EDPO

EDPO - Ochrona Danych Osobowych
Magdalena Gujska 2017-10-03

Rozszerzony obowiązek informacyjny

Czy kupując bilet do kina przez Internet wiecie komu przekazujecie swoje dane i co się z nimi stanie po wyjściu z kina? Czy rejestrując kartę lojalnościową oferowaną przez swój ulubiony sklep jesteście przekonani, że podane dane nie będą przekazane innej firmie? Jeśli nie, to od maja 2018 r. będziecie mieć takie informacje.

Wszystko za sprawą tzw. rozszerzonego obowiązku informacyjnego, który wprowadza RODO. Tak naprawdę obowiązująca ustawa o danych osobowych mówi o tym, że administrator, w momencie zbierania od nas danych, musi podać konkretne informacje o sobie i o tym, w jakim celu potrzebne mu są dane. W praktyce, albo nie jest to stosowane, albo małym drukiem na samym końcu formularza podana jest krótka informacja np.:

Wyrażam zgodę na przetwarzanie moich danych osobowych przez XXX SA z siedzibą w Mieście w celach marketingowych, w tym w celach marketingowych klientów XXX SA. Podanie danych osobowych jest dobrowolne. Osobie, której dane dotyczą przysługuje prawo wglądu do danych osobowych oraz ich poprawiania.”.

Powyższa klauzula oznacza, że zarówno spółka XXX z siedzibą w Mieście, jak i jej klienci otrzymają nasze dane osobowe. O tym, kto dokładnie jest klientem nie zostaliśmy jednak poinformowani i nie wiemy komu spółka XXX przekaże informacje o nas. W konsekwencji nasza skrzynka mailowa może zostać zapełniona niepotrzebnym spamem, a my będziemy się głowić nad tym, czy rzeczywiście tak bezmyślnie „szastaliśmy” naszymi danymi.

Od maja 2018 r. wszystkie firmy, organizacje, urzędy i inne podmioty będą musiały w momencie zbierania od nas zgody na przetwarzanie danych osobowych podać informacje o sobie. Nowe prawo sprawi, że tych informacji będzie dużo więcej niż dotychczas; nie zdziwcie się więc, jeśli formularz zgody będzie składał się z dwóch stron formatu A4.

Czego możemy się spodziewać po nowych formularzach zgód?

Administrator danych, czyli firma lub instytucja, która odbiera od nas bezpośrednio zgodę na przetwarzanie danych i „zarządza” naszymi danymi musi podać nam wszystkie podane poniżej informacje:

  • swoją tożsamość i dane kontaktowe

Administrator podaje pełną nazwę swojej firmy i dane zapewniające skuteczny kontakt: adres, telefon, email, i np. adres facebookowy – jako kontakt dodatkowy.

  • dane kontaktowe inspektora ochrony danych

W przypadku gdy administrator danych powołał inspektora ochrony danych, czyli w skrócie osobę, która czuwa nad przestrzeganiem przepisów o ochronie danych w firmie, podaje co najmniej jej imię i nazwisko, adres mailowy lub telefon.

  • cele przetwarzania danych osobowych

Celem przetwarzania może być np. rezerwacja biletu, marketing, rozsyłanie newslettera lub proces rekrutacji.

  • podstawa prawna przetwarzania

Najczęściej występującymi podstawami prawnymi do przetwarzania naszych danych osobowych będą art. 6 ust. 1 lit. a, b i c RODO – czyli zgoda Kowalskiego, wykonanie umowy, której stroną jest Kowalski oraz spełnienie obowiązku prawnego ciążącego na administratorze (Kowalski przekazuje dane do właściwego urzędu w celu wydania mu dowodu osobistego.)

  • prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią

Administrator danych może przetwarzać nasze dane osobowe w sytuacji, gdy jesteśmy jego klientem lub współpracujemy z nim. Prawnie uzasadnione interesy to także przetwarzanie naszych danych w celu marketingu bezpośredniego lub przetwarzanie jest niezbędne do zapobiegania oszustwom.

UWAGA: Organy publiczne realizując swoje ustawowe zadania nie mogą powoływać się na przesłankę prawnie uzasadnionych interesów, w związku z tym nie znajdziemy tej informacji w proponowanych przez nie klauzulach.

  • informacje o ewentualnych odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją

Informacje o klientach, firmach współpracujących, którym będą przekazywane dane – jeżeli administrator danych będzie podejmował takie czynności.

  • informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia odpowiedniego stopnia ochrony […] wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych.

W tym punkcie otrzymamy informację, czy nasze dane będą przekazywane do państwa trzeciego (ogólnie rzecz ujmując państwo trzecie to państwo, w którym nie obowiązują przepisy unijnego rozporządzenia o ochronie danych).

Jeśli będą, otrzymamy również informacje, czy te kraje stosują odpowiednie zabezpieczenia i czy zapewniają bezpieczeństwo naszych danych. Administrator powinien nas poinformować także o tym, w jaki sposób i gdzie możemy uzyskać kopię przekazywanych danych.

W przypadku gdy państwo trzecie nie zapewnia odpowiedniego stopnia ochrony, przekazywanie danych jest możliwe TYLKO w wyjątkowych sytuacjach określonych w RODO pod nadzorem Urzędu Ochrony Danych Osobowych, nie ma więc powodów do obaw.

  • okres, przez który dane osobowe będą przechowywane, a gdy nie jest możliwe wskazanie tej informacji, kryteria ustalania tego okresu

Administrator co do zasady przetwarza nasze dane osobowe po to, żeby osiągnąć jakiś cel. Czasem osiągnięcie celu może być łatwe do określenia w czasie i w takiej sytuacji administrator poda konkretną datę do kiedy czynności przetwarzania będą realizowane, np. kiedy dokonujemy rezerwacji miejsca w kinie, nasze dane służą temu, żeby wymarzone miejsce było przeznaczone właśnie dla nas. W takiej sytuacji dane przetwarzane będą do momentu kiedy dotrzemy do kina i zasiądziemy w wybranym krześle. Administrator może jednak zastrzec, że rezerwacja kończy ważność 30 min przed seansem. Osiągnięcie celu przetwarzania stanowi granice czasowe w jakich nasze dane mogą być przetwarzane przez administratora.

Jednakże czasem określenie do kiedy nasze dane będą przetwarzane nie może zostać precyzyjnie określone i wtedy administrator powinien podać warunki, których zaistnienie spowoduje zakończenie przetwarzania naszych danych. Np. Jeżeli zamówimy w księgarni voucher, dzięki któremu możemy zamówić 2 dowolne książki w dowolnym czasie, to nasze dane będą przetwarzane do czasu wykorzystania tego vouchera. Administrator nie może wskazać konkretnej daty, a tylko zdarzenie (wykorzystanie vouchera) które zakończy przetwarzanie.

  • informacje o prawie do żądania dostępu do danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych

Administrator wskazuje nam uprawnienia związane z naszymi danymi:

  • dostęp do danych;
  • sprostowanie, jeśli dane są nieprawidłowe;
  • usunięcie, m. in. jeśli nie ma podstawy prawnej do dalszego ich przetwarzania (zgoda została cofnięta);
  • ograniczenie przetwarzania, czyli specjalnego oznaczenia przechowywanych danych osobowych tak, aby nie były w przyszłości wykorzystywane;
  • wniesienie sprzeciwu wobec przetwarzania, co skutkuje tym, że administratorowi nie wolno dalej przetwarzać tych danych;
  • prawie do przenoszenia danych, np. w przypadku gdy chcemy przenieść dane ze skrzynki mailowej założonej na serwisie X do poczty na serwisie Y.

O powyższych uprawnieniach napiszemy odrębne artykuły.

  • prawie do cofnięcia zgody w dowolnym momencie

Wyrażenie przez nas zgody na przetwarzanie danych osobowych jest naszą dobrowolną decyzją. Nic też nie stoi na przeszkodzie, żeby się rozmyślić i taką zgodę na przetwarzanie naszych danych osobowych wycofać.

  • informacje o prawie wniesienia skargi do organu nadzorczego

Organem nadzorczym jest dzisiejszy GIODO, którego w maju 2018 r. zastąpi Prezes Urzędu Ochrony Danych Osobowych.

  • informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych

Pisząc wprost: jest to treść informująca nas, czy podanie danych osobowych jest dobrowolne czy jest obowiązkowe. Jeżeli jest obowiązkowe to administrator powinien wskazać z czego taki obowiązek wynika.

  • informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu

To jest bardzo ważna informacja i nowość. Dotychczas firmy zbierały informacje o nas, naszych przyzwyczajeniach, preferencjach, statusie ekonomicznym bez naszej zgody, a nawet wiedzy. Zautomatyzowane podejmowanie decyzji oznacza m.in. oszacowanie naszej zdolności kredytowej na podstawie zebranych informacji z naszego rachunku bankowego. W konsekwencji podjęcia takiej decyzji mogliśmy się okazać dla banku atrakcyjni albo niewiarygodni jako klienci.

Dzięki temu zapisowi zostaniemy poinformowani, że przetwarzane dane o nas posłużą do profilowania lub zautomatyzowanego podjęcia decyzji, a także zostaniemy poinformowani jakie może mieć to dla nas konsekwencje. Od teraz możemy świadomie podjąć decyzję czy chcemy, by po obejrzeniu butów w sklepie internetowym za każdym razem przychodziły nam mailowe oferty lub wyświetlały proponowane oferty.

  • Jeżeli administrator planuje dalej przetwarzać dane osobowe, np. w celach archiwalnych lub naukowych musi nas również o tym fakcie poinformować zanim odbierze zgodę.

Omówione wyżej informacje administrator musi podać w przypadku zbierania danych od osoby, której dane dotyczą, czyli bezpośrednio od nas, którzy świadomie i samodzielnie decydujemy się na przekazanie swoich danych.

W sytuacji, w której administrator danych osobowych gromadzi dane o nas z innych źródeł (np. od swoich kontrahentów) zobowiązany jest podać takie same informacje jak wskazane powyżej oraz dodatkowo:

  • kategorie odnośnych danych

Wskazanie danych osobowych, które administrator pozyskał i przetwarza.

  • źródło pochodzenia danych

Skąd lub od kogo administrator pozyskał nasze dane i ewentualnie wskazanie, czy pochodzą one ze źródeł powszechnie dostępnych.

Np. Podmiot XXX zna nasze imię i nazwisko, wiek, nr tel, e-mail i adres zamieszkania. W ramach swojej działalności współpracuje z firmą YYY, której (oczywiście za naszą zgodą) przekazuje imiona i nazwiska, wiek oraz adres e-mail. W tej sytuacji podmiot YYY powinien wypełnić obowiązek informacyjny, czyli podać wszystkie ww. informacje, a także wskazać, że otrzymał informacje o naszym imieniu i nazwisku, wieku, oraz adresie e-mail od podmiotu XXX

Ważne jest też kiedy obowiązek informacyjny powinien być wypełniony. O ile, w pierwszym przypadku, administrator podaje informacje w momencie odbierania zgody, o tyle w drugiej sytuacji administrator ma do wyboru trzy opcje:

  1. w rozsądnym terminie po pozyskaniu danych osobowych – najpóźniej w ciągu miesiąca – mając na uwadze konkretne okoliczności przetwarzania danych osobowych,
  2. jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą – najpóźniej przy pierwszej takiej komunikacji z osobą, której dane dotyczą; lub
  3. jeżeli planuje się ujawnić dane osobowe innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu.

Jak sami widzicie lista informacji, jakie administrator musi nam przekazać jest długa. A jeszcze musimy to wszystko przeczytać! Zamiast denerwować się, że czytanie długich list zabiera nam cenny czas pamiętajmy, że świadomie dysponując informacjami na nasz temat chronimy coś o wiele cenniejszego – nasze dane i naszą tożsamość. Decydujmy świadomie o nas samych i bądźmy świadomi swoich praw.