszego przypadku, m.in. w związku z koniecznością podania źródła, z którego pochodzą dane osobowe.

fot. Krzysztof - Fotolia.com

RODO

Jakie są wyjątki od obowiązku informacyjnego administratora w świetle RODO?


Zwolnienia z obowiązku informacyjnego


Ze względu na specyfikę sytuacji, w której administrator nie pozyskuje danych osobowych wprost od ich podmiotu, art. 14. ust. 5 RODO przewiduje kilka wyjątków, które zwalniają administratora od spełnienia rzeczonej powinności. Stosownie do przywołanego przepisu są to następujące sytuacje:
  • osoba, której dane dotyczą, dysponuje już tymi informacjami,
  • udzielenie takich informacji jest niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku, w szczególności w przypadku przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych,
  • prawo unijne lub prawo państwa członkowskiego, któremu podlega administrator, regulują kwestie informowania osób, których dane są przetwarzane,
  • dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie unijnym lub w prawie państwa członkowskiego.

Osoba, której dane dotyczą, dysponuje już wszystkimi niezbędnymi informacjami


W praktyce okoliczność ta będzie sprowadzała się raczej do możliwości częściowego zwolnienia ADO z jego obowiązku. Aby bowiem w pełni skorzystać z tego wyłączenia, osoba, której dane dotyczą, musiałaby dysponować już wszystkimi informacjami wymaganymi przez przywołane przepisy. O ile w zakresie znajomości tożsamości czy danych kontaktowych administratora jest to realne (np. w związku z tym, że ADO przetwarza już dane tej osoby, lecz w odmiennych celach), o tyle w odniesieniu do podstaw, czasu przetwarzania czy kręgu odbiorców jest to mało prawdopodobne. Na szczególną uwagę zasługuje fakt, iż dowiedzenie okoliczności, że osoba, której dane dotyczą, posiadała uprzednio wszystkie stosowne informacje, spoczywa na administratorze, co może okazać się nad wyraz kłopotliwe. Przykładowo możemy wyobrazić sobie sytuację, gdy pracodawca przetwarza dane osobowe pracowników, w związku z czym realizuje wobec nich obowiązek informacyjny w tym zakresie. Po czasie pracodawca decyduje się na wykorzystanie wizerunku pracowników w celach promocyjnych marki, tworząc nowy cel przetwarzania, które pociągać będzie za sobą odmiennych odbiorców oraz okres przechowywania, o czym należy poinformować pracowników.

Niewspółmiernie duży wysiłek administratora danych


Ustawodawca nie precyzuje, co należy rozumieć przez „niewspółmiernie duży wysiłek”. Można domniemywać, że chodzi tu o konieczność dostarczenia klauzuli informacyjnej szerokiemu kręgowi osób bądź o znaczne koszty z tym związane. Nic bardziej mylnego. Z błędu wyprowadził nas bowiem Prezes UODO w decyzji nakładającej na Bisnode pierwszą karę finansową za niezgodność z RODO, którą co do zasady potwierdził również WSA w Warszawie. Ukarana spółka, przetwarzając dane wielomilionowej grupy przedsiębiorców, zrealizowała obowiązek informacyjny względem osób, których adres e-mail posiadała, zaniechując wysyłki blisko 7 milionów listów z klauzulami drogą tradycyjną do reszty podmiotów, co wygenerowałoby koszt 30 milionów złotych. Uznano, że skala taka nie świadczy o niewspółmiernie dużym wysiłku administratora, który zdaniem organu nadzorczego nie podlegał temu zwolnieniu.

Równocześnie nie należy zapominać, iż zgodnie z zasadą minimalizacji danych usankcjonowaną przez RODO administrator nie może przetwarzać więcej danych, niż jest to niezbędne do osiągnięcia celu przetwarzania. Zatem do realizacji obowiązku informacyjnego należy wykorzystać posiadane już dane, a skorzystanie z przesłanki zwalniającej może mieć miejsce dopiero w przypadku całkowitego braku danych kontaktowych osoby, której dane dotyczą.

Pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem


Wyjątek ten ma zastosowanie wyłącznie w sytuacji, gdy określona norma prawna nakłada na administratora obowiązek przekazania danych osobowych konkretnemu podmiotowi bądź kategorii podmiotów. Zaakcentowania wymaga jednak, że przepis ten odwołuje się wyraźnie do kategorycznego obowiązku, nie zaś do uprawnienia czy możliwości udostępnienia danych. W praktyce dyspozycja ta będzie wykorzystywana zasadniczo przy przekazywaniu danych między organami administracji publicznej oraz w toku prowadzonych przez nich postępowań.

Tajemnice zawodowe


Ostatnia z przesłanek wyłączeń obowiązku informacyjnego dotyczy konieczności zapewnienia poufności danych osobowych związanej z przewidzianą prawem tajemnicą zawodową. Ze zwolnienia tego skorzystać mogą przede wszystkim radcowie prawni oraz adwokaci (np. w odniesieniu do świadków), a także przedstawiciele wszystkich zawodów, co do których poszczególne przepisy nakładają obowiązek zachowania tajemnicy zawodowej, której realizacja obowiązku informacyjnego nie może naruszyć. W tym miejscu należy jednak zwrócić uwagę na konieczność każdorazowej weryfikacji przepisów ustanawiających określoną tajemnicę i dokładne zbadanie jej zakresu.

Przepisy krajowe


Pewne zwolnienia z obowiązku informacyjnego wprowadził także polski ustawodawca. Na gruncie ustawy o ochronie danych osobowych z 10 maja 2018 r. administrator wykonujący zadanie publiczne nie przekazuje informacji o zmianie celu przetwarzania, jeżeli służy ona realizacji zadania publicznego, a przekazanie tych informacji uniemożliwi lub znacząco utrudni prawidłowe jego wykonanie, zaś interes lub podstawowe prawa lub wolności osoby fizycznej nie są nadrzędne względem interesu wynikającego z realizacji tegoż zadania lub naruszyłoby to ochronę informacji niejawnych.

Co istotne, przywołana ustawa przewiduje również wyłączenia stosowania art. 13 i art. 14 RODO w przypadku działalności dziennikarskiej opartej na przepisach prawa prasowego.

Jak można zauważyć, nie wszystkie przytoczone przesłanki zwalniające są jednoznaczne, a możliwość ich zastosowania wymaga dogłębnej i starannej analizy ze strony administratorów. Mając jednak na uwadze dotychczasowe stanowisko Prezesa UODO w tym zakresie, każdy obserwator z niecierpliwością oraz obawą oczekuje kolejnych wypowiedzi dotyczących tej materii.

Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ

Komentarze (0)

DODAJ SWÓJ KOMENTARZ

Eksperci egospodarka.pl

1 1 1

Wpisz nazwę miasta, dla którego chcesz znaleźć jednostkę ZUS.

Wzory dokumentów

Bezpłatne wzory dokumentów i formularzy.
Wyszukaj i pobierz za darmo: