RODO w PR: nowe obowiązki informacyjne administratorów danych osobowych

Table of contents

O tym, że 25 maja 2018 roku w polskim porządku prawnych będzie stosowane rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) pisaliśmy tutaj. W tym artykule przedstawimy najważniejsze zmiany, jakie zostaną wprowadzone do polskiego porządku prawnego na skutek wdrożenia RODO.

Nowe obowiązki informacyjne administratorów

Aktualnie obowiązujące przepisy ustawy o ochronie danych osobowych nakładają na administratorów danych obowiązki informacyjne w zakresie przetwarzania danych osobowych osób, których dane dotyczą oraz ich celu.

Teraz administratorzy mają obowiązek informować w szczególności o: adresie i siedzibie administratora, źródle danych czy celu ich zbierania. RODO poszerza te obowiązki administratorów. Należy podkreślić, że obowiązki wymienione poniżej będą miały zastosowanie zarówno wtedy, gdy dane zostaną zebrane bezpośrednio od osoby, której dotyczą, jak również pośrednio, czyli od innej osoby. Oto one:

  1. obowiązek podania tożsamości administratora danych oraz jego danych kontaktowych, a także, w razie posiadania przedstawiciela – obowiązek podania tożsamości i danych kontaktowych przedstawiciela administratora danych.
  2. obowiązek poinformowania o celach przetwarzania danych osobowych oraz o podstawie prawnej przetwarzania;
  3. obowiązek wskazania prawnie uzasadnionych interesów realizowanych przez administratora danych (jeśli dotyczy);
  4. obowiązek poinformowania o odbiorcach danych osobowych lub o kategoriach odbiorców (jeśli istnieją);

Poza ww. informacjami, administrator podczas pozyskiwania danych będzie zobowiązany podawać osobie, której dane dotyczą, następujące dodatkowe informacje:

  1. o okresie, przez który będą przetwarzane dane osobowe (retencja danych), a gdy nie jest to możliwe, kryteria ustalania tego okresu;
  2. o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
  3. o zamiarze przekazania danych osobowych do państwa trzeciego bądź organizacji międzynarodowych (jeśli dotyczy);
  4. o możliwościach uzyskania kopii danych osobowych bądź o miejscu udostępniania tych danych;
  5. o inspektorze danych osobowych (o ile został wyznaczony);
  6. informację o prawie wniesienia skargi do organu nadzorczego;
  7. informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
  8. informację o profilowaniu.

Jeżeli zbieramy dane osobowe z innego źródła niż od osoby, której dane dotyczą, to oprócz wymogów określonych powyżej, będziemy musieli uzupełnić klauzule informacyjne o:

  1. kategorie odnośnych danych osobowych;
  2. źródło pochodzenia danych osobowych, a jeżeli będzie mieć to zastosowanie, o pochodzeniu ich ze źródeł powszechnie dostępnych.

W związku z poszerzeniem obowiązków informacyjnych administratorów, warto zapoznać się z treścią art. 13 i 14 RODO, które w sposób dokładny wskazują, jakie informacje powinniśmy zawrzeć w klauzulach informacyjnych, zarówno w razie zbierania danych osobowych, od osób, których dane dotyczą, jak i w inny sposób niż od osoby, której dane dotyczą. Tekst rozporządzenia znajdziecie tutaj.

Kiedy zaktualizować klauzule informacyjne

Z uwagi na sporą rewolucję w zakresie obowiązku informacyjnego administratorów, zaleca się przeprowadzenie przeglądu klauzul informacyjnych oraz dokonania ich analizy w kontekście potrzeby ich zmian, aktualizacji czy uzupełnienia już teraz. Pewne jest bowiem, że w związku z poszerzonym katalogiem informacyjnym, administratorzy będą musieli wprowadzić zmiany w zakresie stosowanych klauzul.

Najczęściej stosowaną praktyką, rekomendowaną również przez GIODO, jest informowanie klientów o wprowadzeniu nowych klauzul informacyjnych, które uwzględniać będą wymogi RODO, z okresem ich obowiązywania od 25 maja 2018 roku. GIODO wskazuje jednak, że nieprawidłową praktyką jest przekazywanie niektórych informacji, jak np. dane osobowe inspektora ochrony danych osobowych, ponieważ w obecnym stanie prawnym nie mamy jeszcze inspektorów, tylko administratorów bezpieczeństwa informacji (ABI).


W kolejnym artykule podpowiemy Ci, jak zabezpieczyć dane osobowe w świetle RODO. Nie pomiń żadnego wątku i zapisz się na nasz newsletter: