Wśród danych

Blog dla przedsiębiorców działających w cyfrowym świecie

  • Michał Nosowski

Jak informować o prawach wynikających z RODO?


Obowiązek dotyczący informowania o przetwarzaniu danych osobowych nadal spędza sen z powiek osobom, które zajmują się stosowaniem RODO w przedsiębiorstwach. Często problematyczne jest określenie nie tylko tego kogo, w jakiej sytuacji (w którym momencie) oraz w jaki sposób informować o przetwarzaniu danych osobowych. Kłopotliwą kwestią okazuje się również to, o czym właściwie należy poinformować osobę, której dane dotyczą, zwłaszcza w sytuacji gdy określona organizacja przetwarza dane osobowe dotyczące różnych osób (klientów, osób otrzymujących newsletter itp.) w związku z istnieniem różnych podstaw prawnych.

Jednym z takich zagadnień jest informowanie osoby, której dane dotyczą o przysługujących jej prawach. Muszę tutaj podkreślić, że wbrew często spotykanym praktykom opartym na zasadzie „kopiuj – wklej”, powinniśmy informować osoby, których dane dotyczą tylko o tych prawach, które rzeczywiście im przysługują - nie zaś o wszystkich możliwych uprawnieniach wynikających z przepisów (które w tej konkretnej sytuacji mogą wcale nie znaleźć zastosowania).

Przykładowo, często w treści obowiązków informacyjnych możemy znaleźć informacje o możliwości cofnięcia zgody na przetwarzanie danych osobowych. Taki komunikat otrzymujemy niekiedy nawet w sytuacji, gdy przetwarzanie danych osobowych nie odbywa się na podstawie zgody, a np. w związku z zawartą umową.

Przepisy RODO mówią generalnie, że administrator powinien poinformować osobę, której dane dotyczą o prawie:

- żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą,

- ich sprostowania,

- usunięcia lub

- ograniczenia przetwarzania oraz o

- prawie do wniesienia sprzeciwu wobec przetwarzania, a także o

- prawie do przenoszenia danych.

Ale nie wszystkie z tych praw przysługują w każdej sytuacji. A powinniśmy informować tylko o tych, które rzeczywiście mogą być wykorzystane przez osobę, której dane dotyczą. Ponadto, w treści Rozporządzenia wskazano, że jeżeli przetwarzanie danych odbywa się na podstawie zgody, powinniśmy w treści obowiązku informacyjnego zamieścić informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem.

O czym więc i kiedy należy informować? Wszystko będzie zależało właśnie od tego, na jakiej podstawie przetwarzamy dane osobowe oraz w jaki sposób to robimy. Zawsze informujemy o możliwości żądania dostępu do danych osobowych, ich sprostowania, usunięcia oraz ograniczenia przetwarzania – prawa te mogą bowiem być realizowane w odniesieniu do przetwarzania danych opartego na każdej z podstaw do ich przetwarzania – czyli zarówno w przypadku zgody, umowy, obowiązku prawnego czy prawnie uzasadnionego interesu administratora danych. Prawa te przysługują również wtedy, gdy przetwarzamy dane w związku z realizacją zadań publicznych albo ochroną żywotnych interesów osoby (np. czyjegoś zdrowia). Te przesłanki jednak nie wystąpią tak często w przypadku przetwarzania danych przez przedsiębiorców, dlatego nie będziemy się nimi zajmować.

O prawie do możliwości żądania przeniesienia danych informujemy wyłącznie w przypadku gdy przetwarzanie odbywa się na podstawie zgody lub w związku z umową zawartą pomiędzy podmiotem, który przetwarza dane, a podmiotem danych (czyt. człowiekiem, którego dotyczą te dane). Dodatkowo, możliwość przeniesienia danych dotyczy tylko danych przetwarzanych w sposób zautomatyzowany. Co to znaczy? Że dane osobowe muszą być przetwarzane przy użyciu np. systemów informatycznych. Jeżeli więc (co w praktyce mało prawdopodobne) przetwarzasz dane tylko przy użyciu tradycyjnych, papierowych kartotek lub zbiorów – nie można skuteczne żądać od Ciebie realizacji prawa do przeniesienia danych.

O prawie do cofnięcia zgody na przetwarzanie danych informujemy oczywiście jedynie wtedy gdy przetwarzamy dane na podstawie zgody. Jeżeli realizujemy kilka celów przetwarzania danych i część z nich opieramy na podstawie zgody (np. wysyłkę newslettera) a część na podstawie np. umowy, warto zastrzec w treści obowiązku informacyjnego, że cofnięcie zgody wpłynie jedynie na te czynności przetwarzania danych, które wynikały z udzielonej zgody (np. przestaniemy wysyłać newsletter, ale nadal będziemy realizować cel jakim jest wykonanie umowy).

Odrębną kwestią jest prawo do złożenia sprzeciwu wobec przetwarzania danych osobowych. Przepisy RODO mówią wyraźnie, że prawo do złożenia sprzeciwu przysługuje wyłącznie w stosunku do danych przetwarzanych w następujących przypadkach :

  1. przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi,

  2. przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora (takich jak np. dochodzenie roszczeń przed sądem albo niektóre działania marketingowe).

I właśnie tylko w tych dwóch sytuacjach należy informować o prawie do złożenia sprzeciwu wobec przetwarzania danych osobowych. To szczególnie istotne, bo wielu ludzi w praktyce myli prawo do sprzeciwu wobec przetwarzania danych z prawem do żądania usunięcia danych. A to są przecież dwa różne uprawnienia, które wywołują nieco inny skutek i mogą zostać zrealizowane w innych okolicznościach. O prawie do sprzeciwu wobec przetwarzania danych pisałem szerzej tutaj.

Dlaczego to wszystko jest takie ważne? Bo Rozporządzenie o ochronie danych nakłada na administratora obowiązek takiego informowania o przetwarzaniu danych, aby osoba otrzymująca informację wiedziała o tym, jakie uprawnienia rzeczywiście jej przysługują – a nie jedynie o tym, jakie są wszystkie możliwe wskazane w przepisach. Ponadto, obowiązek informacyjny powinien być spełniony w sposób przystępny, jasnym i prostym językiem, co nakłada na administratora zobowiązanie do takiego przygotowania treści informacji, aby przeciętny człowiek mógł ją zrozumieć.

I takie też było jedno z założeń stworzenia całego RODO.

#obowiązekinformacyjny #prawaosoby #rodo #gdpr #art13 #art14 #podstawyprzetwarzania

Michał Nosowski

Jestem radcą prawnym specjalizującym się w prawie nowych technologii. Stworzyłem tego bloga po to aby dzielić się swoją pasją - czyli badaniem styku świata IT i prawa.

 

W ramach kancelarii ByteLaw, której jestem współzałożycielem, pomagam głównie startupom, software house'om, freelancerom i ludziom zajmującym się marketingiem internetowym. Jeśli chcesz dowiedzieć się więcej, zapraszam do odwiedzenia strony Kancelarii.

  • Twitter Social Icon
  • LinkedIn Social Icon
  • Facebook Social Icon
  • Instagram Social Icon

Projekt: 2020 Michał Nosowski, Toruń.