Article image

Jak poprawnie zrealizować obowiązek informacyjny zgodnie z wymaganiami RODO

6 min czytania
04.04.2019

Informacja o nałożeniu pierwszej kary RODO za nieprawidłowe przetwarzanie danych osobowych obiegła świat mediów. 15 marca wydana została decyzja, z której wynika, że warszawska spółka gromadząca ogólnodostępne dane podane w sieci w Monitorze Sądowym i Gospodarczym oraz CEiDG, KRS, CEPiK i GUS,  umożliwiające weryfikację i wiarygodność podmiotów gospodarczych, ukarana została za niedopełnienie obowiązku informacyjnego.

Prezes UODO Edyta Bielak-Jomaa na specjalnie zwołanej konferencji prasowej uzasadniała, dlaczego kara ta okazała się tak sroga, wynosi bowiem blisko 1 milion złotych (dokładni 943 tys. zł) . Efektem nieprawidłowo prowadzonych działań w zakresie realizacji obowiązku informacyjnego z art. 14 RODO była bowiem sytuacja w której osoby, których dane były przetwarzane nie były świadome, że ich dane podlegają przetwarzaniu przez ukarany podmiot  i nie mogły zrealizować pozostałych praw wynikających z przepisów.

Obowiązek informacyjny w RODO

Obowiązek informacyjny to jedna z ważniejszych zasad Rozporządzenia o Ochronie Danych Osobowych. Każdy administrator dysponujący danymi osobowymi w określonym przepisami czasie zobowiązany jest do przekazania osobom, których dane są przetwarzane szeregu informacji określonych w RODO. Całość musi odbywać się w sposób jasny i zrozumiały, bowiem tylko wówczas osoba skutecznie poinformowana jest w stanie podjąć świadome i dobrowolne działania związane z przetwarzaniem jej danych, realizować swoje uprawnienia oraz jeżeli zaistnieje taka ewentualność skutecznie interweniować w razie nieprawidłowości w tym zakresie.


Ważne: Administrator ma obowiązek udzielenia podmiotom określonych informacji o przetwarzaniu ich danych osobowych w momencie, kiedy rozważa on dalsze ich przetwarzanie w innych celach niezwiązanych z ówczesnym celem ich zebrania. W takiej sytuacji informacja ta powinna trafić do podmiotów przed podjęciem jakichkolwiek kroków w celu ich dalszego przetwarzania. Przetwarzanie danych w każdym celu wymaga zgody ich właściciela.


Potwierdzeniem tych informacji jest wypowiedź Dyrektora Departamentu Zarządzania Danymi z Ministerstwa Adiunkta, Politechniki Warszawskiej dr Macieja Kaweckiego:
Gromadzenie danych osobowych w inny sposób niż od osoby, której one dotyczą

Pozyskiwanie danych w sposób inny niż od danej osoby, której one dotyczą polega na gromadzeniu ich z innych źródeł, jest to tak zwane wtórne gromadzenie danych. W tym celu administrator może skorzystać np. z publicznych rejestrów oraz ze współpracy z innymi podmiotami np. kupno bazy mailingowej od innego administratora. Podmiot danych nie uczestniczy więc w tym procesie świadomie. Należy jednak wspomnieć o przypadkach pierwotnego gromadzenia danych przez administratora, w których podmiot działa na rzecz osoby, której te dane dotyczą jest to między innymi działanie rodzica jako przedstawiciela ustawowego np. jeżeli właściciel jest niepełnoletni.


W takich przypadkach, koniecznym jest spełnienie obowiązku informacyjnego dla podmiotu, który pozyskał dane w inny sposób, niż od osoby, której one dotyczą zgodnie z art. 14 RODO


Ważną kwestią jest przekazanie przez Administratora danych, wszelkich niezbędnych informacji w rozsądnym terminie po ich pozyskaniu, okres ten nie może być dłuższy niż miesiąc od chwili zgromadzenia.

Administrator musi mieć na uwadze wszelkie zaistniałe okoliczności w jakich informacje zostały pozyskane i jak najszybciej spełnić swój obowiązek. Okres miesiąca jest terminem granicznym. Administrator zobowiązany jest do podania informacji podmiotowi o źródle pochodzenia danych. W sytuacji kiedy dane pozyskane zostały z różnych źródeł, dopuszczalne jest przedstawienie tych danych w sposób ogólny – jest to jednak wyjątek, takie działania mogą mieć miejsce jedynie w konkretnych okolicznościach o charakterze obiektywnym a nie wyznaczać subiektywne odczucia administratora.

Jakie dane powinny zostać przekazane osobie której one dotyczą?

Kolejny istotny punkt, dotyczy już samej treści przekazywanych informacji. Ilość i zakres danych, które powinny być przekazane może różnić się w zależności od konkretnej sytuacji. Jak to wygląda z punktu widzenia RODO i jakie dane powinny zostać przekazane? Zgodnie z art. 14 ust. 1 i 2 są to:

  • wszelkie informacje dotyczące tożsamości danych kontaktowych administratora,
  • w zaistniałej sytuacji, która ma miejsce: tożsamość i dane kontaktowe przedstawiciela administratora,
  • w zaistniałej sytuacji, która ma miejsce: dane kontaktowe inspektora ochrony danych,
  • cele w jakich dane są przetwarzane oraz podstawę prawną przetarzania,
  • kategorie odnośnych danych osobowych;
  • realizowane interesy na podstawie, których odbywa się przetwarzanie danych osobowych – jeżeli podstawą przetarzania jest uzasadniony prawnie interes administratora,
  • informacje o odbiorcach lub kategoriach odbiorców danych,
  • w zaistniałej sytuacji, która ma miejsce: informacje o przekazaniu danych do państwa trzeciego lub organizacji międzynarodowej a także warunkach ich przekazania,
  • czas i okres, w którym dane zostaną przechowywane, w sytuacji kiedy nie jest to możliwe – kryteria, na podstawie których okres ten został ustalony,
  • informacje o prawach przysługujących właścicielowi danych,
  • informacje o prawie do cofnięcia zgody na przekazanie danych w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania,
  • informacje o możliwości wniesienia skargi do organu nadzorczego,
  • informacje o źródle pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych,
  • informacje o profilowaniu oraz innych dotyczących zautomatyzowanego podejmowania decyzji.

Podanie konkretnego celu przetwarzania danych

Jak zostało wspomniane wcześniej, administrator dysponujący danymi osobowymi innych osób zobowiązany jest do przekazania precyzyjnych informacji na temat celów ich wykorzystania. Koniecznym jest podanie jasnych informacji, z tego względu nieprawidłowym jest wskazanie w klauzuli informacyjnej, że dane osobowe mogą być przetwarzane np. w celu marketingowych, w takiej sytuacji właściciel danych nie ma pewności co do konkretnego celu tych działań i dokładnego miejsca gdzie zostaną one przekazane. Koniecznym jest użycie sformułowania, że dane osobowe nie “mogą ale “będą” przetwarzane w konkretnym celu.

kara za rodo - post 2

Umowa powierzenia danych osobowych

Kwestią konieczną jest zwrócenie uwagi przez administratora, czy któryś z podmiotów nie ma siedziby w państwie trzecim – poza Europejskim Obszarem Gospodarczym. W takich przypadkach katalog przekazanych informacji powinien zawierać wpis o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej a także o odpowiednim stopniu ochrony lub wzmiankę o właściwych zabezpieczeniach,  miejscu udostępnienia danych, możliwości otrzymania kopii.

Jakie prawa przysługują właścicielowi danych:

  • prawo do żądania dostępu do danych osobowych,
  • możliwość ich sprostowania, usunięcia lub ograniczenia przetwarzania,
  • możliwości wniesienia sprzeciwu wobec przetwarzania,
  • możliwości przenoszenia danych,
  • możliwości wniesienia skargi do organu nadzorczego.

Dodatkowo: Podmiot powinien wskazać właścicielowi jakie kroki może podjąć aby móc z obowiązującego prawa realnie korzystać.


O tym powinieneś wiedzieć: Ważną kwestią jest sytuacja w której dane osobowe zostają gromadzone w związku z wymogiem ustawowym, umownym lub są warunkiem zawarcia umowy pomiędzy stronami. Właściciel danych osobowych, jest wówczas zobowiązany do ich podania. W takim przypadku administrator danych powinien poinformować podmiot o takiej sytuacji i wskazać jakie będą ewentualne konsekwencje ich nie podania np. brak możliwości zawarcia umowy.


Profilowanie i zautomatyzowane przekazywanie danych

Art. 14 RODO, zobowiązuje administratora do przekazania konkretnych informacji dotyczących automatycznego podejmowania decyzji, które oparte zostały wyłącznie na zautomatyzowanym przetwarzaniu w tym profilowaniu. Dodatkowo, musi poinformować go o wywołujących wobec podmiotów skutków prawnych lub w podany sposób istotnie na nie wpływających.

Brak odpowiednich danych a spełnienie obowiązku RODO

Jednym z możliwych rozwiązań związanych z uzupełnienim danych gdy nie mamy danych kontaktowych jest wzbogacenie danych , tak abyś mógł bezpiecznie z nich korzystać i co najważniejsze będziesz mógł poinformować o przetwarzaniu tych danych w sposób właściwy i zgodny z Rozporządzeniem o Ochronie danych osobowych.

kara za rodo - post 3

Działamy zgodnie z prawem

Budowanie baz mailingowych, prowadzenie kampanii marketingowych oraz przekazywanie zbiorów danych musi być ściśle zgodne z Rozporządzeniem o Ochronie Danych Osobowych. W gruncie rzeczy nie stanowi to żadnego problemu, jednak wymaga specjalnej wiedzy i know-how. Tutaj istotna jest każda informacja począwszy od sposobu konstrukcji zgody na przetwarzanie danych, zbudowania mechanizmów prawnych oraz informatycznych w celu zabezpieczenia danych czy znajomości zasad związanych z ich udostępnieniem. Aby wszystko mogło zostać zrealizowane tak jak należy i spełnić wszelkie normy prawne konieczne jest skorzystanie z usług firmy, która posiada odpowiednie doświadczenie i umiejętności w tym zakresie. W praktyce działania profesjonalnych firm zajmujących się e-mailingiem lub telemarketingiem wyróżniane są dwa podstawowe modele działania:

  1. Przekazywanie wyselekcjonowanych według określonych przez klienta danych na potrzeby przeprowadzenia kampanii bezpośrednio przez tego Klienta, dokładniej mówiąc skorzystanie z opisanego modelu licencyjnego, działanie brokera danych, które dostosowane jest do obecnych realiów i ograniczeń z tym związanych jednak nie zwalnia odbiorcy danych do spełnienia określonych warunków i postępowania zgodnie z RODO.
  2. Prowadzenie kampanii we własnym imieniu, przy wykorzystaniu własnych narzędzi, na zlecenie klienta, gdzie w praktyce nie dochodzi do przekazania danych – W tym przypadku firma, która jest beneficjentem kampanii może czuć się w pełni bezpieczna. Całe ryzyko prawne obciąża bowiem firmę prowadzącą kampanię. Klient nie musi więc martwić się o to czy dane pozyskane zostały prawidłowo oraz czy zostały uzyskane wszystkie niezbędne zgody.

Dane w skrótach MD5

Ze względu na zapewnienie odpowiedniej ochrony danych osobowych Klientów i zachowania pełnej zgodności z obowiązującym rozporządzeniem, niemożliwe jest przyjmowanie danych niezakodowanych. Skróty MD5 nie zostają przez firmę odkodowane i nie jest to możliwe. Bez problemu jednak specjaliści są w stanie porównać je z wygenerowanymi przez nich skrótami MD5. W momencie kiedy skrót MD5 będzie identyczny do tego, który został wygenerowany przez specjalistów wzbogacenie danych będzie możliwe.

Jak tworzony jest plik MD5?

  1. Za pomocą specjalnej aplikacji, która przygotowana została przez specjalistów pracujących w zespole DMS. W aplikacji wskazywany jest plik CSV, który zawiera kolumnę danych jednego typu np. imię i nazwisko czy adresy e-mail. Po wpisaniu danych i kliknięciu przycisku uruchom aplikacja zmieni podane dane na skróty MD5.
  2. Możliwość przygotowania pliku CSV swoim ulubionym sposobem. Ważne jest aby skróty DM5 przygotowane zostały w odpowiednim formacie:
    1. Adresy email – wszystkie litery małe
    2. Numery telefonu – w formacie 9 cyfrowym, bez prefiksów (48, +48 etc.), spacji, myślników np. 221647844
    3. NIP – bez spacji i myślników w formacie 10 cyfrowym np. 5272644702
    4. REGON – bez spacji i myślników w formacie 9 cyfrowym np. 142741338
    5. PESEL – bez spacji i myślników w formacie 11 cyfrowym np. 12345678901

Informacja o karze przyznanej za naruszenie Rozporządzenia o Ochronie Danych Osobowych przez pewną firmę, niemal sparaliżowała świat Internetu. Automatycznie na myśl nasuwa się pytanie – czy będą kolejne? Jeżeli chcemy ich uniknąć musimy postępować zgodnie z prawem i spełniać wszelkie obowiązujące normy związane z pełnoprawnym przetwarzaniem danych osobowych. W tym celu koniecznym jest zagłębienie się w kwestię RODO lub skorzystanie z profesjonalnej firmy, która nam w tym pomoże.