Administratorzy danych osobowych często muszą mierzyć się z decyzją dotyczącą realizacji obowiązku informacyjnego RODO. Chociaż przepisy jasno określają, kiedy należy przekazywać informacje o przetwarzaniu danych, równie istotna jest znajomość sytuacji zwalniających z tego wymogu. W tym artykule analizujemy przypadki, w których administrator może - lub nawet powinien - zrezygnować z przekazywania takich informacji.
Osoba już posiada informacje - co wtedy?
Administrator nie musi powtórnie informować osoby, która już dysponuje wymaganymi informacjami. Nie wystarczy jednak samo przypuszczenie czy przekonanie administratora - konieczne jest posiadanie konkretnych dowodów potwierdzających ten fakt. Wynika to bezpośrednio z zasady rozliczalności RODO, która wymaga udokumentowania wszystkich działań związanych z ochroną danych.
Zgodnie z art. 13 ust. 4 oraz art. 14 ust. 5 lit. a) RODO administrator jest zwolniony z obowiązku przekazania informacji, jeśli osoba, której dane dotyczą, już je posiada. Jednakże, zgodnie z zasadą rozliczalności, organizacja musi dysponować odpowiednią dokumentacją potwierdzającą ten fakt.
Dobrze ilustruje to przykład stałego klienta firmy. Jeśli przy zawieraniu pierwszej umowy otrzymał on komplet informacji o przetwarzaniu danych, przy kolejnych usługach administrator może ograniczyć się do przekazania tylko nowych, istotnych informacji. Mogą to być na przykład dodatkowe cele wykorzystania danych czy zmienione okresy ich przechowywania.
Zobacz też: RODO: jakie są wymogi RODO dotyczące zgody?
Kluczowe pozostaje jednak zachowanie dowodów. Administrator musi precyzyjnie dokumentować, kiedy przekazał pierwotne informacje i potwierdzić, że nie uległy one dezaktualizacji. Brak takiej dokumentacji może skutkować koniecznością ponownego wypełnienia całego obowiązku informacyjnego.
Kiedy przekazanie informacji jest niemożliwe lub wymaga zbyt dużego wysiłku?
RODO wprowadza szczególne regulacje dla sytuacji, gdy dane pochodzą z innych źródeł niż sama osoba zainteresowana. Administrator może wtedy odstąpić od obowiązku informacyjnego w dwóch przypadkach:
Pierwszym jest obiektywna niemożność przekazania informacji. Nie chodzi tu o subiektywne trudności czy niedogodności - sytuacja musi być oceniana zero-jedynkowo. Albo przekazanie informacji jest możliwe, albo nie.
Dowiedz się więcej: RODO - czym są dane osobowe?
Drugim przypadkiem jest sytuacja, gdy wypełnienie obowiązku wymagałoby niewspółmiernie dużego wysiłku. Oceniając tę przesłankę, należy wziąć pod uwagę:
wielkość przetwarzanego zbioru danych,
czas, który upłynął od ich zebrania,
dostępne dane kontaktowe,
koszty dotarcia do osób, których dane dotyczą.
Zgodnie z art. 14 ust. 5 lit. b) RODO obowiązek informacyjny nie ma zastosowania, jeśli okazuje się on niemożliwy do realizacji lub wymagałby niewspółmiernego wysiłku, zwłaszcza w przypadku przetwarzania danych do celów archiwalnych w interesie publicznym, badań naukowych lub historycznych bądź celów statystycznych.
Przykładem może być projekt badawczy wykorzystujący historyczne dane demograficzne sprzed kilkudziesięciu lat. Próba odnalezienia i poinformowania tysięcy osób, często bez aktualnych danych kontaktowych, byłaby nieproporcjonalnie kosztowna i czasochłonna w stosunku do celu przetwarzania.
Kiedy prawo zwalnia z obowiązku informacyjnego?
Przepisy RODO przewidują wyłączenie obowiązku informacyjnego, gdy pozyskiwanie lub udostępnianie danych jest jednoznacznie uregulowane przepisami prawa. Istotne jest jednak, by te przepisy zawierały odpowiednie mechanizmy ochrony praw osób, których dane dotyczą.
Zwolnienie z obowiązku informacyjnego w takich przypadkach wynika z art. 14 ust. 5 lit. c) RODO, zgodnie z którym obowiązek ten nie ma zastosowania, jeżeli pozyskiwanie lub ujawnianie danych osobowych wynika z przepisów prawa Unii Europejskiej lub prawa państwa członkowskiego, które przewidują odpowiednie środki ochrony praw osób, których dane dotyczą.
Sztandarowym przykładem jest działalność organów podatkowych. Prawo nakłada na pracodawców obowiązek przekazywania urzędom skarbowym informacji o wynagrodzeniach pracowników. W takiej sytuacji urząd nie musi dodatkowo informować pracowników o przetwarzaniu ich danych, ponieważ:
obowiązek przekazania danych wynika wprost z przepisów,
pracownicy mogą racjonalnie przewidzieć takie wykorzystanie ich danych,
istnieją ustawowe gwarancje ochrony tych informacji.
Tajemnica zawodowa i jej wpływ na obowiązek informacyjny
Szczególnym powodem wyłączenia obowiązku informacyjnego jest konieczność zachowania tajemnicy zawodowej. Dotyczy to zwłaszcza profesji, w których poufność informacji ma kluczowe znaczenie, takich jak:
zawody medyczne,
prawnicy,
psychologowie,
duchowni.
Zgodnie z art. 14 ust. 5 lit. d) RODO, obowiązek informacyjny nie ma zastosowania w sytuacjach, gdy dane osobowe muszą pozostać poufne na mocy ustawowego obowiązku zachowania tajemnicy zawodowej regulowanego przepisami prawa Unii Europejskiej lub prawa krajowego.
Na szczególną uwagę zasługuje przykład lekarza otrzymującego informacje o chorobach genetycznych. Gdy pacjent ujawnia dane dotyczące schorzeń występujących w jego rodzinie, lekarz nie ma obowiązku, a wręcz nie powinien informować krewnych pacjenta o przetwarzaniu ich danych. Zachowanie tajemnicy lekarskiej ma w tym przypadku pierwszeństwo przed obowiązkiem informacyjnym.
Istotne jest również, że tajemnica zawodowa musi wynikać z przepisów prawa - nie może być jedynie wewnętrzną polityką organizacji czy zwyczajową praktyką branżową.
Podsumowanie
Możliwość odstąpienia od obowiązku informacyjnego stanowi wyjątek, który należy interpretować zawężająco. Każda decyzja o nierealizowaniu obowiązku informacyjnego wymaga starannego udokumentowania i uzasadnienia.
Decyzja o zastosowaniu wyłączenia obowiązku informacyjnego powinna być każdorazowo odpowiednio udokumentowana, zgodnie z zasadą rozliczalności określoną w art. 5 ust. 2 RODO. Administrator powinien wykazać podstawy zwolnienia, rozważyć alternatywne sposoby informowania oraz zapewnić odpowiednie środki ochrony prywatności.
Administrator musi nie tylko wykazać podstawy swojej decyzji, ale również udowodnić, że podjął odpowiednie środki ochrony praw osób, których dane dotyczą. Kluczowe jest zachowanie właściwej równowagi między transparentnością przetwarzania a uzasadnionymi przypadkami odstępstw od standardowych wymogów RODO.
留言