Analizy

RODO - nowe obowiązki informacyjne wobec podmiotu danych

Co zmieni się od maja 2018 roku?

Biuletyn prawny: Finanse i bankowość | Grudzień 2017

25 maja 2018 r. zacznie obowiązywać ogólne rozporządzenie o ochronie danych osobowych („RODO”). Od tej daty wszystkie procesy przetwarzania danych zachodzące w ramach poszczególnych organizacji, będą musiały pozostawać w zgodności z postanowieniami nowej regulacji.

RODO reguluje m.in. zagadnienia związane z informowaniem osób, których dane dotyczą o przetwarzaniu ich danych osobowych przez administratora danych. Powyższa kwestia wiąże się przede wszystkim z obowiązkiem stosowania przez administratorów tzw. klauzul informacyjnych, zawierających wskazany w art. 13 i 14 RODO katalog informacji jakie należy przekazać podmiotom danych. Katalog ten został znacznie rozszerzony w porównaniu z tym, który przewidują obecnie obowiązujące przepisy Ustawy o ochronie danych osobowych. Od 25 maja 2018 r. administratorzy, podczas pozyskiwania danych osobowych, będą musieli poinformować osoby, których te dane dotyczą dodatkowo m.in. o okresie, przez który dane osobowe będą przetwarzane, o ewentualnym fakcie profilowania i jego konsekwencjach oraz o danych kontaktowych inspektora ochrony danych, jeśli został wyznaczony.

Wobec szerszego zakresu informacji, które należy przekazać podmiotowi danych, z całą pewnością obecnie stosowane komunikaty informacyjne będą musiały zostać odpowiednio zaktualizowane.

Przepisy RODO nie rozstrzygają wprost, czy wobec osób, których dane zostały pozyskane przed 25 maja 2018 r. i wobec których dopełniono obowiązek na podstawie przepisów obowiązujących w momencie zbierania danych, obowiązek informacyjny powinien zostać spełniony ponownie (zostać zaktualizowany).

Powyższe niedoprecyzowanie w RODO powoduje, iż można wyróżnić trzy różne sposoby postępowania wobec podmiotów danych, tj.:

  1. Obowiązek dokonania pełnej realizacji obowiązku informacyjnego zgodnie z RODO;
  2. Obowiązek jedynie doinformowania podmiotu danych w zakresie nowych informacji przewidzianych w RODO (retencja danych, nowe prawa podmiotów danych, inspektor ochrony danych etc.);
  3. Brak obowiązku ponownego informowania w przypadku uznania, iż na podstawie poprzedniego stanu prawnego miała miejsce prawidłowa realizacja obowiązków informacyjnych.

Pośród przedstawicieli polskiej doktryny nie ma jednomyślności co do kwestii aktualizacji obowiązku informacyjnego a opinie są skrajnie podzielone (dostępne publikacje mówią zarówno o braku obowiązku aktualizacji jak i obowiązku pełnej aktualizacji). Z kolei Generalny Inspektor Ochrony Danych Osobowych w udostępnionym na swojej oficjalnej stronie internetowej przewodniku (publikacja „Czy jesteś gotowy na RODO?”) nie odnosi się do tej kwestii w ogóle.

W dniu 29 listopada 2017 r. Grupa Robocza art. 29 przyjęła wytyczne dotyczące przejrzystości przetwarzania danych, w których w sposób ogólny odniosła się do tematu aktualizacji obowiązku informacyjnego, powołując się w tym zakresie na motyw 171 RODO. Treść tego motywu co do zasady wskazuje, iż przetwarzanie które w dniu rozpoczęcia stosowania rozporządzenia (tj. w dniu 25 maja 2018 r.) będzie się toczyć, powinno w okresie dwóch lat przed ww. datą zostać dostosowane do przepisów RODO. W opinii organu oznacza to, że przed dniem 25 maja 2018 r. administratorzy danych powinni dokonać przeglądu wszystkich informacji przekazanych podmiotom danych w związku z przetwarzaniem ich danych osobowych aby upewnić się, że spełniają one wymogi w zakresie zasady przejrzystości wprowadzonej przez RODO. Tym samym, należy przyjąć, że Grupa Robocza art. 29 opowiada się za pierwszym z przedstawionych wyżej sposób postępowania w zakresie obowiązku aktualizacji obowiązku informacyjnego wobec podmiotów danych.

Komentarz eksperta 

Obowiązek informowania osób, których dane dotyczą o przetwarzaniu ich danych osobowych, jest jednym z podstawowych obowiązków administratora danych. Zgodnie z art. 83 RODO, jego niedopełnienie stanowi naruszenie podstawowych zasad przetwarzania oraz praw podmiotów danych, co może skutkować wymierzeniem przez organ nadzorczy administracyjnej kary pieniężnej w wysokości do 20 mln euro, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

Ryzyko nałożenia kary finansowej, jak również ryzyko poniesienia strat wizerunkowych w związku z ewentualnymi skargami lub wnioskami kierowanymi w tym zakresie przez podmioty danych, przemawia za opowiedzeniem się za obowiązkiem pełnej realizacji obowiązku informacyjnego zgodnie z RODO.

Z uwagi na to, że czasu do rozpoczęcia stosowania przepisów RODO jest coraz mniej, już teraz administratorzy danych powinni dokonać inwentaryzacji stosowanych klauzul informacyjnych oraz wdrożyć plan dostosowania ich do warunków nowego unijnego rozporządzenia przed jego wejściem w zastosowanie.

Podstawa prawna:
1. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2016 r., poz. 922 z późn. zm.);
2. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) ((Dz. Urz. UE L 119 z 4.05.2016, z późn. zm.).

Autorzy:
Małgorzata Zdunek, Prawnik, Associate, Deloitte Legal
Łukasz Czujko, Adwokat, Managing Associate, Deloitte Legal 

Subskrybuj "Biuletyn prawny: Finanse i bankowość"

Subskrybuj na e-mail powiadomienia o nowych wydaniach tego biuletynu.

Czy ta strona była pomocna?