Ogólne Rozporządzenie o ochronie danych osobowych („Rozporządzenie”), które znajdzie zastosowanie od 25 maja 2018 r. istotnie zwiększy zakres informacji, które podmiot pozyskujący dane będzie zmuszony przekazać osobie, której dane dotyczą. Co więcej Rozporządzenie wprowadzi bezpośrednią odpowiedzialność za niespełnienie tego obowiązku.
Zasady rzetelnego i przejrzystego przetwarzania danych osobowych wymagają, by osoba, której dane dotyczą, była informowana o prowadzeniu i celach operacji przetwarzania jej danych. Dlatego też podmioty, które gromadzą dane – szczególnie z wykorzystaniem systemów informatycznych (takich jak SalesManago) są na gruncie także obecnie obowiązującej Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych („Ustawa”) zobowiązane do udzielania osobie, której dane dotyczą minimalnego, enumeratywnie wskazanego zakresu informacji.
Obowiązek informacyjny obecnie
Ustawa rozróżnia 2 przypadki zbierania danych:
- bezpośrednio od osoby, której dane dotyczą
- nie od osoby, której dane dotyczą
Rozróżnienie to jest bardzo istotne w aspekcie wymogu udzielenia stosownych informacji o podmiocie przetwarzającym dane, celu, podstawie oraz zakresie przetwarzania. I tak w pierwszym przypadku zgodnie z art. 24 Ustawy podmiot gromadzący dane jest zobowiązany do udzielenia osobie, której dane dotyczą informacji o:
- adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna – o miejscu swojego zamieszkania oraz imieniu i nazwisku
- celu zbierania danych, a w szczególności o znanych administratorowi w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych
- prawie dostępu do treści swoich danych oraz ich poprawiania
- dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej
Informacji wskazanych powyżej administrator nie musi udzielać, gdy przepis innej ustawy zezwala na przetwarzanie danych bez ujawniania faktycznego celu ich zbierania (jak np. w przypadku działania służb) oraz gdy osoba, której dane dotyczą posiada wskazane informacje, a więc zna administratora oraz orientuje się co do celu przetwarzania.
Przypadek pozyskiwania danych nie od osoby, której one dotyczą zachodzi w sytuacji, w której podmiot przetwarzający dane pozyskuje dane od innych podmiotów np. kupuje albo przejmuje zbiory innego podmiotu. Wobec tego podmiot, który nabył albo przejął dane jest zobowiązany dodatkowo poinformować osobę, której one dotyczą o źródle tych danych oraz uprawnieniach w zakresie możliwości wyrażenia żądania zaprzestania bądź sprzeciwu przetwarzania danych. Informacja w zakresie dobrowolności albo obowiązku podania danych nie jest w tym wypadku konieczna.
Katalog wyłączeń obowiązku informacyjnego w opisanym powyżej przypadku jest rozszerzony o sytuacje w których pozyskane dane są niezbędne do prowadzenia badań naukowych, dydaktycznych, historycznych, statystycznych lub badań opinii publicznej, ich przetwarzanie nie narusza praw lub wolności osoby bądź gdy dane przetwarzane są przez podmioty publiczne lub podmioty niepubliczne realizujące zadania publiczne.
Dla zastosowania powyższych zasad informowania nie ma znaczenia, w jaki sposób dane są zbierane, w jaki sposób utrwalane ani też jaki charakter ma zbiór, do którego są one wprowadzane.
Podstawa legalności przetwarzania
Co ważne należy stwierdzić, że podanie przez administratora informacji jest koniecznym warunkiem legalności zbierania danych i niespełnienie przez administratora danych obowiązków informacyjnych przewidzianych w Ustawie powoduje, że przetwarzanie danych jest sprzeczne z prawem co może w konsekwencji prowadzić do odpowiedzialność administratora, w tym również odpowiedzialności karnej.
Co nowego?
Cel nowych regulacji jest tożsamy z celem obowiązujących zasad. W uzasadnieniu Rozporządzenia podkreślono dodatkowo, że osobę, której dane dotyczą należy poinformować o fakcie profilowania oraz o konsekwencjach takiego profilowania. Ponadto jeżeli w obecnych przepisach nie ma dyspozycji w zakresie sposobu wyrażenia informacji o procesie przetwarzania to w Rozporządzeniu wskazano, że informacja powinna w zrozumiały i czytelny sposób przedstawić sens zamierzonego przetwarzania.
Rozporządzenie wskazuje też czas przekazania informacji tj. przekazania jej w momencie zbierania danych, a jeżeli danych nie uzyskuje się od osoby, której dane dotyczą, lecz z innego źródła – w rozsądnym terminie, zależnie od okoliczności.
Co więcej o ile obecnie przetwarzanie danych w celu innym niż zostały one pobrane może wydawać się wątpliwe to Rozporządzenie dopuszcza wprost taką możliwość jednak jednym z koniecznych warunków legalności takiego przetwarzania będzie wcześniejsze poinformowanie osoby, której dane dotyczą o innym celu przetwarzania.
Wobec katalogu wyłączeń obowiązku udzielania informacji należy stwierdzić, że jest on podobny do tego stosowanego obecnie. Obowiązek udzielenia informacji nie zajdzie jeżeli osoba, której dane dotyczą będzie dysponowała stosownymi informacjami, jeżeli utrwalenie lub ujawnienie danych jest wyraźnie przewidziane prawem lub jeżeli poinformowanie osoby, której dane dotyczą, okaże się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku, ewentualnie dane muszą pozostać poufne zgodnie z zachowaniem tajemnicy zawodowej lub ustalonej przez prawo.
Zakres obowiązku informacyjnego w Rozporządzeniu
Ponownie obowiązek informowania jest kategoryzowany w zależności od tego czy dane pobierane są bezpośrednio od osoby bądź nie. Rozbudowany został za to zakres informacji, które podmiot zbierający dane musi przekazać osobie, której dane gromadzi. Wobec pozyskania danych administrator nadal będzie miał obowiązek poinformowania takiej osoby o: swojej tożsamości i gdy ma to zastosowanie o przedstawicielu, celu przetwarzania oraz podstawie prawnej przetwarzania, a także o odbiorcach danych ewentualnie o źródle danych. Nowymi obowiązkami będzie podanie informacji o:
- danych kontaktowych administratora oraz Inspektora Ochrony Danych (jeżeli istnieje obowiązek jego powołania)
- zamiarze przekazania danych do państwa trzeciego, które nie spełnia odpowiedniego stopnia ochrony
- okresie przez który dane będą przechowywane, a gdy nie jest to możliwe kryteria jego ustalenia;
- prawie cofnięcia zgody na przetwarzanie
- prawie wniesienia skargi do organu nadzorczego
- stosowaniu profilowania oraz o znaczeniu i konsekwencjach takiego działania
Konsekwencje
Już teraz, pomimo obowiązku przekazywania informacji o procesie gromadzenia wiele podmiotów nie stosuje klauzul informacyjnych – tym samym łamie prawo i ryzykuje odpowiedzialność wobec braku zaistnienia koniecznego warunku legalności zbierania danych. Rozporządzenie rozbudowuje obowiązek informacyjny i możemy sobie wyobrazić kształt takich klauzul w przypadku rejestracji Użytkownika na platformie sklepu internetowego. W konsekwencji z jednej strony nowe przepisy umożliwiają osobie, której dane są gromadzone uzyskanie szerszej wiedzy w zakresie przetwarzania jej danych, z drugiej zaś mogą być zmorą administratorów w zakresie ich wypełnienia.
Musimy mieć na uwadze, że naruszenie obowiązku informacyjnego będzie mogło narazić administratora na karę pieniężną w wysokości do 20 mln Euro bądź 4 % całkowitego rocznego obroty z poprzedniego roku obrotowego. Naszym zdaniem już teraz należy podjąć działania mające na celu dostosowanie procesów gromadzenia danych osobowych do nowych regulacji wykluczając ryzyko odpowiedzialności w przyszłości.
Poprzednie posty z tej serii:
Nowe zasady przetwarzania i ochrony danych osobowych – ogromne kary finansowe
Prawo do bycia zapomnianym [wpis gościnny]
O autorze
Marcin Kaleta: Aplikant radcowski. Specjalizuje się w prawie z zakresu ochrony danych osobowych, prawie nowych technologii oraz prawie europejskim. Posiada bardzo bogate doświadczenie, którym wspomaga przedsiębiorstwa ściśle związane z branżą IT, eCommerce oraz marketingu wielopoziomowego.
Jest Prezesem Zarządu IT Law Solutions.
Follow
