Jak dopełnić obowiązku informacyjnego, gdy dane są zbierane bezpośrednio

Jednym z ważnych obowiązków, które nakłada na Ciebie rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – zwane dalej RODO, jest obowiązek informacyjny względem osób fizycznych, gdy dane są pobierane bezpośrednio od osoby fizycznej.

Artykuł 13 RODO nakłada na Ciebie jako administratora obowiązek przekazania osobie fizycznej w chwili pobierania danych następujących informacji:

a) nazwa przedsiębiorcy i jego dane kontaktowe,

b) gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych,

c) cele przetwarzania danych osobowych oraz podstawa prawna przetwarzania,

d) gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej,

e) okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu,

f) informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych,

g) jeżeli przetwarzanie odbywa się na podstawie zgody – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem,

h) informacje o prawie wniesienia skargi do organu nadzorczego,

i) informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych,

j) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu.

Obowiązek informacyjny wobec pracowników możesz o wiele łatwiej wypełnić, gdyż jako pracodawca albo masz bezpośredni kontakt z pracownikiem, albo dane umożliwiające lokalizację i dostarczenie informacji pracownikowi. Wskazane wcześniej informacje możesz zatem przekazać w następujący sposób:

• przekazanie informacji bezpośrednio w formie papierowej lub elektronicznej (wiadomość e-mail),
• zapisanie informacji w regulaminie pracy lub podanie do informacji w inny przyjęty u pracodawcy sposób, np. na tablicach ogłoszeń.

Od 25 maja 2018 r. minęło już trochę czasu i można zauważyć kilka sposobów, które stosują przedsiębiorcy, aby wypełnić obowiązek informacyjny. W przypadku przekazywania informacji klientom czy innym kategoriom osób najpopularniejszym sposobem jest obecnie wysyłanie wiadomości e-mailowych z informacjami wymaganymi przez art. 13 ogólnego rozporządzenia o ochronie danych (RODO). Niektórzy przedsiębiorcy wysyłają wiadomości SMS do swoich klientów z linkiem do strony internetowej, gdzie umieszczone są stosowne informacje. Jest to jeden ze sposobów, który można oczywiście wykorzystać. Pozostaje jednak pytanie, co z nowymi klientami?

Po pierwsze możesz przekazać informacje, umieszczając je na karcie klienta czy potwierdzeniu złożenia zamówienia. Dodatkowo możesz spełnić obowiązek informacyjny poprzez umieszczenie stosownej informacji w regulaminie sklepu internetowego, polityce prywatności na stronie internetowej, specjalnej zakładce na stronie internetowej dotyczącej przetwarzania danych osobowych, wywieszenie tablicy informacyjnej w recepcji, umieszczenie informacji w stopce e-mailowej pracowników, zawarcie klauzuli w umowie bądź umieszczenie informacji na fakturze.

Są również przedsiębiorcy, którzy rozdają ulotki czy wrzucają je do skrzynek pocztowych. Moim zdaniem ten sposób spełnienia obowiązku informacyjnego może być niewłaściwy z uwagi na zasadę rozliczalności i brak możliwości udowodnienia spełnienia tego warunku – jak udowodnisz, że wrzuciłeś ulotkę do skrzynki?

Branża medyczna zaprojektowała kodeks branżowy, który został umieszczony na stronie internetowej www.rodowzdrowiu.pl. Autorzy tego projektu wskazują, że przekazanie informacji wymaganych przez art. 13 ogólnego rozporządzenia o ochronie danych (RODO) powinno być jasne, zrozumiałe i nastąpić w łatwo dostępnej formie. Możliwe jest przekazanie tych informacji w sposób graficzny, chociaż trudno sobie wyobrazić, jak to ma być zrealizowane. W projekcie zasugerowano wykorzystanie dwóch spośród następujących sposobów, które można wykorzystać w ramach wypełniania obowiązku informacyjnego względem pacjentów:

1) umieszczenie informacji na dokumentach, które otrzymuje pacjent – umowa, skierowanie,

2) umieszczenie informacji na stronie internetowej placówki medycznej lub w systemie informatycznym, który placówka medyczna udostępnia pacjentom,

3) umieszczenie informacji na tablicach informacyjnych w miejscach ogólnodostępnych w placówce medycznej,

4) umieszczenie informacji w regulaminie placówki medycznej.

Bazując na wskazaniach zawartych w projekcie kodeksu branżowego dla branży medycznej, w przypadku innych branż moim zdaniem również należy spełnić obowiązek informacyjny, korzystając przynajmniej z dwóch sposobów, które zostały wskazane wcześniej. Wybierając drogę postępowania, musisz zastanowić się, która z nich będzie najbardziej odpowiednia i możliwa do realizacji w Twojej organizacji. Z moich obserwacji oraz opinii klientów wynika, że „wyskakujące okienka”, które pojawiają się na stronach internetowych, oraz informacje e-mailowe nie znajdują aprobaty wśród konsumentów ani przedsiębiorców, którzy są w ten sposób informowani o przetwarzaniu ich danych osobowych i przysługujących im w związku z tym prawach.