Strona: FAQ - Klauzula informacyjna (obowiązek informacyjny) / Inspektorat Ochrony Danych Osobowych

Obowiązek informacyjny to treść, którą administrator danych (Politechnika Rzeszowska) jest zobowiązany przekazać osobie, której dane przetwarza. Obowiązek informacyjny jest realizowany poprzez przekazanie (odczytanie) klauzuli informacyjnej, która zawiera podstawowe informacje na temat procesu przetwarzania danych osobowych oraz praw przysługujących osobie w związku z tym przetwarzaniem.

Obowiązek informacyjny realizuje administrator danych. Oznacza to, że w każdym przypadku, w którym Politechnika Rzeszowska samodzielnie decyduje o celach i sposobach przetwarzania danych osobowych (przeprowadza rekrutację na wolne stanowisko pracy, organizuje konkurs, itp.), to Politechnika Rzeszowska - jako administrator danych - jest odpowiedzialna za zrealizowanie obowiązku informacyjnego.

W przypadku gdy Uczelnia nawiązuje współpracę z innym podmiotem (umowa konsorcjum, współorganizacja konferencji, itp.), skutkującą wspólnym ustalaniem celów i sposobów przetwarzania danych osobowych, dochodzi do sytuacji współadministrowania danymi. W takim przypadku strony zawierają umowę o współadministrowaniu danymi osobowymi, w której wspólnie ustalają m.in. kto i na jakich zasadach realizuje obowiązek informacyjny.

Obowiązek informacyjny opracowuje osoba lub jednostka organizacyjna Uczelni, która pozyskuje dane osobowe i to ona odpowiada za jego treść. Klauzula informacyjna zawiera podstawowe informacje na temat całego procesu przetwarzania danych osobowych (od ich zbierania, poprzez dalsze przetwarzanie, aż po ich archiwizację i usuwanie), zaś pełną merytoryczną wiedzę na temat tego procesu posiada osoba/jednostka, która go realizuje.

Inspektorat Ochrony Danych Osobowych konsultuje kwestie związane z opracowywaniem klauzul informacyjnych, nie ponosi jednak odpowiedzialności za ich merytoryczną treść, a w przypadku konieczności wprowadzenia zmian - za ich aktualizację. Inspektorat pełni w tym zakresie wyłącznie funkcję doradczą oraz kontrolną.

Zgodnie z art. 12 ust. 1 RODO "administrator podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem - w szczególności gdy informacje są kierowane do dziecka - udzielić osobie, której dane dotyczą, wszelkich informacji, o których mowa w art. 13 i 14 (...)". Ponadto art. 12 ust. 7 RODO wskazuje, że "informacje, których udziela się osobom, których dane dotyczą, na mocy art. 13 i 14, można opatrzyć standardowymi znakami graficznymi, które w widoczny, zrozumiały i czytelny sposób przedstawią sens zamierzonego przetwarzania. Jeżeli znaki te są przedstawione elektronicznie, muszą się nadawać do odczytu maszynowego".

Powyższe zapisy to jedyne wytyczne dotyczące klauzul informacyjnych, jakie znajdziemy w RODO. Przy tworzeniu klauzul informacyjnych należy pamiętać, aby były one proste, czytelne i zrozumiałe dla osób, które będą ich odbiorcami. Innymi słowy - treść klauzuli informacyjnej powinien zrozumieć każdy, bez względu na wiek, wykształcenie, czy znajomość RODO.

Zakres informacji jakie powinna zawierać klauzula informacyjna został określony w art. 13 i 14 RODO.

Administrator danych (Politechnika Rzeszowska) realizuje obowiązek informacyjny zgodny z:

• art. 13 RODO - gdy Uczelnia pozyskuje dane osobowe bezpośrednio od osób, których dane dotyczą (np. poprzez kwestionariusz, formularz on-line, rozmowę, itp.),
• art. 14 RODO - gdy Uczelnia pozyskała dane osobowe z innego źródła niż od osoby, której dane dotyczą (np. zostały przekazane Uczelni przez inny podmiot lub pozyskane z ogólnodostępnych baz danych).

W przypadku zbierania danych bezpośrednio od osoby, której dane dotyczą, administrator nie ma obowiązku przekazywania pełnej treści klauzuli informacyjnej "(...) gdy - i w zakresie, w jakim - osoba, której dane dotyczą, dysponuje już tymi informacjami" (art. 13 ust. 4 RODO).

Z kolei w przypadku pozyskania danych osobowych z innego źródła, niż od osoby, której dane dotyczą, administrator nie ma obowiązku przekazywania pełnej treści klauzuli informacyjnej gdy - i w zakresie jakim:

• "osoba, której dane dotyczą, dysponuje już tymi informacjami;
• udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku; (...). W takich przypadkach administrator podejmuje odpowiednie środki, by chronić prawa i wolności oraz prawnie uzasadnione interesy osoby, której dane dotyczą, w tym udostępnia informacje publiczne;
• pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą; lub
• dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy" (art. 14 ust. 5 RODO).

Należy jednak pamiętać, że to na administratorze danych spoczywa ciężar udowodnienia, że osoba której dane dotyczą, dysponowała wszystkimi informacjami zawartymi w pełnej treści obowiązku informacyjnego, opracowanego na podstawie art. 13 lub 14 RODO.

Jeżeli dane osobowe są zbierane bezpośrednio od osoby, której dane dotyczą, informacje o których mowa w art. 13 RODO podaje się podczas pozyskiwania danych.

Jeżeli dane osobowe są pozyskiwane z innego źródła, informacje o których mowa w art. 14 ust. 1 i 2 RODO podaje się:

• "w rozsądnym terminie po pozyskaniu danych osobowych - najpóźniej w ciągu miesiąca - mając na uwadze konkretne okoliczności przetwarzania danych osobowych;
• jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą - najpóźniej przy pierwszej takiej komunikacji z osobą, której dane dotyczą; lub
• jeżeli planuje się ujawnić dane osobowe innemu odbiorcy - najpóźniej przy ich pierwszym ujawnieniu" (art. 14 ust. 3 RODO).

Obowiązek informacyjny można realizować m.in. poprzez zamieszczenie klauzuli w formularzu papierowym, elektronicznym, na dedykowanej stronie internetowej lub poprzez odczytanie jej treści podczas rozmowy telefonicznej.

Obowiązek informacyjny może być realizowany warstwowo. Oznacza to, że administrator może przekazać osobie, której dane dotyczą, pierwszą (skróconą) warstwę klauzuli informacyjnej oraz odnośnik (link do dedykowanej strony internetowej, plik do pobrania) do drugiej warstwy zawierającej pełną treść klauzuli informacyjnej.

Zgodnie z art. 12 ust. 5 RODO "informacje podawane na mocy art. 13 i 14 (...) są wolne od opłat".

Administrator danych - uwzględniając zasadę rozliczalności - musi być w stanie wykazać realizację obowiązków nałożonych na niego przez RODO. Jednym z obowiązków Politechniki Rzeszowskiej jest udzielanie osobom, których dane dotyczą, informacji o których mowa w art. 13 i 14 RODO (czyli tzw. realizowanie obowiązku informacyjnego). Uczelnia jest więc zobligowana do przekazywania osobom, których dane przetwarza, określonego zakresu informacji. Dowodem zrealizowania tego obowiązku może być np. wzór formularza służącego do pozyskiwania danych osobowych, zawierający treść klauzuli informacyjnej.

Administrator nie ma obowiązku dokumentowania faktu zapoznania się z treścią klauzuli informacyjnej przez jej odbiorcę. To od odbiorcy klauzuli zależy, czy zapozna się z treścią klauzuli informacyjnej oraz kiedy to zrobi.

Rolą Inspektoratu Ochrony Danych Osobowych w procesie realizowania obowiązku informacyjnego jest uświadamianie pracowników o spoczywających na nich obowiązkach oraz sprawowanie kontroli w zakresie tego, czy obowiązek informacyjny został zrealizowany prawidłowo - m.in. czy klauzula zawiera wszystkie informacje wymagane przepisami prawa, czy odpowiada rzeczywistym procesom związanym z przetwarzaniem danych osobowych, a także czy została napisana prostym i zrozumiałym językiem.