Nowe obowiązki informacyjne

Nowe obowiązki informacyjne

System ochrony danych osobowych w krajach Unii Europejskiej czekają nie lada zmiany. Już niebawem, bo od 25 maja 2018 r. zastosowanie znajdą przepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia Dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

Rozporządzenie wyraźnie wzmacnia prawa przysługujące osobom fizycznym w zakresie ochrony i przetwarzania ich danych osobowych. Rozporządzenie RODO będzie miało ogromny wpływ na cały system bezpieczeństwa danych osobowych w firmach lub w organizacjach.

Zwiększenie bezpieczeństwa wiąże się nieodłącznie z koniecznością wprowadzenia nowych rozwiązań przez administratorów danych osobowych, w tym przedsiębiorców. Obecnie obowiązująca ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, nakłada na administratora tych danych szereg obowiązków informacyjnych względem osób, których przetwarzane dane dotyczą. Warto porównać, jak te obowiązki informacyjne zmienią się od 25 maja 2018 r., po rozpoczęciu stosowania RODO.

Zgodnie z art. 24 ust. 1 obecnej ustawy o ochronie danych osobowych, w przypadku zbierania danych osobowychod osoby, której one dotyczą, administrator danych jest zobowiązany do poinformowania tej osoby o:

  1. adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku;
  2. celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych;
  3. prawie dostępu do treści swoich danych oraz ich poprawiania;
  4. dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.

Natomiast w przypadku zbierania danych osobowych nie od osoby, której dane dotyczą, zgodnie z art. 25 ust. 1 obowiązującej ustawy o ochronie danych osobowych, administrator danych dopełnia powyższego obowiązku informacyjnego, poszerzając go przy tym o:

  1. źródło pochodzenia danych osobowych,
  2. informację o uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 8, tj. wniesienia żądania zaprzestania przetwarzania jej danych ze względu na jej szczególną sytuację oraz wniesienia sprzeciwu wobec przetwarzania jej danych w celach marketingowych lub wobec przekazania danych innemu administratorowi (w przypadkach wymienionych w art. 23 ust.1 pkt 4 oraz 5 UODO).

Decyzja, co do sposobu przekazania powyższych informacji, jest pozostawiona administratorowi danych. Obowiązująca ustawa nie przewiduje szczególnych wymagań co do formy ich przekazania.

Powyższa reguła, jak i zakres przekazywanych informacji, ulegną zmianie na skutek zastosowania nowych przepisów ogólnego rozporządzenia o ochronie danych.

Ustawodawca unijny, już w preambule do Rozporządzenia, które będzie stosowane od 25 maja 2018 r., wskazuje na cel i kierunek zmian w systemie ochrony danych osobowych:

_Wszelkie przetwarzanie danych osobowych powinno być zgodne z prawem i rzetelne. Dla osób fizycznych powinno być przejrzyste, że dotyczące ich dane osobowe są zbierane, wykorzystywane, przeglądane lub w inny sposób przetwarzane oraz w jakim stopniu te dane osobowe są lub będą przetwarzane. Zasada przejrzystości wymaga, by wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem tych danych osobowych były łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem. Zasada ta dotyczy w szczególności informowania osób, których dane dotyczą, o tożsamości administratora i celach przetwarzania oraz innych informacji mających zapewnić rzetelność i przejrzystość przetwarzania w stosunku do osób, których sprawa dotyczy, a także prawa takich osób do uzyskania potwierdzenia i informacji o przetwarzanych danych osobowych ich dotyczących. (…) _

– Motyw 39 Preambuły RODO

Jeżeli dane osobowe będą zbierane od osoby której dotyczą, administrator danych osobowych w momencie pozyskiwania danych, będzie zobowiązany do przekazania jej następujących informacji (zgodnie z art. 13 ust. 1 i 2 RODO):

  1. tożsamość i dane kontaktowe administratora danych lub jego przedstawiciela (jeśli ma to zastosowanie),
  2. dane kontaktowe inspektora ochrony danych (jeżeli został powołany),
  3. cel przetwarzania danych osobowych,
  4. podstawę prawną przetwarzania danych osobowych,
  5. prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią (w niektórych przypadkach),
  6. informacje o odbiorcach danych osobowych lub o kategoriach odbiorców,
  7. informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych (w niektórych przypadkach),
  8. okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe - kryteria ustalania tego okresu,
  9. informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych,
  10. informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem (jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) Rozporządzenia)
  11. informacje o prawie wniesienia skargi do organu nadzorczego,
  12. informacje, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych,
  13. informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4 Rozporządzenia, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Zgodnie z art.14 RODO w przypadku zbierania danych nie od osoby, której dane te dotyczą, obowiązek informacyjny ulega poszerzeniu o:

  1. źródło pochodzenia danych osobowych, a gdy ma to zastosowanie – informację czy pochodzą one ze źródeł publicznie dostępnych,
  2. kategorie odnośne danych osobowych.

Przyglądając się powyższym przepisom bardziej szczegółowo, można stwierdzić, że ustawodawca unijny wprowadza znacznie szerszy zakres informacji, które należy przekazać osobom od których pozyskiwane są dane osobowe, niż ma to miejsce obecnie - podczas obowiązywania ustawy o ochronie danych osobowych.

Rozszerzone wymagania wprowadzone przez Rozporządzenie RODO sprawią, że zwiększy się obszerność informacji, których przekazanie będzie konieczne. Każdy administrator danych osobowych jest zobowiązany do zadbania o to, by w momencie rozpoczęcia stosowania nowego rozporządzenia o ochronie danych osobowych (RODO) przekazywać wszystkie wymagane prawem informacje podczas procesu zbierania danych osobowych.

Made with by Integree.eu