logo_opentech2

AktuALNOŚCI

Facebook
Twitter
LinkedIn

Czy będziesz miał obowiązek informowania klienta…

Ministerstwa Rozwoju zaproponowało zmiany w nowej ustawie o ochronie danych osobowych. Firmy zatrudniające do 250 osób nie będą miały obowiązku informować klientów o tym, na jakich zasadach przetwarzają ich dane osobowe. Według ekspertów i GIODO taki zapis może stanowić niezgodność z przepisami unijnymi i może powodować zaskarżenie przez Komisję Europejską.  Zapis ten to naprawdę duża niezgodność z przepisami unijnymi, skąd mam wiedzieć czy kto jest administratorem danych, w jakim celu nasze dane są zbierane, przez jaki okres czasu będą przechowywane. Niepokojące jest również to, że  może dojść do wycieku danych i osoby, których dane wyciekły  nie będą wiedziały nawet, że taka sytuacja wystąpiła.

W art. 13 RODO, przepis nakazuje  informować klientów, kto będzie administratorem ich danych, jak się z nim skontaktować czy też w jakim celu dane są zbierane i na jakiej podstawie prawnej. Zgodnie z planowanym wyłączeniem polscy konsumenci nie dowiedzą się również o planowanym czasie przechowywania danych, ani o tym, że mają prawo do ich wglądu, korekty czy też przeniesienia. Poniżej przestawiamy treść art. 13 RODO.

Artykuł 13
Informacje podawane w przypadku zbierania danych od osoby, której dane dotyczą

1.  Jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, administrator podczas pozyskiwania danych osobowych podaje jej wszystkie następujące informacje:
a) swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
b) gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
c) cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania; 4.5.2016 L 119/40 Dziennik Urzędowy Unii Europejskiej PL
d) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;
e) informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
f) gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych.

2. Poza informacjami, o których mowa w ust. 1, podczas pozyskiwania danych osobowych administrator podaje osobie, której dane dotyczą, następujące inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania:
a) okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
b) informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
c) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
d) informacje o prawie wniesienia skargi do organu nadzorczego;
e) informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
f) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

3. Jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym dane osobowe zostały zebrane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji, o których mowa w ust. 2.

4. Ust. 1, 2 i 3 nie mają zastosowania, gdy – i w zakresie, w jakim – osoba, której dane dotyczą, dysponuje już tymi informacjami.

Należy pamiętać o tym, że wiele podmiotów, opracowało już odpowiednie procedury dotyczące art. 13 RODO  i zgodnie z art. 23 RODO chociaż pozwala  na dokonywanie  pewnych zmian  państwom członkowskim na ograniczenie niektórych obowiązków związanych z przetwarzaniem danych osobowych to zaproponowane wyłączenie jest jednak zbyt szerokie i może jednak doprowadzić do niezgodności z przepisami unijnymi.  

Z naszego punktu widzenia, przygotowanie jednak dokumentacji i systemów do spełnienia wymagań art. 13 RODO powinno zostać spełnione, ponieważ jest ono z jednym z elementów bezpieczeństwa ochrony danych osobowych  i dokumentowania pochodzenia tych danych  oraz trybu ich przetwarzania. Informowanie klienta o przetwarzaniu jego danych, jest dobrą praktyką i tylko podnośni odpowiedzialność firmy oraz jej prestiż, że dba o swoich klientów, a w szczególności o ich dane osobowe. 

Zmiana podejścia do ochrony danych klienta i informowaniu go w jakim zakresie przetwarzane są jego dane i z jakich źródeł są pozyskane, świadczy tylko o profesjonalnym i odpowiedzialnych działaniach podmiotu w tym zakresie.

 
 

Mariusz Piskorczyk

Specjalista ds. bezpieczeństwa informacji, ochrony danych i cyberbezpieczeństwa. Audytor wiodący ISO 27001, 9001. Od 10 lat zajmujący się praktycznie bezpieczeństwem informacji i cyberbezpieczeństwem. Administrator systemów IT.