Aktualności

RODO: Kiedy można zrezygnować z realizacji obowiązku informacyjnego czyli tzw. klauzuli RODO?

RODO: Kiedy można zrezygnować z realizacji obowiązku informacyjnego czyli tzw. klauzuli RODO?

Jednym z podstawowych obowiązków administratora jest przekazywanie informacji o przetwarzaniu danych osobowych tym osobom, których dane dotyczą. Wynika on z art. 13 i 14 RODO, a jego nieprzestrzeganie stanowi poważne naruszenie przepisów RODO zagrożone karą administracyjną do 20 mln euro, a w przypadku przedsiębiorstwa do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Jest to najsurowsza kara finansowa przewidziana w RODO.

Celem tej regulacji jest zapewnienie osobom, których dane są przetwarzane możliwości weryfikacji kto przetwarza ich dane osobowe, w jakim celu, na jakiej podstawie prawnej oraz uzyskania informacji o przysługujących w związku z przetwarzaniem danych prawach. Obowiązek informacyjny nie jest jednak bezwzględny i w pewnych przypadkach możliwe jest jego wyłączenie.

  1. możliwość wyłączenia obowiązku realizacji obowiązku informacyjnego wobec osób, od których dane osobowe zostały zebrane bezpośrednio - art. 13 RODO

Jeżeli administrator pozyskuje dane osobowe, bezpośrednio np. pracodawca od swojego pracownika, to łatwo może zrealizować obowiązek informacyjny właśnie w momencie zebrania tych danych.

W związku z tym wyłączenie obowiązku informacyjnego będzie miało miejsce tylko wtedy, gdy osoba, której dane dotyczą posiada już te informacje (w pewnych przypadkach również gdy obowiązek informacyjny został wyłączony na mocy prawa np. z uwagi na względy bezpieczeństwa publicznego).

Faktu posiadania informacji o przetwarzaniu danych administrator nie można domniemywać a zwolnienie dotyczy tylko takiego zakresu informacji, które faktycznie są już wiadome podmiotowi danych.

Przykładowo, jeżeli pracodawca zdecyduje się na wprowadzenie monitoringu wizyjnego pracowników, wobec których już wcześniej spełnił obowiązek informacyjny z uwagi na zwarcie umowy o pracę, to klauzula informacyjna dotycząca monitoringu będzie mogła być uszczuplona o te informacje, które znalazły się w poprzedniej klauzuli i pozostają aktualne.

  1. możliwość wyłączenia obowiązku realizacji obowiązku informacyjnego wobec osób, od których dane osobowe zostały zebrane pośrednio - art. 14 RODO

Jeżeli administrator pozyskuje dane osobowe pośrednio np. za pośrednictwem innych osób albo z publicznie dostępnych rejestrów (CEIDG, KRS), również zobowiązany jest to realizacji obowiązku informacyjnego, za wyjątkiem sytuacji gdy:

  • osoba, której dane dotyczą, dysponuje już tymi informacjami - tak jak w przypadku osób, których dane administrator pozyskał bezpośrednio, tutaj jednak ciężej będzie ustalić, jakie informacje znajdują się już w posiadaniu osób, których dane dotyczą, zastosowanie tego wyjątku w praktyce będzie zapewne znikome,
  • udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku - np. gdy administrator nie posiada danych kontaktowych tych osób, żeby przekazać im klauzulę informacyjną (adresu, nr telefonu, emaila), w takich przypadkach administrator podejmuje odpowiednie środki, by chronić prawa i wolności oraz prawnie uzasadnione interesy osoby, której dane dotyczą, w tym udostępnia informacje publicznie np. zamieszczając treść klauzuli informacyjnej na swojej stronie internetowej; jak wynika z dotychczasowej praktyki Prezesa UODO, duży koszt realizacji obowiązku informacyjnego lub względy organizacyjne mogą zostać uznane za niewystarczającą przesłankę do rezygnacji z przekazania informacji o przetwarzaniu danych,
  • pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem, które  przewiduje odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą - ostatnio UODO wskazał, że na ten wyjątek administrator może powołać się w przypadku zbierania danych o członkach rodziny pracownika korzystającego z Zakładowego Funduszu Świadczeń Socjalnych (ZFŚS) - pozyskiwanie tych danych reguluje art. 8 ustawy o ZFŚS,
  • dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej - chodzi np. o tajemnicę radcowską, adwokacją lub lekarską.


Anna Szymielewicz

Prawnik

Anna Szymielewicz

Radca prawny, Senior Counsel

Anna Szymielewicz

Kontakt:

ul. Rondo ONZ 1
00-124 Warszawa