Dowiedz się, czy wobec obecnych klientów trzeba ponownie spełniać obowiązek informacyjny według RODO

Wciąż obowiązująca ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych ustanawia pewne obowiązki nałożone na administratora danych zwane łącznie potocznie obowiązkami informacyjnymi. Artykuł 24 i 25 ustawy wskazują, o czym administrator danych powinien poinformować osobę, której dane dotyczą. Obowiązek ten różni się w zależności od tego, czy administrator pozyskuje dane osobowe bezpośrednio od tej osoby, czy też od innego podmiotu. Jeżeli zbiera dane osobowe od osoby, której one dotyczą, musi ją poinformować o:

• adresie swojej siedziby i pełnej nazwie, a w przypadku gdy jest osobą fizyczną – o miejscu swojego zamieszkania oraz imieniu i nazwisku,
• celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach bądź kategoriach odbiorców danych,
• prawie dostępu do treści swoich danych oraz ich poprawiania,
• dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.

Obowiązek informacyjny wobec osób, od których dane są zbieranie, nie istnieje tylko, jeżeli:

• przepis innej ustawy zezwala na przetwarzanie danych bez ujawniania faktycznego celu ich zbierania,
• osoba, której dane dotyczą, ma już informacje, o których w art. 24 ustawy.

Jeżeli administrator zbiera dane osobowe nie od osoby, której dotyczą, musi poinformować ją bezpośrednio po utrwaleniu zebranych danych o:

• adresie swojej siedziby i pełnej nazwie, a w przypadku gdy jest osobą fizyczną – o miejscu swojego zamieszkania oraz imieniu i nazwisku,
• celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych,
• źródle danych,
• prawie dostępu do treści swoich danych oraz ich poprawiania,
• uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 8, czyli o prawie wniesienia pisemnego, umotywowanego żądania zaprzestania przetwarzania jej danych ze względu na jej szczególną sytuację oraz o prawie wniesienia sprzeciwu wobec przetwarzania jej danych, gdy zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych.

Obowiązek ten nie istnieje, gdy:

• przepis innej ustawy przewiduje lub dopuszcza zbieranie danych osobowych bez wiedzy osoby, której dane dotyczą,
• dane te są niezbędne do badań naukowych, dydaktycznych, historycznych, statystycznych lub badania opinii publicznej, ich przetwarzanie nie narusza praw lub wolności osoby, której dane dotyczą, a spełnienie obowiązku informacyjnego wymagałoby nadmiernych nakładów lub zagrażałoby realizacji celu badania,
• dane są przetwarzane na podstawie przepisów prawa przez administratora „publicznego” lub niepublicznego, ale realizującego zadania publiczne,
• osoba, której dane dotyczą, ma już informacje, o których mowa w art. 25 ustawy.

Artykuły 13 i 14 RODO określają, jakie informacje powinny zostać przekazane osobie, której dane dotyczą i od której są zbierane (art. 13 RODO), oraz osobie, której dane dotyczą, ale zostały pozyskane z innego źródła (art. 14 RODO). Katalog informacji do przekazania jest znacznie bogatszy od tego w ramach „starego” obowiązku informacyjnego i obejmuje m.in. informacje o:

• odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją,
• zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej,
• okresie, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteriach ustalania tego okresu,
• prawie do cofnięcia zgody w dowolnym momencie.

Podobnie jak w przypadku obecnych regulacji także RODO przewiduje wyjątki od obowiązku informacyjnego. Osoby, której dane dotyczą, nie trzeba informować, jeżeli dysponuje już ona tymi informacjami. Ten sam wyjątek ma zastosowanie do podmiotów, których dane zostały pozyskane od innych osób, ale w tym wypadku obowiązek informacyjny nie musi być spełniany także gdy:

• udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku,
• pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii Europejskiej bądź prawem państwa członkowskiego, któremu podlega administrator,
• dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej.

Skoro więc:

• do 25 maja 2018 r. osoby, których dane dotyczą, są informowane w innym (zasadniczo węższym) zakresie, niż będzie to się odbywało po 25 maja 2018 r.,
• przepisy RODO nie zawierają żadnych przepisów tymczasowych lub przejściowych,

to powstaje pytanie, czy po 25 maja 2018 r. wystarczy dochowywać nowego obowiązku informacyjnego wyłącznie wobec nowych osób, od których dane są pobierane, czy też trzeba ponownie wykonać obowiązek informacyjny wobec starych klientów, ale tym razem zgodnie z art. 13 lub 14 RODO? W mojej ocenie nie ma potrzeby powtarzania tego obowiązku.

Zgodnie z motywem 171 RODO, jeżeli przetwarzanie ma za podstawę zgodę w myśl dyrektywy 95/46/WE (czyli de facto zgoda została udzielona na podstawie obecnej polskiej ustawy o ochronie danych osobowych), osoba, której dane dotyczą, nie musi ponownie wyrażać zgody, jeżeli pierwotny sposób jej wyrażenia odpowiada warunkom RODO. Dzięki temu administrator może kontynuować przetwarzanie danych po dacie rozpoczęcia stosowania RODO. Wydaje się, że nie ma powodu, aby podobnej zasady nie stosować w stosunku do obowiązku informacyjnego.