Aby język giętki powiedział wszystko, co pomyśli… unijny legislator

Lut 01, 2017

Przepisy RODO nakładają na administratorów rozbudowany obowiązek informacyjny. W przepisach tych pozostaje rozróżnienie na dane uzyskane bezpośrednio od osoby, której dane dotyczą, oraz nie bezpośrednio od takiej osoby.

W tym pierwszym przypadku dotychczas administrator danych był zobowiązany poinformować osobę o:

  • swojej nazwie i adresie siedziby,
  • celu zbierania danych,
  • znanych lub przewidywanych odbiorcach danych,
  • prawie dostępu do treści swoich danych i ich poprawiania,
  • dobrowolności lub obowiązku podania danych osobowych.

Pod przepisami RODO zakres informacji, które administrator powinien podać osobie, od której pozyskuje dane, będzie obejmował:

  • tożsamość administratora i jego dane kontaktowe,
  • gdy ma zastosowanie – dane kontaktowe inspektora ochrony danych,
  • cele przetwarzania danych
  • podstawę prawną przetwarzania danych, a jeśli przetwarzanie odbywa się na podstawie przesłanki prawnie uzasadnionego interesu, to także informację o takim uzasadnionym interesie,
  • informacje o odbiorcach danych,
  • gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję Europejską odpowiedniego stopnia ochrony lub o zastosowanych właściwych zabezpieczeniach danych,
  • okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu
  • informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych,
  • jeżeli przetwarzanie danych osobowych odbywa się na podstawie zgody – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem,
  • informacje o prawie wniesienia skargi do organu nadzorczego
  • informacje, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych,
  • informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu (które wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa) oraz istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Jak widać, zakres informacji, które trzeba będzie podać osobie, której dane dotyczą, uległ znaczącemu rozszerzeniu. Administrator będzie miał za zadanie podać wszystkie te informacje już w momencie pozyskiwania danych (podczas pozyskiwania).

W jakiej formie powinny być przekazywane informacje?

Administratorom w kontekście obowiązku informacyjnego związanego ze zbieraniem danych od osoby, której dane dotyczą, są stawiane dodatkowe wymagania.

Dane te mają być przekazane w formie:

  • zwięzłej,
  • przejrzystej,
  • zrozumiałej,
  • łatwo dostępnej,
  • jasnym i prostym językiem (w szczególności, gdy informacje kierowane są do dziecka).

Informacje te można opatrzeć standardowymi znakami graficznymi, które w widoczny, zrozumiały i czytelny sposób przedstawią sens zamierzonego przetwarzania.

Informacji udziela się na piśmie lub w inny sposób, w tym w stosownych przypadkach – elektronicznie. Jeżeli osoba, której dane dotyczą, tego zażąda, informacji można udzielić ustnie, o ile innymi sposobami potwierdzi się tożsamość osoby, której dane dotyczą.

Jakie są konsekwencje naruszenia przepisów RODO?

Naruszenie tych zasad informowania o planowanym sposobie przetwarzania danych będzie zagrożone karą finansową do 20 mln euro, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie będzie mieć kwota wyższa.

Patrząc z jednej strony na zakres informacji, które należy przekazać osobie fizycznej, a z drugiej strony na obowiązek przekazania tych informacji zwięźle, przejrzyście oraz jasnym, prostym językiem, spełnienie tego obowiązku może się okazać karkołomnym wyzwaniem. Oby zatem „język giętki” wyraził wszystko… co wymyślił unijny ustawodawca.

Skontaktuj się z nami

Michał Mastalerz

Michał Mastalerz

Prezes PwC w Polsce, PwC Polska

Tel.: +48 22 746 4000

Obserwuj nas