Obowiązek informacyjny w RODO. Czy to to samo, co zgoda?

Zarówno przedsiębiorcy, jak i konsumenci coraz częściej zdają sobie sprawę, że w wielu przypadkach konieczne jest wyrażenie zgody na przetwarzanie danych osobowych. Jednak zgoda jest bardzo często mylona z obowiązkiem informacyjnym, określonym w art. 13 i 14 RODO.

Celem spełnienia obowiązku informacyjnego jest zapewnienie podstawowych informacji o sposobie przetwarzania danych osobowych, tym wszystkim, których dane przetwarzamy. Zatem obowiązek informacyjny należy wypełnić bez względu na podstawę prawną przetwarzania danych, którą jest m.in. zgoda.

RODO rozróżnia dwa przypadki, w których konieczne jest przekazanie informacji. Jeden z nich dotyczy gromadzenia danych bezpośrednio od osoby (art. 13), drugi gromadzenia danych z innych źródeł (art. 14). Jaka jest największa różnica pomiędzy tymi sytuacjami? Otóż gdy gromadzimy dane bezpośrednio od osoby, nie możemy zrezygnować z realizacji obowiązku informacyjnego.  Z kolei jeśli podmiot trzeci przekazuje nam dane lub zbieramy je samodzielnie np. za pomocą publiczne dostępnych rejestrów, w pewnych sytuacjach możemy pominąć przekazanie informacji.

Myślę, że wyjątkiem, z którego najczęściej będą korzystać firmy w przypadku gromadzenia danych od podmiotów trzechich, jest niemożliwość ich udzielenia lub konieczność podjęcia niewspółmiernie dużego wysiłku (art. 14 ust. 5 lit. b RODO). Oczywiście dopiero praktyka pokaże, jak należy rozumieć “niewspółmiernie duży wysiłek”. Uważam jednak, że wyłączenie to powinno mieć zastosowanie w szczególności w przypadkach gromadzenia danych pracowników firmy, z którą współpracujemy, gdy dane te są przekazywane nam przez samego pracodawcę np. w celu realizacji współpracy, wykonania umowy itp. Niestety sprawa ma się o wiele gorzej, gdy taki pracownik kontaktuje się z nami bezpośrednio, zaś jego dane nie były przekazane nam wcześniej przez inną osobę. Wówczas nie mamy wyboru i musimy spełnić obowiązek informacyjny.

Oczywiście bez względu na to, w jaki sposób gromadzimy dane osobowe, informacji nie trzeba przekazywać, gdy osoba już je posiada.

Co do zasady treść obowiązku informacyjnego powinna zawierać m.in. dane dotyczące administratora, celu i podstawy prawnej przetwarzania, okresu ich przechowywania, odbiorcach danych, prawach osoby, której dane są przetwarzane.

Warto przypomnieć, że nie istnieje żadna konkretna metoda realizacji obowiązku informacyjnego. RODO mówi jedynie o tym, że informacje należy podać osobie. Ich podanie może odbyć się w formie pisemnej, komunikatu ustnego, odtworzenia nagranej informacji, a nawet w postaci obrazkowej. Ponadto nie jest zalecane gromadzenie danych jedynie po to, aby udowodnić wypełnienie obowiązku informacyjnego. Rażącym przykładem mogłoby być zbieranie adresów e-mail w określonym celu oraz jednoczesne potwierdzanie zapoznania się z informacjami określonymi w art. 13 RODO poprzez złożenie wyraźnego podpisu przez osobę, która podała adres e-mail.

Więcej bardziej szczegółowych informacji i wskazówek na temat art. 13 i 14 RODO pojawi się w kolejnych wpisach.