Przepisy RODO zobowiązują administratorów danych osobowych do realizowania licznych obowiązków informacyjnych względem osób, których dane przetwarzają. Podstawowym i najbardziej znanym obowiązkiem w tym zakresie, jest ten określony w art. 13 RODO. Przepis ten nakazuje by administrator podał osobie, której dane przetwarza szereg informacji dotyczących m.in. tożsamości administratora i jego danych kontaktowych, celu i podstawy prawnej przetwarzania danych osobowych, odbiorców, którym dane mogą być udostępniane, czasu przechowywania przetwarzanych danych, a także praw przysługujących tej osobie, w związku z przetwarzaniem jej danych. Zgodnie z treścią art. 13 ust. 1 i 2 RODO, wszystkie informacje wskazane w treści tych przepisów muszą być udostępnione osobie, której dane dotyczą już podczas pozyskiwania od niej danych osobowych.
Obowiązek ten jest realizowany najczęściej w formie klauzul informacyjnych, w których administratorzy zamieszczają wymagane prawem informacje. W tym zakresie istotne jest, aby klauzula informacyjna zawierała wszystkie informacje wymienione w treści zarówno ust. 1, jak i ust. 2 art. 13 RODO. Podkreśla się bowiem, że status tych informacji jest taki sam i wszystkie informacje, o których mowa w tych ustępach, są równie ważne i muszą zostać udzielone osobie, której dane dotyczą. (Grupa Robocza Art. 29, Wytyczne w sprawie przejrzystości na podstawie rozporządzenia 2016/679, 2017). Pominąć można tylko te informacje, które w danym przypadku przetwarzania danych osobowych nie będą miały zastosowania. Można zatem pominąć np. informacje o tożsamości i danych kontaktowych przedstawiciela, w sytuacji, gdy administrator nie ma obowiązku go wyznaczyć.
Grupa Robocza Art. 29, wskazuje, że poza zapewnieniem informacji wymaganych zgodnie z art. 13 administratorzy powinni również oddzielnie i w sposób jednoznaczny wyjaśnić, jakie będą najważniejsze skutki przetwarzania: innymi słowy, jaki rzeczywisty wpływ na osobę, której dane dotyczą, będzie miało konkretne przetwarzanie (Grupa Robocza Art. 29, Wytyczne w sprawie przejrzystości…). Wydaje się, że informacje te najsensowniej jest połączyć z wymaganymi przez art. 13 informacjami o ewentualnych konsekwencjach niepodania danych osobowych przez osobę, której one dotyczą.
Zgodnie z wymaganiami art. 12 RODO informacje muszą być przekazywane w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, przy pomocy jasnego i prostego języka a udzielenie informacji i komunikacja powinny być zasadniczo wolne od opłat.
Przepisy RODO nie wskazują na formę w jakiej administrator powinien dostarczyć informacje, o których mowa w art. 13 osobie, której dane dotyczą. Zaleca się aby informacje te wyraźnie odróżnić od innych informacji, które nie są związane z przetwarzaniem danych osobowych, np. postanowień umownych lub ogólnych warunków korzystania z usługi oraz by wszystkie informacje skierowane do osoby, której dane dotyczą, były dla niej również dostępne w jednym miejscu lub w ramach jednego dokumentu, który powinien być łatwo dostępny na wypadek, gdyby osoba ta chciała zapoznać się z całością informacji (Grupa Robocza Art. 29, Wytyczne w sprawie przejrzystości…). Najlepszym rozwiązaniem jest więc udostępnienie informacji wskazanych w art. 13 RODO w formie odrębnego dokumentu. Dokument taki może przybierać formę: powiadomienia o ochronie danych; informacji o polityce prywatności; polityki ochrony prywatności; oświadczenia o ochronie prywatności; informacji o rzetelnym przetwarzaniu (Grupa Robocza Art. 29, Wytyczne w sprawie przejrzystości…).
Zgodnie z art. 12 ust. 1 RODO informacji osobie, której dane dotyczą, w tym informacji wskazanych w art. 13 RODO udziela się na piśmie lub w inny sposób, w tym w stosownych przypadkach – elektronicznie. Z uwagi na treść tego przepisu wskazuje się, że domyślną formą udzielania informacji lub komunikacji z osobami, których dane dotyczą, jest udzielanie informacji na piśmie. W przypadku administratorów danych, którzy działają w środowisku cyfrowym, informacje mogą być przekazywane w formie elektronicznej. W takim przypadku odpowiednimi środkami służącymi przekazaniu informacji dotyczących przejrzystości są: oświadczenie o ochronie prywatności lub informacja o polityce prywatności (Grupa Robocza Art. 29, Wytyczne w sprawie przejrzystości…). W określonych sytuacjach obowiązek informacyjny z art. 13 RODO może zostać spełniony poprzez udostępnienie możliwości odtworzenia nagrania z odpowiednią informacją głosową.
Co do zasady obowiązek informacyjny nie powinien być realizowany ustnie. Po pierwsze, mając na względzie treść art. 12 ust. 1 RODO, należy przyjąć, że udzielenie informacji ustnie możliwe jest tylko na żądanie osoby, której dane dotyczą. Po drugie, taki sposób przekazania informacji może nastręczać trudności w kontekście zasady rozliczalności, która zakłada, że administrator musi być w stanie wykazać spełnienie obowiązków wynikających z przepisów RODO. Realizacja obowiązku informacyjnego w formie ustnej może rodzić problemy z udowodnieniem, że został on przez administratora wykonany.
Co do zasady do zrealizowania obowiązku z art. 13 RODO nie wystarczy umieszczenie informacji, których udostępnienia wymaga ten przepis na tablicy informacyjnej umieszczonej w siedzibie urzędu lub w lokalu przedsiębiorstwa. Wydaje się, że możliwość realizacji obowiązku informacyjnego w ten sposób można dopuścić tylko wtedy, gdy pozwalają na to wprost przepisy prawa. Polski ustawodawca wskazuje na taką możliwość m.in. w odniesieniu do mikroprzedsiębiorców oraz do organów administracji publicznej. Zgodnie z art. 4a ustawy z dnia 30 maja 2014 r. o prawach konsumenta (t.j. Dz. U. z 2023 r. poz. 2759 z późn.) administrator będący mikroprzedsiębiorcą, wykonuje obowiązki, o których mowa w art. 13 RODO, przez wywieszenie stosownych informacji w widocznym miejscu w lokalu przedsiębiorstwa lub udostępnienie ich na swojej stronie internetowej, przy czym zasady tej nie stosuje się, jeżeli: osoba, której dane dotyczą, nie ma możliwości zapoznania się z informacjami; administrator przetwarza dane wrażliwe, o których mowa w art. 9 ust. 1 RODO lub udostępnia te dane, innym administratorom (z wyjątkiem sytuacji, gdy osoba, której dane dotyczą, wyraziła zgodę na udostępnienie swoich danych albo udostępnienie danych jest niezbędne do wypełnienia obowiązku ciążącego na administratorze). Zgodnie zaś z art. 122h § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (t.j. Dz. U. z 2024 r. poz. 572) organ administracji publicznej udostępnia informacje, o których mowa w art. 13 RODO w widocznym miejscu w swojej siedzibie (i jednocześnie w Biuletynie Informacji Publicznej na swojej stronie podmiotowej, i na swojej stronie internetowej) w sprawach załatwianych milcząco. Należy przyjąć, że skoro ustawodawca wskazuje wprost sytuacje, w których realizacja obowiązku wynikającego z art. 13 RODO jest możliwa poprzez udostępnienie odpowiednich informacji „w widocznym miejscu”, to w innych przypadkach taką możliwość należy co do zasady wykluczyć. Inną kwestią jest to, że przekazywane informacje powinny być powiązane z konkretnymi procesami przetwarzania danych, gdyż w zależności od procesu mogą różnić się m.in. w zakresie celu i podstawy przetwarzania danych czy okresu ich przechowywania. Nie da się efektywnie spełnić obowiązku informacyjnego za pomocą jednej, ogólnej informacji w odniesieniu do wszystkich procesów przetwarzania danych osobowych i taki sposób realizacji tego obowiązku może mieć sens tylko w przypadku administratorów, którzy w ramach swojej organizacji realizują tylko pojedyncze procesy przetwarzania. Innym problemem w przypadku próby realizowania obowiązku informacyjnego w tej formie byłaby, wspomniana wcześniej, kwestia zapewnienia rozliczalności i dowiedzenia, że administrator zapewnił dostęp do wymaganych informacji wszystkim zainteresowanym.
Dokonując wyboru sposobu realizacji obowiązku z art. 13 RODO warto wziąć pod uwagę stanowisko Grupy Roboczej Art. 29, która wskazuje, że użyte w treści art. 13 RODO sformułowanie „podaje” informacje oznacza konieczność podjęcia przez administratora czynnych działań w celu udzielenia osobie, której dane dotyczą, przedmiotowych informacji lub czynnego skierowania jej do miejsca, w którym znajdują się te informacje (np. poprzez podanie bezpośredniego linku lub zachęcanie do skorzystania z kodu QR), tak by osoba, której dane dotyczą, nie była zmuszona do szukania ich wśród innych informacji, takich jak regulamin korzystania ze strony internetowej lub z aplikacji i tak, aby miejsce i sposób dostępu do informacji był dla niej od razu oczywisty (Grupa Robocza Art. 29, Wytyczne w sprawie przejrzystości).
Powyższe wskazania warto uwzględnić aby uniknąć wysokich kar administracyjnych przewidzianych w RODO. Niedopełnienie obowiązku informacyjnego z art. 13 RODO stanowi bowiem jedno z najpowszechniejszych naruszeń związanych z przetwarzaniem danych osobowych.
Grzegorz Lubeńczuk
Kancelaria Wyrzykowscy
Niniejszy artykuł ma charakter wyłącznie informacyjny i nie stanowi porady prawnej, podatkowej ani jakiejkolwiek innej formy doradztwa. Wszelkie przedstawione w nim treści wyrażają osobiste poglądy autora oraz jego wiedzę na temat omawianych zagadnień. Autor ani wydawca nie ponoszą odpowiedzialności za ewentualne skutki wynikające z zastosowania się do informacji zawartych w artykule bez konsultacji z odpowiednim specjalistą.
Zadaj pytanie do artykułu