Zgodnie z wprowadzonym Rozporządzeniem o Ochronie Danych Osobowych (RODO) obowiązującym we wszystkich krajach Unii Europejskiej, jednym z podstawowych obowiązków przedsiębiorców zbierających i przetwarzających jakiekolwiek dane osobowe jest informowanie swoich klientów o tym fakcie, sposobach oraz celach przetwarzania danych. Powstały dzięki rozporządzeniu obowiązek informacyjny ma być zabezpieczeniem dla osób, których dane dotyczą, pozwalającym na zwiększenie świadomości tego kto i w jaki sposób dysponuje ich prywatnymi danymi osobowymi pozwalającymi na jednoznaczną identyfikację osoby, do której dane te należą. Jak przedsiębiorcy mogą spełnić obowiązek informacyjny wobec klientów, kiedy muszą go dopełnić i o czym muszą informować w ramach istniejącego obowiązku informacyjnego?
Kiedy powstaje obowiązek informacyjny i kogo dotyczy jego spełnianie?
Każdy przedsiębiorca, który zbiera i przetwarza dane osobowe swoich klientów (osób fizycznych) staje się ich administratorem i podlega obowiązkowi informacyjnemu wobec swoich klientów. Zgodnie z RODO, informację o potrzebie i celu zbierania danych należy przedstawić klientowi jeszcze przed rozpoczęciem ich przetwarzania, najlepiej w momencie uzyskiwania zgody na ich przetwarzanie, upewniając się że zgoda ta została udzielona świadomie przed rozpoczęciem przetwarzania danych.
Osoba, której dotyczą przetwarzane dane musi uzyskać informacje na temat samego administratora danych, a także celu przetwarzania danych, ich odbiorców oraz praw przysługujących osobie fizycznej, której dane zostały przekazane do administratora.
Co ważne, jeśli dane osobowe nie są pozyskiwane bezpośrednio od osoby, której dotyczą, przedsiębiorca powinien w dalszym ciągu spełnić obowiązek informacyjny, przekazując go klientowi podczas pierwszego kontaktu z osobą i nie później niż w przeciągu miesiąca od otrzymania danych.
Obowiązek informacyjny powstaje także w sytuacji, gdy administrator danych przekazuje je innemu odbiorcy.
Czy obowiązek informacyjny działa wstecz?
RODO obowiązuje w Polsce od 25 maja 2018 roku i aby dopełnić wszystkich obowiązków wprowadzanych przez nowe rozporządzenie, przedsiębiorcy musieli do tego czasu wystosować do swoich klientów i wszystkich osób, których dane przetwarzają, pełną klauzulę informacyjną wskazującą wszelkie prawa i obowiązki administratora oraz klienta w zakresie przetwarzanych danych. Z powyższego można wywnioskować, że obowiązek informacyjny działa wstecz i jest to po części prawdą, przy czym należy zauważyć, że obowiązek taki pojawia się wyłącznie w sytuacji, gdy administrator zbierał dane osobowe przed datą wejścia w życie zapisów RODO i w dalszym ciągu będzie je przetwarzał, z uwzględnieniem nowych przepisów.
Co do zasady, RODO nie narzuca obowiązku ponownego uzyskiwania zgody na przetwarzanie danych osobowych jeśli przed wejściem w życie nowych przepisów była ona wyrażona w sposób odpowiadający warunkom rozporządzenia. Przedsiębiorca musi spełnić jednak obowiązek informacyjny, przekazując do swoich klientów informację o wprowadzanych zmianach, nowych zasadach przetwarzania danych osobowych oraz prawach m.in. do wycofania zgody i usunięcia danych z bazy administratora.
Obowiązek informacyjny – o czym przedsiębiorca musi informować swoich klientów?
W ramach RODO i wynikającego z niego obowiązku informacyjnego, każdy przedsiębiorca musi informować swoich klientów o przysługujących im prawach oraz obowiązkach administratora danych względem przetwarzanych informacji w formie pisemnej lub elektronicznej klauzuli informacyjnej. Forma przekazu musi być bezwzględnie zwięzła, przejrzysta, zrozumiała dla przeciętnego użytkownika/klienta oraz wyrażona prostym językiem w łatwo dostępnym formacie. Nie można więc decydować się na przesyłanie klauzuli informacyjnej wyłącznie w postaci linka na stronie internetowej, jeśli nie ma absolutnie żadnej pewności, że informacja ta dotrze do użytkownika i zostanie przez niego prawidłowo odczytana.
W ramach klauzuli informacyjnej przedsiębiorca musi przekazać swoim klientom wszystkie informacje odnośnie celów i zasad zbierania i przetwarzania danych osobowych istotne z perspektywy prowadzonej przez niego działalności oraz sposobu pozyskiwania danych. Według art. 13 RODO, jeśli pozyskujemy dane od osoby, której dotyczą, w klauzuli muszą znaleźć się informacje o administratorze danych (nazwa i dane kontaktowe), inspektorze ochrony danych, celu przetwarzania danych osobowych, odbiorcach danych osobowych, okresie, przez który dane są przechowywane, a także prawach osoby, której dane dotyczą. W szczególności należy zaznaczyć, że klient ma prawo dostępu do danych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, a także prawo do wniesienia sprzeciwu wobec przetwarzania, prawo do przenoszenia danych oraz cofnięcia w każdej chwili zgody na ich przetwarzanie.