Jak wykazać realizację obowiązku informacyjnego

Zgodnie z art. 13 i 14 RODO administrator danych jest zobowiązany do przekazania osobom, których dane dotyczą, szeregu informacji. Zakres danych, które mają być przekazane, zależy od tego, czy dane zbierane są bezpośrednio od osoby, której dane dotyczą (art. 13 RODO), czy też administrator danych pozyskał je z innych źródeł (art. 14 RODO).

W pierwszym przypadku administrator danych jest zobowiązany do przekazania koniecznych informacji podczas ich pozyskiwania. Oznacza to, że administrator danych powinien prześledzić proces pozyskiwania danych osobowych od osób, których dane dotyczą i ustalić moment, w którym te dane są zbierane. Jednocześnie administrator danych powinien ustalić, jak w jego przypadku powinny zostać przekazane informacje, o których mowa w art. 13 RODO.

W drugim przypadku administrator danych powinien przekazać informacje, o których mowa w art. 14 RODO, w rozsądnym terminie po pozyskaniu danych osobowych, najpóźniej w ciągu miesiąca, mając na uwadze konkretne okoliczności przetwarzania danych osobowych. Nato­miast jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą, przedmiotowe informacje powinny być przekazane najpóźniej przy pierwszej takiej komunikacji z tą osobą. W przypadku gdy administrator planuje ujawnić dane osobowe innemu odbiorcy, powinien przekazać przedmiotowe informacje osobie, której dane dotyczą, najpóźniej przy ich pierwszym ujawnieniu.
 

Ważne

Zakres informacji przekazywanych osobie, której dane dotyczą, w ramach obowiązku informacyjnego zależy od źródła pozyskania danych (czy dane osobowe były pozyskane od osoby, której dotyczą, czy z innych źródeł).

W zależności od źródła pozyskania danych inny też jest moment, w którym należy przekazać osobie, której dane dotyczą, informacje wymagane w art. 13 i 14 RODO.

Administrator danych powinien zatem w pierwszej kolejności ustalić, jaki rodzaj danych pozyskuje z konkretnych źródeł, aby zdecydować, w którym przypadku powinien przekazać informacje wynikające z art. 13 RODO, a w którym te, które wynikają z art. 14 RODO.


Najczęstszym sposobem przekazania powyższych informacji stosowanym przez administratorów danych są klauzule informacyjne. Treść klauzul powinna być dostosowana do konkretnego procesu przetwarzania danych osobowych oraz źródeł pozyskania danych. Istotne jest natomiast to, że administrator musi być w stanie wykazać, że osoby, których dane dotyczą, w odpowiednim czasie otrzymały stosowną klauzulę informacyjną.

Administrator danych powinien przede wszystkim ustalić stosowne procedury przekazania klauzul informacyjnych, zwłaszcza jeśli dane osobowe są pozyskiwane stacjonarnie od osób, których dane dotyczą, np. poprzez wy­pełnienie papierowego formularza. Osoby te nie muszą podpisywać oświadczenia, że zapoznały się z klauzulą informacyjną, ale administrator powinien być w stanie wykazać, że osoby te rzeczywiście miały możliwość zapoznania się z nią.
 

Wskazówka

Przekazanie klauzuli informacyjnej może w takich sytuacjach polegać np. na wywieszeniu jej w recepcji, w okienku, gdzie przyjmowani są interesanci. Osoba, której dane dotyczą, może dostać wydruk klauzuli informacyjnej (trzeba jednak wskazać w odpowiedniej procedurze, że klienci/petenci otrzymują wydruk klauzuli informacyjnej), klauzula informacyjna może być dołączona do formularza wypełnionego przez osobę, której dane dotyczą itd.

Jak widać z powyższego, sposobów na przekazanie klauzuli informacyjnej jest dużo, jednak bez względu na to, jaki sposób wybierze administrator danych, musi być w stanie wykazać, że w momencie przekazania danych osoby, których dane dotyczą, otrzymują (przynajmniej do wglądu) klauzulę informacyjną.

W momencie kontroli administrator danych musi być w stanie potwierdzić, że klauzula informacyjna została przekazana. Może to zrobić przede wszystkim poprzez przedstawienie procedury pozyskiwania danych, stosowanych wzorów formularzy, ale także poprzez wizję lokalną, okazując miejsca, w których są wywieszone stosowne klauzule informacyjne.


Jeżeli natomiast dane osobowe są pozyskiwane w sposób zdalny, to klauzula informacyjna również powinna być przekazana w adekwatny sposób. W sytuacji gdy dane pozyskiwane są drogą elektroniczną, to również w ten sposób powinna zostać przekazana klauzula informacyjna. Klauzulę informacyjną można przekazać, wysyłając do osoby, której dane dotyczą, maila z samą klauzulą lub z linkiem do klauzuli umieszczanej np. na stronie administratora danych.
 

Wskazówka

Bez względu na sposób przekazywania klauzuli informacyjnej administrator danych powinien być w stanie wykazać, że spełnił obowiązek informacyjny.

Jest to szczególnie istotne w sytuacji, gdy osoba, której dane dotyczą, złoży skargę na administratora danych dotyczącą niespełniania obowiązku informacyjnego. W takiej sytuacji ważne jest, aby administrator danych mógł potwierdzić, np. przedstawiając wiadomość e-mail, z której będzie wynikać, kiedy i jakiej treści przekazał klauzulę informacyjną. Warto również dokumentować, jakiej treści klauzule informacyjne są zamieszczane na stronie internetowej, zwłaszcza jeśli jej treść się zmieniała. Jeżeli nie da się ustalić zmian w treści klauzuli poprzez sprawdzenie systemu, to można jej treść utrwalić chociażby przez wykonanie zrzutu ekranu z treścią klauzuli.