Kategorie

Nowe obowiązki informacyjne wobec podmiotu danych po wejściu w życie RODO

Sylwia Czub-Kiełczewska
Specjalista ds. ochrony danych osobowych i informacji niejawnych
Nowe obowiązki informacyjne wobec podmiotu danych po wejściu w życie RODO/ Fot. Fotolia
Nowe obowiązki informacyjne wobec podmiotu danych po wejściu w życie RODO/ Fot. Fotolia
Wraz z wejściem unijnych przepisów rozszerza się katalog praw osób, których dane dotyczą (podmiotów danych). Przede wszystkim RODO podkreśla prawo do przejrzystego i jasnego komunikowania o zasadach przetwarzania danych. Poza tym podmiot danych może w każdej chwili żądać wyczerpujących informacji na temat przetwarzania swoich danych, ich sprostowania, usunięcia (o ile nie stoi to w sprzeczności z przepisami prawa), zaprzestania przetwarzania (jeżeli jest to uzasadnione), przeniesienia lub ograniczenia przetwarzania. Administrator danych ma obowiązek w momencie pozyskiwania danych wypełnić obowiązek informacyjny wynikający z przepisów o ochronie danych osobowych wobec każdej osoby, której dane pozyskał.

Oznacza to, że obowiązek informacyjny należy wykonać zarówno wtedy, gdy pozyskujemy zgodę na przetwarzanie danych, ale także gdy dane są przetwarzane na podstawie innych przesłanek, np. przepisów prawa, dla dobra publicznego, czy zostały udostępnione ADO. Obowiązek informacyjny można wypełnić poprzez umieszczenie odpowiednich informacji bezpośrednio w treści zgody na przetwarzanie danych, w regulaminie usługi, czy poprzez wysłanie maila. Należy to zrobić tak, aby być w stanie udowodnić, że faktycznie został wypełniony.

Ulega rozszerzeniu zakres danych, o których należy poinformować osobę, której dane dotyczą, podczas zbierania jej danych.

Najpierw zobaczmy, jak to wygląda obecnie. Zgodnie z art. 24 i 25 UODO administrator danych w momencie pozyskiwania danych jest zobligowany do podania podmiotowi danych informacji:

  1. Dane ADO w postaci pełnej nazwy i adresu
  2. Celu zbierania danych
  3. Odbiorcach lub kategoriach odbiorców, którym dane będą udostępniane
  4. Prawie dostępu i poprawiania danych
  5. Dobrowolności lub obowiązku podania danych wraz ze wskazaniem przepisu prawa, który narzuca obowiązek podania danych
  6. Źródle pozyskania danych oraz prawie wniesienia sprzeciwu lub żądania zaprzestania przetwarzania danych w przypadku zbierania danych nie bezpośrednio od podmiotu danych

Obowiązku informacyjnego nie trzeba wypełniać, jeżeli wskazuje na to wprost przepis prawa (będzie to na przykład dotyczyło postępowań prowadzonych przez ABW) oraz gdy podmiot danych, posiada już powyższe informacje, jednak bardzo przestrzegam przed lekkomyślnym powoływaniem się na ten argument, gdyż wymaga rzetelnego udowodnienia, że rzeczywiście tak jest, co w praktyce okaże się bardzo trudne (szczególnie, że podmiot danych, może stwierdzić, że nie miał wystarczającej wiedzy). Interes prawny ADO wymaga, aby nie unikał on wypełniania obowiązku informacyjnego.

Od maja 2018 roku oprócz danych, które ADO podawał do tej pory, będzie musiał dodatkowo informować podmiot danych o (art. 14 RODO) o:

  1. Danych kontaktowych ADO oraz Inspektora Ochrony Danych (jeżeli został powołany), np. e-mail i telefon
  2. Gdy przetwarzanie odbywa się na mocy przepisu prawa, należy wskazać ten przepis
  3. Gdy przetwarzanie odbywa się na podstawie prawnie uzasadnionego interesu ADO lub strony trzeciej, należy go wskazać
  4. Gdy przetwarzanie odbywa się na podstawie zgody podmiotu danych o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem
  5. Gdy dane zostały pozyskane nie bezpośrednio od podmiotu danych, źródło pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych
  6. Informacji o zamiarze przekazywania danych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję Europejską odpowiedniego stopnia ochrony. W przypadku przekazania do państwa nie gwarantującego odpowiedniego poziomu ochrony należy podać informację o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych.
  7. Okresie, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu
  8. Prawie do żądania od ADO dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych
  9. Prawie wniesienia skargi do organu nadzorczego (Obecnie do GIODO)
  10. Zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Od momentu stosowania nowych obowiązków informacyjnych zgody na przetwarzanie danych staną się o wiele, wiele dłuższe.

Wcześniej już wspomniałam, że jest wiele form wypełniania obowiązku informacyjnego, jednakże obecnie najczęściej realizuje się go bezpośrednio umieszczając w treści zgody na przetwarzanie danych. O nowej zgodzie na przetwarzanie pisałam tutaj. Jeżeli złożymy zgodę i obowiązek informacyjny może się okazać, że będzie on bardzo długi.

Jednym z nowych obowiązków jest także wynikający z art. 19 RODO obowiązek powiadomienia o sprostowaniu lub usunięciu danych: Administrator informuje o sprostowaniu lub usunięciu danych osobowych lub ograniczeniu przetwarzania, (...) każdego odbiorcę, któremu ujawniono dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. Administrator informuje osobę, której dane dotyczą, o tych odbiorcach, jeżeli osoba, której dane dotyczą, tego zażąda. Porównajmy to do art. 35 ust. 3 UODO: Administrator danych jest obowiązany poinformować bez zbędnej zwłoki innych administratorów, którym udostępnił zbiór danych, o dokonanym uaktualnieniu lub sprostowaniu danych.

Subtelna, jednakże ogromna różnica. Obowiązująca ustawa o ochronie danych osobowych obliguje powiadomić o zmianie danych tylko tych administratorów, którym został udostępniony cały zbiór danych, natomiast RODO wyraźnie wskazuje, że powiadomienia należy dokonać nawet wtedy, gdy udostępnieniu uległy tylko dane jednej osoby. Administrator danych będzie musiał gromadzić dane podmiotów, którym udostępnił dane wraz z kontaktem, na który można będzie dokonać powiadomienia (warto rozważyć już we wniosku o udostępnienie wskazanie formy powiadomienia o zmianie danych podmiotu danych, aby potem nie mieć problemu ze skutecznym wywiązaniem się z tego obowiązku, w szczególności nie narażać się na koszty wysyłania tradycyjnych listów). Pozostaje w mocy zapis, że podmiot danych będzie o tym informowany tylko na żądanie.

Chcesz dowiedzieć się więcej, sięgnij po naszą publikację
VAT w e-commerce od 1 lipca 2021 r.
VAT w e-commerce od 1 lipca 2021 r.
Tylko teraz
Czy ten artykuł był przydatny?
tak
nie
Dziękujemy za powiadomienie
Jeśli nie znalazłeś odpowiedzi na swoje pytania w tym artykule, powiedz jak możemy to poprawić.
UWAGA: Ten formularz nie służy wysyłaniu zgłoszeń . Wykorzystamy go aby poprawić artykuł.
Jeśli masz dodatkowe pytania prosimy o kontakt

Komentarze(0)

Uwaga, Twój komentarz może pojawić się z opóźnieniem do 10 minut. Zanim dodasz komentarz -zapoznaj się z zasadami komentowania artykułów.
    QR Code
    Prawo
    1 sty 2000
    28 wrz 2021
    Zakres dat:
    Zapisz się na newsletter
    Zobacz przykładowy newsletter
    Zapisz się
    Wpisz poprawny e-mail

    Obostrzenia na październik 2021 r.

    Obostrzenia na październik 2021 r. zawarto w nowym rozporządzeniu Rady Ministrów. Aktualne obostrzenia mają zostać przedłużone do 31 października.

    Emerytury groszowe z ZUS wciąż problemem

    Emerytury groszowe z ZUS stanowią coraz częstszy problem. Czy planowane są zmiany dotyczące świadczeń niższych niż minimalne?

    Oszczędzamy mniej, ale regularnie [BADANIE]

    Z danych zebranych przez Intrum wynika, iż 80 procent konsumentów stara się oszczędzać każdego miesiąca. Czy to pozytywny skutek pandemii?

    Reklamacja po wakacjach - jak i kiedy?

    Reklamacja po wakacjach może dotyczyć np. usługi turystycznej, opóźnionego lotu czy noclegu. W jakim terminie należy ją wysłać?

    400 plus na dziecko w żłobku w 2022 r.

    400 plus na dziecko w żłobku w 2022 r.? Podpowiadamy dla kogo przewidziano nowy rodzaj wsparcia.

    Oszustwo "na 14. emeryturę" - co robić?

    Oszustwo "na 14. emeryturę? ZUS przestrzega przed osobami, które oferują pomoc przy wypełnieniu wniosku o świadczenie.

    Zasada niezmienności składu orzekającego - zmiany w k.p.k.

    Zasada niezmienności składu orzekającego sprawia, że zmiana sędziego oznacza przymus prowadzenia procesu od początku – co nikomu nie służy. Jest jednak szansa na poprawę sytuacji.

    Wjazd do Wielkiej Brytanii od 1 października 2021 r. - zmiany

    Wjazd do Wielkiej Brytanii od 1 października 2021 r. będzie możliwy tylko na podstawie ważnego paszportu. Są jednak wyjątki. Jakie?

    Ochrona konsumenta - przepisy uzupełniające weszły w życie

    Przepisy uzupełniające ochronę konsumentów weszły w życie. Zmiany dotyczą m.in. postępowania nakazowego z weksla czy wnoszenia pism do sądu.

    Noc spisowa - GUS wydłuża godziny pracy 25 września

    Noc spisowa zostanie zorganizowana przez GUS w sobotę 25 września. Jak i gdzie będzie można się spisać?

    Kalkulator zmiany oprocentowania kredytu mieszkaniowego

    Kalkulator zmiany oprocentowania kredytu mieszkaniowego. Urząd Ochrony Konkurencji i Konsumentów przygotował kalkulator, dzięki któremu można sprawdzić o ile orientacyjnie wzrośnie rata kredytu, gdy zmieni się jego oprocentowanie. Jak skorzystać z kalkulatora?

    Ubezwłasnowolnienie - zasady, skutki, procedura

    Ubezwłasnowolnienie jest możliwe tylko w określonych przypadkach. Na czym polega? Jakie wywołuje skutki? Jak wygląda procedura?

    Duże zmiany w prawach konsumenta - dyrektywa Omnibus

    Prawa konsumenta. Szykują się rewolucyjne zmiany w ochronie praw konsumenta. Wdrożenie tzw. dyrektywy Omnibus ma wyeliminować nieprawidłowości podczas wyprzedaży. W przypadku obniżki cen towarów, sklepy - tradycyjne oraz internetowe - będą miały obowiązek podawania informacji o najniższej cenie tego produktu lub usługi w ciągu 30 dni przed wprowadzeniem obniżki. Wpłynie to istotnie na przebieg coraz popularniejszych w Polsce wyprzedaży. Co więcej, zabroniona będzie sprzedaż usług finansowych poza lokalem sprzedawcy, gdy ma to miejsce podczas tzw. pokazów lub wycieczek.

    DVB-T2/HEVC. Od kiedy w Polsce nowy standard telewizji?

    DVB-T2/HEVC to nowy standard telewizji Od kiedy pojawi się w Polsce? Na wiele pytań konsumentów ma odpowiedzieć nowa kampania społeczna.

    Sąd okręgowy – od jakiej kwoty? [ZMIANY]

    Sąd okręgowy rozpatruje m.in. sprawy od określonej kwoty wartości przedmiotu sporu. Zmianę tego progu przewiduje projekt przygotowany przez resort sprawiedliwości.

    Turnusy rehabilitacyjne dla emerytowanych rolników

    Możliwość kierowania emerytowanych rolników na turnusy rehabilitacyjne zakłada projekt, który znalazł się w pracach legislacyjnych rządu. Co jeszcze ma się zmienić?

    Renta rodzinna dla studenta pierwszego roku za wrzesień

    Renta rodzinna dla studenta pierwszego roku również za wrzesień? To możliwe, ale trzeba pamiętać o formalnościach. Termin upływa 30 września.

    Sprawy o stwierdzenie nieważności decyzji starszych niż 30 lat

    Nowelizacja Kodeksu postępowania administracyjnego weszła w życie 16 września 2021 r. Co z umorzeniem spraw o stwierdzenie nieważności decyzji starszych niż 30 lat?

    Świadczenie pielęgnacyjne a śmierć dziecka

    Świadczenie pielęgnacyjne nie przysługuje w przypadku śmierci dziecka z niepełnosprawnością. Czy przepisy ulegną zmianie?

    1000 plus – dla kogo?

    1000 plus. Dla kogo przewidziano wsparcie w ramach rodzinnego kapitału opiekuńczego? Prezentujemy najważniejsze założenia.

    Zadośćuczynienie za naruszenie więzi rodzinnej - nowe przepisy

    Przepisy dotyczące zadośćuczynienia za naruszenie więzi rodzinnej weszły w życie. Jakie sytuacje obejmują?

    Zmiany w "500 plus" - nowelizacja uchwalona

    Zmiany w "500 plus" mają dotyczyć przejęcia przez ZUS obsługi programu. Wniosek złożymy tylko elektronicznie. Nowelizacja została uchwalona przez Sejm.

    Punkty spisowe w placówkach ZUS

    Punkty spisowe w placówkach ZUS powstaną w całej Polsce. Jaką pomoc będzie można w nich uzyskać?

    Opieka nad seniorem w miejscu zamieszkania

    Opieka nad seniorami ma być świadczona w miejscu zamieszkania. Rząd planuje zmiany w funkcjonowaniu domów pomocy społecznej.

    Przepisy antylichwiarskie na stałe?

    Przepisy antylichwiarskie zostały uwzględnione w tzw. ustawach covidowych. Ministerstwo Sprawiedliwości pracuje nad nową stałą regulacją.