Pytanie:
W jaki sposób wypełnić obowiązek informacyjny wobec osoby niebędącej pracownikiem jednostki, której imię i nazwisko umieszczane jest w dokumencie kasowym KW. Czy wystarczy ogólna klauzula informacyjna umieszczona na stronie internetowej jednostki?
Odpowiedź: Nie wystarczy umieszczenie klauzuli informacyjnej na stronie internetowej jednostki. Dobrym rozwiązaniem jest za to umieszczenie wydrukowanej klauzuli w miejscu wydawania KW.
Obowiązku informacyjnego wobec osoby fizycznej należy dopełnić w momencie pozyskania jej danych osobowych (jeżeli dane są zbierane bezpośrednio od tej osoby) – tak wynika z art. 13 RODO. W przypadku wydawania dokumentu kasowego KW powinno odbyć się to w chwili pozyskiwania danych niezbędnych do wystawienia tego dokumentu. Wówczas to takiej osobie należy podać:
- tożsamość i dane kontaktowe administratora danych oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe jego przedstawiciela,
- gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych,
- cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania,
- jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f RODO – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią,
- informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją,
- gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej,
- okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
- informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych,
- jeżeli przetwarzanie odbywa się na podstawie zgody – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
- informacje o prawie wniesienia skargi do organu nadzorczego,
- informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych,
- informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu.
W związku z tym, że obowiązek informacyjny musi być spełniony w momencie pozyskania danych, nie jest prawidłowe umieszczenie klauzuli informacyjnej jedynie na stronie internetowej jednostki. Taka informacja musi być przekazana w chwili podawania danych do dokumentu kasowego. Obowiązek informacyjny można spełnić, np. umieszczając wydrukowaną klauzulę informacyjną w miejscu, w którym dokumenty KW są wydawane, tak aby każda osoba, która je odbiera, mogła się z nimi zapoznać.
Autor: Wioleta Szczygielska
Specjalista z zakresu prawa ochrony danych osobowych. Wieloletni redaktor fachowych publikacji związanych z tematyką ochrony danych osobowych.