poniedziałek, 27 listopada 2017

Jakie uprawnienia informacyjne przysługują osobie, której dane są przetwarzane wg Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 96/46/WE -cz. 5

Prawa osób fizycznych w ww. zakresie przetwarzania danych osobowych można podzielić na prawa związane z informacją oraz prawa związane z komunikacją. Jeśli chodzi o pierwszy typ uprawnień, znajdziemy je w art. 13-14 ww. Rozporządzenia (RODO). Art. 13 dotyczy informacji podawanych przez administratora w przypadku zbierania danych od osoby, której dane dotyczą, zaś art. 14 dotyczy informacji podawanych w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą.

Celem niniejszego posta nie jest przepisanie wszystkich informacji, które życzyłby sobie unijny ustawodawca, by administrator przekazał osobie fizycznej lecz raczej skomentowanie tej regulacji. Przede wszystkim spójrzmy, kto powinien ten obowiązek zrealizować. RODO nakłada go na administratora, który jest rozumiany jako osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Przykładowo, jeśli mamy na względzie hotel, administratorem danych osobowych przetwarzanych w hotelu jest spółka go prowadząca. W przypadku sprzedaży telemarketingowej, jest to podmiot prowadzący taką działalność, itd. Bywają jednak bardziej skomplikowane przypadki, gdzie wymagana jest głębsza analiza, by stwierdzić, kto jest administratorem. Te proste przykłady podaję dlatego, by spółka miała świadomość, że to ona, a nie jej pracownik fizycznie zbierający dane od innych, jest ich administratorem.

Twierdzi się, że informacje te podane powinny być w sposób zwięzły i zrozumiały. Przy jednak całej litanii informacji do podania, którą wymaga RODO od administratora, ciężko stwierdzić, jak osiągnąć zwięzłość , nie pomijając jakiegoś wymogu. Informacji udziela się na piśmie lub w inny sposób (w tym elektroniczny – istotne przy świadczeniu usług przez Internet). Jeżeli osoba, która tego zażąda, informacji można udzielić jej ustnie, o ile innymi sposobami potwierdzi się tożsamość osoby, której dane dotyczą. Ponieważ informacji powinno się udzielić podczas pozyskiwania danych, telemarketer dzwoniący z propozycją sprzedaży do nowej osoby, winien, jak się wydaje, zapytać się, czy życzy sobie być poinformowana ustnie o kwestiach wskazanych w art. 13 RODO, a następnie syntetycznie wygłosić formułę informacyjną w oparciu o art. 13. Niewątpliwie treść takiej informacji zawsze warto skonsultować z Kancelarią.

Co do zasady nie można żądać zapłaty za udzielenie takich informacji. Jeśli jednak dana osoba np. ustawicznie żąda podania tych samych informacji, przez co ponosimy koszty chociażby czasu pracy pracownika, można odmówić kolejnego spełnienia takiego obowiązku lub zażądać rozsądnej opłaty uzasadnionej kosztami administracyjnymi.

Jeżeli spojrzymy na wymogi nałożone na administratora zbierającego dane osobowe od osób, których dane te dotyczą (pozyskiwanie bezpośrednie), to oprócz podania swojej tożsamości i danych kontaktowych, należy podać, gdy ma to zastosowanie, dane kontaktowe inspektora ochrony danych. Nie musi to być imię i nazwisko (wiadomo, że stanowisko to może podlegać fluktuacjom personalnym, czy inspektor może po prostu nam się rozchorować, wyjechać na urlop itd.) – wystarczy e-mail i telefon kontaktowy.

RODO wymaga także podania okresu, przez jaki dane będą przechowywane, a gdy nie jest to możliwe, kryteria ustalenia takiego okresu (np. przez okres realizacji zamówienia itp.). Należy także podać informację o prawie do wniesienia sprzeciwu wobec przetwarzania danych osobowych (w mojej ocenie bez zbędnych szczegółów, wystarczy podać do kogo i jaki środek) i o prawie do wniesienia skargi do organu nadzorczego.

Jeszcze inne wymogi obowiązują co do informacji podawanych w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą (art. 14 RODO). Oprócz informacji wskazanych w art. 13 RODO należy podać źródło pochodzenia danych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych. Wydaje się jednak, że nie jest intencją prawodawcy, by telemarketer oznajmił nam, że posiada nasze dane po prostu ze źródeł publicznie dostępnych, ale wskazał jednak na konkretne źródło (nawet jeśli jest publicznie odstępne). Obowiązek informacyjny z art. 14 RODO nie będzie mieć zastosowania, gdy: a) osoba, której dane dotyczą, dysponuje już tymi informacjami; b) udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku; w szczególności w przypadku przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, z zastrzeżeniem warunków i zabezpieczeń, o których mowa w art. 89 ust. 1, lub o ile obowiązek, o którym mowa w ust. 1 niniejszego artykułu, może uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania. W takich przypadkach administrator podejmuje odpowiednie środki, by chronić prawa i wolności oraz prawnie uzasadnione interesy osoby, której dane dotyczą, w tym udostępnia informacje publicznie; c) pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą; lub d) dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy.

Pozostałe nasze publikacje odnośnie danych osobowych pod rządami RODO znajdziecie Państwo klikając tu.

Aleksandra Dalecka
adwokat
Kontakt: blog@zdanowiczlegal.pl


 

 

Brak komentarzy:

Prześlij komentarz

Prosimy o pozostawienie komentarza w temacie posta. Jesteśmy wdzięczni za Państwa opinie.

W tym miejscu nie udzielamy indywidualnych porad prawnych. Jeśli jesteście Państwo zainteresowani pomocą prawną, prosimy o mailowy (blog@zdanowiczlegal.pl) lub telefoniczny (+22 525 84 44) kontakt z Kancelarią. Koszt pomocy prawnej uzależniony jest od stopnia skomplikowania, charakteru sprawy i nakładu pracy prawnika. Udzielamy także e-porady.

Posty są aktualne w dniu ich publikacji. Nie odpowiadamy za późniejsze zmiany prawa.