19 lut RODO – nowe obowiązki informacyjne

Data rozpoczęcia stosowania RODO zbliża się wielkimi krokami, z tygodnia na tydzień coraz więcej przedsiębiorców dostosowuje swoje działalności do nowych przepisów. W praktyce okazuje się, że niemałe trudności powstają przy realizacji tzw. obowiązku informacyjnego.

Temat jest trudny, bo często dotyczy bezpośrednio relacji z potencjalnymi klientami / kontrahentami – i z perspektywy przedsiębiorcy komplikuje zawarcie niejednokrotnie prostych umów.

Zasady wykonywania obowiązków informacyjnych na gruncie RODO są podobne do dotychczasowych, jednak znacznie zwiększył się ich zakres – co wywołuje praktyczne trudności. Ponadto (co akurat nie jest nowością), zakres ten zmienia się zależnie od tego, czy dane zbieramy od osoby, której dane dotyczą; czy w inny sposób. Wpływa to także na moment, w którym przedsiębiorca musi udzielić niezbędnych informacji osobom, których dane dotyczą.

Zakres obowiązków informacyjnych

Co do zakresu – w pierwszym przypadku RODO wymaga, aby informować m.in. o danych identyfikujących administratora; celu; podstawie prawnej i czasie przetwarzania; przysługujących prawach; oraz o tym, jaki charakter ma podanie danych. Ostateczny zakres informacji zależy jednak m.in. od tego, czy administrator powołał inspektora ochrony danych; będzie przekazywał dane odbiorcom lub do państwa trzeciego; lub czy dochodzi do zautomatyzowanego podejmowania decyzji, w tym profilowania. Gdy dane zbierane są w inny sposób (np. od osoby trzeciej lub z publicznych rejestrów) w katalogu informacji pojawiają się dodatkowo kategorie danych osobowych oraz źródło ich pochodzenia.

Nowością jest więc objęcie obowiązkiem informacyjnym m.in. podstawy prawnej przetwarzania; okresu; przez który dane osobowe będą przechowywane oraz informacji o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu.

Czas wykonania obowiązków informacyjnych

Standardowo, informacje powinny zostać przekazane podczas pozyskiwania danych osobowych. RODO przewiduje jednak ułatwienie, gdy dane są pozyskiwane w inny sposób niż bezpośrednio od podmiotu danych. W takim przypadku cały zestaw informacji powinien zostać podany najpóźniej w ciągu miesiąca po ich pozyskaniu lub, jeżeli dane osobowe mają być stosowane do komunikacji, najpóźniej przy pierwszej takiej czynności. Wyjątek przewidziano również na wypadek, gdyby miało dojść do ujawnienia danych innemu odbiorcy. W takiej sytuacji obowiązek informacyjny powinien zostać spełniony najpóźniej przy pierwszym ujawnieniu danych.

Pamiętać trzeba, że wykonanie obowiązku informacyjnego następuje z inicjatywy administratora danych – nie można czekać na pytania klientów! Wykonanie obowiązku jest też niezależne od tego na jakiej podstawie przetwarzane są dane – informacje muszą być przekazywane nawet gdy nie została pobrana zgoda na przetwarzanie danych.

Praktyczne sposoby działania

Rozmiary napisanej bez odpowiedniego przygotowania klauzuli mogą przekraczać objętościowo stronę A4, a jest spora szansa, że nawet wtedy może ona nie spełniać wszystkich wymogów z RODO. Dlatego przy jej przygotowaniu warto korzystać z pomocy ekspertów i treściwie przekazywać niezbędne informacje.

W kontekście cyfrowym, takim kreatywnym rozwiązaniem może być zastosowanie warstwowego wyświetlania poszczególnych informacji. Przykładowo, zamiast jednego, obszernego komunikatu można np. pozostawić widoczną jedynie część tekstu z jednoczesną opcją „zobacz więcej”. Mimo, że RODO wprost nie odnosi się do takiego modelu, możliwość jego wykorzystania jest stosowana w praktyce i potwierdzona w oficjalnych wytycznych dot. przejrzystości przetwarzania danych. Oczywiście, metoda taka nie może wprowadzać w błąd, a przekazywane informacje muszą być spójne.

Analogicznie, w przypadku sprzedaży stacjonarnej warto zadbać nie tylko o rozbudowane polityki prywatności i klauzule (oczywiście przydatne by udowodnić zgodność działania z RODO), ale przede wszystkim o prawidłowe przeszkolenie pracowników i spójną komunikację na każdym etapie obsługi. Nawet najlepsza polityka prywatności nie jest wystarczająca, jeżeli klienci są wprowadzani w błąd przez personel.

Uwaga – pamiętać trzeba, że za wykonanie obowiązków odpowiada podmiot określający cele i sposoby przetwarzania danych (administrator). Nie oznacza to, że musi je zawsze wykonywać osobiście, może posłużyć się swoimi kontrahentami (np. podmiotami wysyłającymi mailingi / prowadzącymi sklep etc.). Warto jednak pamiętać, że za ew. zaniechania swoich kontrahentów finalnie odpowiada administrator. W tym kontekście nie należy zapominać o odpowiednim zabezpieczeniu finansowania przez kontrahentów ew. kar administracyjnych nakładanych w przypadku zaniedbań po ich stronie.

Prawidłowość dotychczasowych działań

Przedstawione wymogi RODO odnoszą się nie tylko do przetwarzania, które rozpocznie się po 25 maja 2018 r., ale również trwającego obecnie, a które ma być kontynuowane po tej dacie. W rezultacie każdy administrator musi przed upływem tego terminu przekazać podmiotowi wymagane przepisami informacje, a zaniechanie w tym zakresie może stanowić podstawę kar finansowych sięgających nawet 20 mln euro / 4% rocznego obrotu przedsiębiorcy, poprzedzającego rok nałożenia kary (zastosowanie ma kwota wyższa).

W tym kontekście warto mieć na uwadze, że nawet jeśli do tej pory obowiązki były prawidłowo wykonywane, RODO rozszerza ich zakres. Dotychczasowe przekazanie informacji oczywiście pozostaje skuteczne, jednak należy je uzupełnić o informacje, których obowiązek przekazania jest nowością na gruncie RODO. Powtórne przekazywanie wszystkich wymaganych informacji jest niepraktyczne

Podsumowując, w praktyce warto pamiętać przede wszystkim o rozszerzeniu zakresu obligatoryjnie przekazywanych informacji. Oznacza to, że nawet przedsiębiorcy, którzy do tej pory działali zgodnie z przepisami, muszą podjąć wymagane przepisami działania. Na szczęście, wypracowywane są już metody pozwalające na racjonalną komunikację z klientami, przy jednoczesnym działaniu w zgodzie z nowymi przepisami.