Obowiązek informacyjny w świetle RODO
Rozporządzenie Parlamentu Europejskiego i Rady Unii Europejskiej 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (w skrócie: ogólne rozporządzenie o ochronie danych) wchodzi w życie 25 maja 2018 r. Wprowadza ono liczne zmiany w administrowaniu danymi osobowymi. Na szczególną uwagę zasługują zaś przepisy regulujące obowiązki informacyjne podmiotów administrujących danymi osobowymi.
Podmioty, na których ciąży obowiązek informacyjny
Podobnie jak w obowiązujących przepisach zakres obowiązku informacyjnego jest różny w zależności od tego, kogo dotyczy. Na gruncie nowych przepisów zostały wyróżnione dwie kategorie podmiotów: te, które uzyskały dane osobowe bezpośrednio od podmiotu, którego one dotyczą, oraz te, które pozyskały wskazane dane w sposób pośredni. Większość obowiązków jest wspólna obu grupom. W wypadku podmiotów pozyskujących dane w sposób pośredni zostały jednak wprowadzone dodatkowe wymogi.
Ogólne obowiązki informacyjne podmiotów dokonujących przetworzenia danych
Podmioty dokonujące przetworzenia mają obowiązek udostępniania podmiotowi, którego danych dotyczy przetwarzanie, następujących informacji: danych kontaktowych do powołanych przez podmiot Administratorów Danych Osobowych (ADO) oraz Inspektora Ochrony Danych (jeśli takie powołanie nastąpiło). Są to podmioty podejmujące decyzje w sprawach dotyczących celów i środków przetwarzania danych. Jeśli podstawą przetworzenia jest przepis prawa lub prawnie uzasadniony interes ADO, należy wskazać ten przepis oraz interes. Podmiot wyrażający zgodę na przetworzenie danych powinien otrzymać informację o prawie do wycofania zgody na przetwarzanie w każdym czasie bez wpływu na dokonane już w tym zakresie czynności. Jeśli planowane jest przekazywanie danych do państwa trzeciego lub organizacji międzynarodowej należy udzielić o tym informacji wraz z wiadomością o stwierdzeniu lub braku stwierdzenia przez Komisję Europejską odpowiedniego stopnia ochrony. Właściciel danych ma prawo do informacji o okresie, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteriach ustalania tego okresu. Przysługuje mu prawo do dostępu do danych dotyczących jego osoby, ich sprostowania lub usunięcia oraz ograniczenia przetwarzania. O prawach tych także powinien on uzyskać informację od podmiotu dokonującego przetworzenia. Każdy, którego dane osobowe są przetwarzane, ma prawo do kontroli takiego przetworzenia oraz przysługują mu środki odwoławcze: sprzeciw wobec przetworzenia niezgodnego z prawem oraz skargi do organu nadzorującego przetwarzanie danych, czyli obecnie do Generalnego Inspektora Danych Osobowych. Obowiązek dostarczenia informacji w tym zakresie ciąży na podmiotach dokonujących przetworzenia. Właściciel danych osobowych w świetle nowych przepisów uzyska dane o zautomatyzowanym podejmowaniu decyzji (czyli decyzjach podejmowanych bez ludzkiej ingerencji) w tym o profilowaniu (zbieranie informacji o konsumencie na podstawie jego zachowań w sieci). Wskazane regulacje mają za zadanie zapewnić podmiotowi – właścicielowi danych, pełną wiedzę w zakresie tego, jak zostaną wykorzystane dane, które go dotyczą.
Obowiązki informacyjne podmiotów, które pozyskują dane osobowe nie bezpośrednio od podmiotu danych
Podmioty przetwarzające dane osobowe, do których uzyskały dostęp z innych źródeł niż od właściciela, muszą spełnić te same warunki, co podmioty pozyskujące dane bezpośrednio od ich właściciela. W związku z tym jednak, że ich działalność potencjalnie może wywoływać większe zagrożenie dla bezpieczeństwa danych, został na nie nałożony dodatkowy obowiązek podania źródła pochodzenia danych osobowych, a gdy ma to zastosowanie – że pochodzą one ze źródeł publicznie dostępnych.
Podsumowanie
Należy stwierdzić, że wymienione obowiązki informacyjne poszerzają zakres obowiązujących w tej materii przepisów ustawy z dn. 29 sierpnia 1997 r. o ochronie danych osobowych. Nakładała ona na przetwarzających dane osobowe wyłącznie obowiązek udzielania informacji o: danych administratora, celu zbierania danych, grupie odbiorców, której dane zostaną udostępnione, prawie dostępu i uzupełnienia danych, dobrowolności bądź obowiązku udostępnienia danych oraz o źródle pozyskania danych i prawie wniesienia sprzeciwu oraz żądania zaprzestania przetwarzania.