Jednym z kluczowych założeń RODO, na które zawsze zwracam uwagę w praktyce, jest zapewnienie przejrzystości osobom fizycznym w zakresie tego, co dzieje się z ich danymi osobowymi. RODO wychodzi z prostego założenia: osoba, której dane dotyczą, ma prawo wiedzieć, jakie dane są gromadzone, w jakim celu, na jakiej podstawie i przez kogo są wykorzystywane. I to niezależnie od tego, czy dane zostały pozyskane bezpośrednio od niej, czy z innego źródła.
Właśnie temu służy obowiązek informacyjny RODO, który jest jednym z najbardziej fundamentalnych obowiązków administratora danych. Nie jest to ogólna deklaracja ani zapis „gdzieś w regulaminie”, lecz konkretny, precyzyjnie określony wymóg prawny. Administrator musi poinformować osobę, że jej dane są przetwarzane, oraz jasno wyjaśnić najważniejsze elementy tego procesu.
Zakres obowiązku informacyjnego zależy od sposobu pozyskania danych. Gdy dane są zbierane bezpośrednio od osoby, obowiązek realizowany jest na podstawie art. 13 RODO. Gdy natomiast dane pochodzą z innych źródeł, zastosowanie ma art. 14 RODO. W obu przypadkach celem jest to samo: umożliwienie osobie świadomej kontroli nad jej danymi i realne korzystanie z praw przewidzianych w RODO.
Spis treści
Jak prawidłowo realizować obowiązek informacyjny RODO?
RODO wymaga, aby komunikacja w ramach obowiązku informacyjnego była prowadzona w sposób zwięzły, przejrzysty, zrozumiały i łatwo dostępny. Język przekazu musi być prosty i dostosowany do odbiorcy – w szczególności, gdy informacje są kierowane do dzieci lub osób wymagających szczególnej ochrony.
Administrator jest zobowiązany przekazać wymagane informacje w momencie pozyskiwania danych lub bezpośrednio przed ich zebraniem, a także przy każdej istotnej zmianie – na przykład celu przetwarzania lub rozszerzeniu zakresu danych. Jeśli dane osobowe zostały pozyskane z innych źródeł, informacje te powinny być przekazane w rozsądnym terminie – nie później niż w ciągu miesiąca od ich uzyskania.
Forma przekazania informacji może być dostosowana do sposobu zbierania danych – elektronicznie, papierowo, a w niektórych przypadkach nawet ustnie – pod warunkiem, że sposób ten zapewnia rzeczywisty dostęp do informacji. Celem nadrzędnym jest, aby osoba, której dane dotyczą, miała realną możliwość zapoznania się z tym, co dzieje się z jej danymi, na jakiej podstawie są one przetwarzane i jakie prawa jej w związku z tym przysługują.
Zakres obowiązku informacyjnego RODO – co należy przekazać?
Zarówno art. 13, jak i art. 14 RODO wskazują szczegółowo, jakie informacje administrator musi przekazać osobie, której dane dotyczą. Wśród nich znajdują się m.in.:
- tożsamość i dane kontaktowe administratora (oraz inspektora ochrony danych, jeśli został wyznaczony),
- cele i podstawy prawne przetwarzania,
- informacje o odbiorcach danych (lub kategoriach odbiorców),
- informacje o ewentualnym przekazywaniu danych do państw trzecich lub organizacji międzynarodowych,
- okres przechowywania danych lub kryteria jego ustalania,
- prawa osoby, której dane dotyczą (dostęp, sprostowanie, usunięcie, ograniczenie przetwarzania, sprzeciw, przenoszenie danych, cofnięcie zgody),
- prawo wniesienia skargi do organu nadzorczego,
- informacje o zautomatyzowanym podejmowaniu decyzji, w tym profilowaniu – jeśli ma to zastosowanie,
- źródło danych – w przypadku, gdy nie pozyskano ich od osoby, której dotyczą.
Forma przekazywania informacji
RODO daje pewną elastyczność co do formy wykonania obowiązku informacyjnego. Informacje mogą być przekazane na piśmie, elektronicznie, a w określonych przypadkach – ustnie (np. podczas rozmowy telefonicznej), o ile możliwe jest potwierdzenie tożsamości osoby. Coraz częściej stosuje się również formy graficzne – np. infografiki czy ikony – pod warunkiem, że są one zrozumiałe i jednoznaczne.
Termin i sytuacje wyjątkowe
Zasadą jest, że obowiązek informacyjny powinien być spełniony niezwłocznie – tj. w momencie pozyskiwania danych, a jeśli dane pozyskano z innych źródeł – maksymalnie w ciągu miesiąca. RODO dopuszcza jednak wyjątki, np. w sytuacjach, gdy osoba już dysponuje wymaganymi informacjami, pozyskanie danych jest regulowane przepisami prawa lub ich ujawnienie naruszyłoby tajemnicę zawodową.
Obowiązku informacyjnego można również zaniechać, jeśli udzielenie informacji byłoby niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku – np. w projektach badawczych, archiwalnych lub statystycznych. W takich przypadkach administrator powinien jednak podjąć inne środki służące transparentności – jak np. udostępnienie informacji publicznie.
Koszty i granice żądań
Informacje, o których mowa w art. 13 i 14 RODO, oraz działania podjęte w odpowiedzi na żądania osób (np. w zakresie dostępu do danych) są co do zasady bezpłatne. Administrator może jednak naliczyć opłatę lub odmówić działania, jeżeli żądania są ewidentnie nieuzasadnione lub mają uporczywy charakter – ale to on musi wykazać, że rzeczywiście tak jest.
Konsekwencje braku realizacji obowiązku informacyjnego RODO
Niedopełnienie obowiązku informacyjnego może zostać uznane za naruszenie przepisów RODO, które – w przypadku kontroli organu nadzorczego – może skutkować nie tylko sankcją finansową, ale także uszczerbkiem na reputacji organizacji. Przejrzystość to jeden z filarów zaufania – nie tylko wobec klientów, ale również wobec pracowników, kontrahentów czy pacjentów.
Jak wdrożyć obowiązek informacyjny w praktyce?
Skuteczne wdrożenie obowiązku informacyjnego RODO nie polega na dołączeniu długiego i nieczytelnego regulaminu do formularza kontaktowego. To zaplanowanie całej komunikacji z osobą, której dane dotyczą – od momentu pierwszego kontaktu, przez dostęp do polityki prywatności, aż po reakcję na wnioski dotyczące realizacji praw RODO. Najlepsze praktyki obejmują m.in.:
- skróconą i pełną wersję klauzuli informacyjnej (np. na stronie www),
- prosty i zrozumiały język,
- możliwość kontaktu z administratorem lub inspektorem ochrony danych,
- regularne przeglądy treści klauzul (np. po zmianach w procesach przetwarzania),
- dopasowanie treści do kontekstu (np. odrębna informacja dla kandydatów do pracy, pacjentów, klientów sklepu internetowego).
Polityka prywatności
Polityka prywatności to dokument dla klientów i użytkowników strony internetowej, widoczny najczęściej w stopce strony WWW, realizujący obowiązek informacyjny z art. 13 RODO. Informuje użytkownika, kto i w jakim celu przetwarza jego dane, na jakiej podstawie prawnej oraz jakie prawa mu przysługują. Powinna być napisana jasno, zrozumiale i łatwo dostępna.
Zawiera m.in. dane administratora i (jeśli powołany) inspektora ochrony danych, cele i podstawy przetwarzania, zakres zbieranych danych, informacje o odbiorcach i ewentualnym przekazywaniu danych poza EOG, okres przechowywania oraz prawa osób, których dane dotyczą. Uwzględnia również informacje o cookies i mechanizmach profilowania, jeśli mają zastosowanie.
Polityka prywatności powinna być stale aktualna i dostosowana do sposobu działania administratora – stanowi nie tylko obowiązek prawny, ale również wyraz transparentności i zaufania wobec użytkownika.
Klauzula informacyjna (dla kontrahentów)
Klauzula informacyjna dla kontrahenta to dokument realizujący obowiązek z art. 13 i 14 RODO wobec partnerów biznesowych – zarówno firm, jak i osób fizycznych prowadzących działalność. Przekazywana jest przy nawiązywaniu współpracy (np. przy podpisaniu umowy, wymianie danych kontaktowych).
Informuje o tym, kto jest administratorem danych, w jakim celu i na jakiej podstawie prawnej dane są przetwarzane (np. realizacja umowy), jak długo będą przechowywane, komu mogą być przekazywane oraz jakie prawa przysługują osobom, których dane dotyczą. Dotyczy także osób reprezentujących kontrahenta, pracowników oraz osób wyznaczonych do kontaktu.
Klauzula informacyjna używana podczas rekrutacji
Ten dokument realizuje obowiązek informacyjny z art. 13 RODO wobec osób aplikujących na stanowiska pracy – niezależnie od tego, czy dane zostały przekazane bezpośrednio przez kandydata, czy pozyskane za pośrednictwem portali rekrutacyjnych, poleceń czy kontaktu rekrutera.
Klauzula informuje m.in. o tym, kto przetwarza dane (administrator), w jakim celu (np. przeprowadzenie procesu rekrutacji), na jakiej podstawie prawnej (np. zgoda lub działania przed zawarciem umowy), przez jaki czas dane będą przechowywane, komu mogą zostać udostępnione oraz jakie prawa przysługują kandydatowi (w tym prawo do cofnięcia zgody czy wniesienia sprzeciwu).
Warto pamiętać, że jeśli rekrutacja dotyczy przyszłych procesów, konieczne jest wyraźne wyrażenie zgody na przetwarzanie danych również po zakończeniu bieżącej rekrutacji.
Informacja o przetwarzaniu danych osobowych dla pracownika
Informacja o przetwarzaniu danych osobowych powinna być przekazana każdemu pracownikowi już w momencie nawiązania stosunku pracy lub przy pozyskaniu jego danych – niezależnie od formy zatrudnienia (umowa o pracę, zlecenie, dzieło, B2B). Wynika to z obowiązku informacyjnego zgodnego z art. 13 RODO.
Dokument ten stanowi podstawę przejrzystości przetwarzania danych w kadrach i powinien jasno wskazywać:
- dane administratora (firma, dane kontaktowe),
- podstawy prawne i cele przetwarzania (np. realizacja obowiązków wynikających z prawa pracy, ubezpieczeń, rachunkowości),
- zakres danych przetwarzanych w związku z zatrudnieniem,
- odbiorców danych (np. ZUS, urząd skarbowy, zewnętrzna księgowość lub kadry),
- czas przechowywania danych (zgodnie z obecnymi przepisami od 2019 r. okres ten wynosi 10 lat),
- prawa przysługujące pracownikowi na mocy RODO,
- informację o ewentualnym przekazywaniu danych poza EOG (jeśli dotyczy).
Dla celów dowodowych warto uzyskać od pracownika podpis potwierdzający zapoznanie się z klauzulą. Dokument ten nie tylko spełnia wymogi RODO, ale również porządkuje relacje z pracownikiem w zakresie danych osobowych.
Obowiązek informacyjny RODO to fundament budowania przejrzystości, odpowiedzialności i zaufania. Dobrze skonstruowana klauzula informacyjna, przekazywana w odpowiednim momencie i w zrozumiałej formie, to dowód na odpowiedzialne traktowanie ochrony danych osobowych.
