Jednym z najważniejszych obowiązków każdego Administratora danych osobowych jest realizacja obowiązku informacyjnego względem osób, których dane dotyczą. W jego ramach podawane są podstawowe informacje o przetwarzaniu danych osobowych, istotne z perspektywy podmiotu tych danych.
Rodzaje klauzul informacyjnych
Obowiązek informacyjny realizowany jest najczęściej w formie stosownych klauzul. Treść obowiązku informacyjnego jest zróżnicowana w zależności od tego, czy dane osobowe Adminstrator pozyskał bezpośrednio od osoby, której dane dotyczą – wówczas kwestię jego realizacji reguluje art. 13 RODO, czy też pozyskane zostały przez Administratora z innych źródeł niż podmiot danych – art. 14 RODO. Z tego powodu, w ramach danego celu, mogą funkcjonować dwa rodzaje klauzul informacyjnych, w zależności od źródła pochodzenia danych.
Uniwersalna treść klauzuli informacyjnej
Zakres przekazywanych informacji częściowo pokrywa się w obu przypadkach – zarówno w przypadku danych pozyskanych bezpośrednio jak i pośrednio. W każdym przypadku, w ramach realizacji obowiązku informacyjnego Administrator danych powinien przekazać osobie, której dane dotyczą, następujące informacje:
- swoją tożsamość i dane kontaktowe;
- dane kontaktowe Inspektora Ochrony Danych, jeżeli został powołany;
- cele i podstawę prawną przetwarzania danych osobowych;
- wskazanie prawnie uzasadnionych interesów – jeżeli przetwarzanie odbywa się na ich podstawie;
- informacje o odbiorcach danych osobowych lub o kategoriach odbiorców;
- informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej –gdy ma to zastosowanie.
- okres przechowywania danych osobowych lub kryteria ustalania tego okresu;
- informacje o prawach osoby, której dane dotyczą, w tym o prawie wniesienia skargi do organu nadzorczego;
- jeżeli przetwarzanie odbywa się na podstawie zgody – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
- informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu.
Różnice w treści obowiązku informacyjnego w zależności od źródła danych
W przypadku, gdy dane osobowe zostały pozyskane nie bezpośrednio od osoby, której dane dotyczą – czyli w przypadku obowiązku informacyjnego z art. 14 RODO – oprócz informacji uniwersalnych dodatkowo podaje się:
- kategorie przetwarzanych danych osobowych oraz
- źródło pochodzenia danych osobowych, a gdy ma to zastosowanie, czy pochodzą one ze źródeł publicznie dostępnych.
Z kolei, jeżeli dane pozyskuje się bezpośrednio należy podać informację czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
W jakim czasie należy zrealizować obowiązek informacyjny?
Jeśli Administrator uzyskuje dane osobowe bezpośrednio od osoby, której dane dotyczą – obowiązek informacyjny należy zrealizować podczas ich pozyskiwania. Jeżeli jednak Administrator zbiera dane we własnym zakresie i bez udziału podmiotu danych, w zależności od sytuacji obowiązek informacyjny powinien zostać zrealizowany:
- w rozsądnym terminie po ich pozyskaniu – najpóźniej w ciągu miesiąca – mając na uwadze konkretne okoliczności przetwarzania;
- jeżeli dane osobowe mają być stosowane do kontaktu z osobą, której dane dotyczą – najpóźniej przy pierwszej takiej komunikacji;
- jeżeli planuje się ujawnić dane osobowe innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu.
Inne, ale niemniej ważne wytyczne
Niezależnie od treści wymaganej przepisami, która powinna się znaleźć w klauzuli informacyjnej, bardzo ważne jest zapewnienie, aby treść ta była zrozumiała dla jej odbiorcy – czyli podmiotu danych. Podkreśla się, że niezmiernie istotna w formułowaniu obowiązku informacyjnego jest maksymalnie jasna i przejrzysta treść komunikatu.