Jak zmieni się obowiązek informacyjny, gdy rozporządzenie UE zacznie obowiązywać

Obecnie obowiązująca ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych ustanawia pewne obowiązki nałożone na administratora danych osobowych. Potocznie są zwane łącznie obowiązkami informacyjnymi. Chodzi tu przede wszystkim o art. 24 i 25 ustawy. Określają one, o czym administrator danych osobowych powinien poinformować osobę, której dane dotyczą. Obowiązek ten różni się w zależności od tego, czy dane osobowe są pozyskiwane bezpośrednio od tej osoby, czy też od innego podmiotu. Jeżeli ADO zbiera dane osobowe od osoby, której one dotyczą, to jest on zobowiązany ją poinformować o:

• adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna – miejscu swojego zamieszkania oraz imieniu i nazwisku,
• celu zbierania danych, w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych,
• prawie dostępu do treści swoich danych oraz ich poprawiania,
• dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.

Natomiast jeżeli dane osobowe są zbierane nie od osoby, której one dotyczą, ADO musi poinformować tę osobę bezpośrednio po utrwaleniu zebranych danych o:

• adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna – o miejscu swojego zamieszkania oraz imieniu i nazwisku,
• celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych,
• źródle danych,
• prawie dostępu do treści swoich danych oraz ich poprawiania,
• uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 8 ustawy, czyli co do zasady o prawie wniesienia pisemnego, umotywowanego żądania zaprzestania przetwarzania jej danych ze względu na jej szczególną sytuację oraz o prawie wniesienia sprzeciwu wobec przetwarzania jej danych, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych.

Nie ma natomiast obowiązku informowania osoby, której dane dotyczą, o powierzeniu jej danych osobowych innemu podmiotowi na podstawie umowy powierzenia.

Osoba, której dane osobowe dotyczą, powinna być informowana o prowadzeniu operacji przetwarzania i o jej celach. Administrator danych osobowych powinien podać osobie, której dane osobowe dotyczą, wszelkie informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania, uwzględniając konkretne okoliczności i konkretny kontekst przetwarzania danych osobowych.

Ten obowiązek nie istnieje, gdy:

• przepis innej ustawy przewiduje lub dopuszcza zbieranie danych osobowych bez wiedzy osoby, której dane dotyczą,
• dane te są niezbędne do badań naukowych, dydaktycznych, historycznych, statystycznych lub badania opinii publicznej, ich przetwarzanie nie narusza praw lub wolności osoby, której dane dotyczą, a spełnienie wymagań określonych w ust. 1 wymagałoby nadmiernych nakładów lub zagrażałoby realizacji celu badania,
• dane są przetwarzane na podstawie przepisów prawa przez administratora publicznego lub niepublicznego, ale realizującego zadania publiczne,
• osoba, której dane dotyczą, posiada już informacje, o których mowa powyżej.

Artykuł 15 ust. 1 nowego unijnego rozporządzenia precyzuje te informacje, zasadniczo w sposób podobny jak obecnie. W ogólnym rozporządzeniu o ochronie danych osobowych utrzymany jest dualizm regulacji w zależności od tego, czy dane osobowe są pozyskiwane bezpośrednio od osoby, której dotyczą, czy też od innego podmiotu. Jeżeli gromadzi się dane osobowe od osoby, której dane dotyczą, należy ją też poinformować, czy ma ona obowiązek je podać, oraz o konsekwencjach ich niepodania. Informacje te można przekazać w połączeniu ze standardowymi znakami graficznymi, które w widoczny, zrozumiały i czytelny sposób przedstawią sens zamierzonego przetwarzania.

Jeżeli znaki te są przedstawione elektronicznie, powinny nadawać się do odczytu maszynowego. Informacje należy podać w momencie zbierania danych osobowych. Z kolei w przypadku gromadzenia danych osobowych z innego źródła niż od osoby, której dotyczą, informacje o przetwarzaniu danych osobowych należy podać „w rozsądnym terminie, zależnie od okoliczności”.

Jeżeli dane osobowe można, zgodnie z prawem, ujawnić innemu odbiorcy, należy poinformować o tym osobę, której dane osobowe dotyczą, w momencie pierwszorazowego ujawnienia danych temu odbiorcy. Jeżeli administrator danych osobowych planuje przetwarzać dane osobowe w celu innym niż cel, w którym dane osobowe zostały zebrane, powinien on przed takim dalszym przetwarzaniem poinformować osobę, której dane dotyczą, o tym innym celu. Powinien także dostarczyć jej innych niezbędnych informacji.

Obowiązek informacyjny nie ciąży na administratorze danych osobowych:

• gdy osoba, której dane osobowe dotyczą, dysponuje już tymi informacjami,
• jeżeli utrwalenie lub ujawnienie danych osobowych są wyraźnie przewidziane prawem,
• jeżeli poinformowanie osoby, której dane osobowe dotyczą, okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku.

Prawodawca europejski precyzuje przy tym, że brak możliwości wysiłku lub niewspółmiernie duży wysiłek zachodzi, np. gdy przetwarzanie służy celom archiwalnym w interesie publicznym, celom badań naukowych lub historycznych lub celom statystycznym. Uwzględnić przy tym należy liczbę osób, których dane osobowe dotyczą, okres przechowywania danych oraz wszelkie przyjęte odpowiednie zabezpieczenia. Jeżeli przesłanka niemożliwości lub niewspółmiernie dużego wysiłku jest spełniona, wówczas wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane osobowe dotyczą, zostają poinformowane w równie skuteczny sposób.

Nowe regulacje niosą także za sobą rozbudowanie obowiązku informacyjnego przy tzw. zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu w drodze analizy Big Data. Administrator danych osobowych musi poinformować osobę, której dane dotyczą, o fakcie profilowania oraz o konsekwencjach takiego profilowania. Informacja powinna obejmować zasady podejmowania decyzji oraz znaczenie i przewidywane konsekwencje takiego przetwarzania dla osoby, której dane dotyczą. Uzyskanie samej zgody na takie profilowanie wiąże się zresztą z obowiązkiem spełnienia obostrzonych kryteriów.

Jeżeli dojdzie do naruszenia ochrony danych osobowych, to administrator danych osobowych powinien bez zbędnej zwłoki poinformować o tym osobę, której dane osobowe dotyczą, jeżeli to naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności tej osoby. Celem tego rozwiązania jest umożliwienie tej osobie podjęcia niezbędnych działań zapobiegawczych. Administrator danych osobowych powinien podać opis charakteru naruszenia oraz zalecenia pozwalające zminimalizować potencjalne niekorzystne skutki dla osoby, której dane osobowe są zagrożone.