Spełnienie obowiązku informacyjnego zgodnie z art. 13 RODO

Obowiązek informacyjny należy spełnić zarówno w przypadku gromadzenia danych osobowych bezpośrednio od osoby, której dane dotyczą, jak i w przypadku zbierania ich z innych źródeł. Niniejszy wpis dotyczy tej pierwszej sytuacji.

Zgodnie z art. 13 RODO informacje należy przekazać podczas pozyskiwania danych osobowych. Wielu administratorów ma problemy z interpretacją tego ogólnego przepisu. Zasadnicze wątpliwości odnoszą się do czasu i sposobu udostępniania informacji. Dlatego poniżej prezentuję najważniejsze wskazówki dotyczące spełniania obowiązku informacyjnego.

  1. Należy starać się, aby informacje przekazać przed zgromadzeniem danych osobowych. Osoba powinna mieć możliwość zapoznania się z informacjami, aby podjąć decyzję, czy chce przekazać swoje dane osobowe. Oczywiście w praktyce nie zawsze będzie to możliwe. Ponadto w niektórych sytuacjach podanie danych jest obowiązkiem, więc zapoznanie się z informacjami na temat przetwarzania danych osobowych i tak nie będzie miało wpływu na decyzję, co do przekazania danych.
  2. Forma spełnienia obowiązku informacyjnego jest dowolna. Informacje można udostępnić ustnie, w formie papierowej lub elektronicznej. RODO dopuszcza również możliwość skorzystania ze znaków graficznych, które “w widoczny, zrozumiały i czytelny sposób przedstawią sens zamierzonego przetwarzania”.
  3. Nie jest konieczne zamieszczanie wszystkich informacji w jednym miejscu. Oznacza to, że np. na stronie internetowej służącej do zamówienia newslettera można opublikować część najważniejszych informacji wraz z linkiem do strony, na której dostępna jest pełna treść obowiązku informacyjnego. To rozwiązanie można wykorzystać również w przypadku przekazywania informacji w formie papierowej czy ustnej. Konieczne jest jednak uwzględnienie wszystkich okoliczności, w jakich zbierane są dane osobowe. Odradzałbym np. odsyłanie do strony internetowej zawierającej wszystkie informacje określone w art. 13 RODO, gdy dochodzi do gromadzenia danych osobowych w formie papierowej (i na odwrót). Warto również wziąć pod uwagę, czyje dane gromadzimy. Osoby starsze mogą mieć problemy z zapoznaniem się z informacjami przekazywanymi w sposób interaktywny lub dostępnymi jedynie w internecie.
  4. Nie ma obowiązku potwierdzania, że osoba zapoznała się z informacjami. Tym bardziej nie jest wskazane gromadzenie oświadczeń o otrzymaniu informacji, gdyż może prowadzić to do nadmiarowego zbierania danych osobowych.

Oczywiście istnieje wiele sytuacji, w których przekazanie informacji podczas pozyskiwania danych może być bardzo trudne. Klasycznym przykładem jest gromadzenie danych przez telefon. Trudno sobie wyobrazić, aby np. fryzjer był w stanie spełnić obowiązek z art. 13 RODO podczas zapisywania klienta na wizytę. W takim przypadku jedynym rozsądnym wyjściem jest udostępnienie informacji w miejscu, w którym dochodzi do kontaktu z osobami, których dane są gromadzone. Natomiast odpowiedź na pytanie, czy taki sposób działania można uznać za prawidłowy, uzyskamy z orzeczeń sądów oraz decyzji organów nadzorczych, które pojawią się w przyszłości. Należy jedynie mieć nadzieję, że zwycięży racjonalne podejście do spełniania obowiązku informacyjnego.