Częstym problemem w związku z wdrożeniem Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L 119, s. l) – dalej jako RODO – jest realizacja obowiązku informacyjnego w stosunku do podmiotu danych, z którym administrator ma utrudniony kontakt ( np. były pracownik ).
RODO różnicuje obowiązki informacyjne ze względu na to czy dane zostały zebrane od osoby której dotyczą, czy dane nie pochodzą od osoby, której dotyczą.
W drugim przypadku RODO jest dość elastyczne i pozwala zaniechać obowiązku informacyjnego jeżeli jest spełniona jedna z następujących przesłanek:
- a) osoba, której dane dotyczą, dysponuje już tymi informacjami;
- b) udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku; w szczególności w przypadku przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, z zastrzeżeniem warunków i zabezpieczeń, o których mowa w art. 89 ust. 1, lub o ile obowiązek, o którym mowa w ust. 1 niniejszego artykułu, może uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania. W takich przypadkach administrator podejmuje odpowiednie środki, by chronić prawa i wolności oraz prawnie uzasadnione interesy osoby, której dane dotyczą, w tym udostępnia informacje publicznie;
- c) pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą; lub
- d) dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy.
Sytuacja jest bardziej skomplikowana w przypadku gdy dane zostały zebrane od osoby której dotyczą. Tutaj RODO przewiduje tylko jedną przesłankę zwalniającą tj: osoba, której dane dotyczą, dysponuje już tymi informacjami.
Zasada rozliczalności nakazuje przyjąć, iż w powyższym wypadku to Administrator musi jednak być w stanie wykazać (i) jakie informacje, (ii) kiedy i (iii) w jaki sposób przekazał osobie, której dane dotyczą co skutkuje wyłączeniem obowiązku informacyjnego wobec niej.
Jeżeli chcesz dowiedzieć się więcej na temat RODO zapoznaj się z innymi tekstami na ten temat do znalezienia pod tymi linkami: