RODO. Organizacja zbiera dane osobowe i realizuje obowiązek informacyjny
Niemal każda NGO zbiera lub będzie zbierać dane osobowe. W związku z tym musi stosować się do RODO i wynikających z niego obowiązków. Jednym z nich jest obowiązek informacyjny. Kogo i o czym musimy informować?
25 maja 2018 r. zacznie obowiązywać Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO). Będzie dotyczyło ono również przetwarzania danych przez organizacje pozarządowe. Od kilku miesięcy przypominamy o tym w portalu ngo.pl.
Osoby, których dane są zbierane, mają swoje prawa. Przede wszystkim muszą mieć świadomość, kto i do jakich celów zbiera o nich dane, a także jakie to są dane i jak długo będą przechowywane. Mają też m.in. możliwość wglądu w swoje dane czy wyrażenia sprzeciwu – żądania, aby dany podmiot przestał zbierać o nich informacje. Jednym z bardziej znaczących przejawów tego, że osoba, której dane dotyczą decyduje o tym, co można z nimi robić są zgody, o których pisaliśmy wcześniej.
Poniżej przedstawiamy jeden z rozdziałów przygotowywanej przez portal NGO.PL publikacji dotyczącej stosowania RODO przez organizacje pozarządowe. Rozdział ten dotyczy właśnie obowiązku informacyjnego. Całość przygotowywanego przez NGO.PL podręcznika dostępna będzie w formacie PDF już wkrótce!
Obowiązek informacyjny ciąży na administratorze danych osobowych. Zgodnie z zasadą rozliczalności musi on udowodnić, że przekazał informacje wymagane przez RODO osobom, których dane są przetwarzane.
Zasadniczym celem obowiązku informacyjnego jest budowanie świadomości osoby, której dane dotyczą o procesie przetwarzania jej danych oraz o związanych z nim prawach w celu ochrony autonomii informacyjnej.
Informacje powinny być przekazane w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem – w szczególności gdy informacje są kierowane do dziecka. Informacje takie można opatrzyć standardowymi znakami graficznymi, które w widoczny, zrozumiały i czytelny sposób przedstawią sens zamierzonego przetwarzania. Informacje te można przekazać na piśmie lub w inny sposób (również elektronicznie).
Informacje są zasadniczo przekazywane bezpłatnie. RODO wprowadza wyjątek od tej zasady, jeżeli żądania osoby, której dane dotyczą, są ewidentnie nieuzasadnione lub nadmierne, w szczególności ze względu na swój ustawiczny charakter. Wówczas administrator może pobrać opłatę lub odmówić podjęcia działań w związku z żądaniem. Należy pamiętać, że obowiązek wykazania, że żądanie ma ewidentnie nieuzasadniony lub nadmierny charakter, spoczywa na administratorze.
Zakres informacji oraz sposób ich udzielenia zależy od tego, jak administrator pozyskał dane osobowe, które przetwarza – czy dane uzyskał bezpośrednio od osoby, której dane dotyczą (art. 13 RODO), czy z innych źródeł (art. 14 RODO).
Informacje podawane w przypadku zbierania danych od osoby, której dane dotyczą
Z pozyskiwaniem danych osobowych od osoby, której dane dotyczą mamy do czynienia w przypadku, gdy osoba ta sama, świadomie dostarcza administratorowi swoje dane.
Pomimo że katalog informacji, które administrator jest zobowiązany podać jest szeroki, administrator nie zawsze podaje wszystkie informacje.
- tożsamość i dane kontaktowe administratora;
- cele oraz podstawę prawną przetwarzania danych;
- okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
-
informacje o prawie do żądania od administratora:
- dostępu do danych osobowych dotyczących osoby, której dane dotyczą;
- sprostowania;
- usunięcia;
- ograniczenia przetwarzania;
- o prawie do wniesienia sprzeciwu wobec przetwarzania;
- o prawie do przenoszenia danych;
- o prawie wniesienia skargi do organu nadzorczego.
Ponadto administrator podaje następujące informacje (jeśli go dotyczą):
- tożsamość i dane kontaktowe swojego przedstawiciela;
- dane kontaktowe inspektora ochrony danych;
- oświadczenie o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub nie przez Komisję Europejską odpowiedniego stopnia ochrony danych osobowych w państwie trzecim lub w przypadku przekazania danych wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych;
- prawnie uzasadnione interesy administratora lub osoby trzeciej, jeśli przetwarzanie odbywa się na tej podstawie;
- o odbiorcach lub o kategoriach odbiorców danych osobowych;
- o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
- czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
- o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, oraz istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą;
- jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym te dane zostały pozyskane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji.
Administrator ma obowiązek podać wszystkie powyższe informacje – jeśli go dotyczą. Przykładowo: kiedy administrator powołał inspektora ochrony danych, to musi podawać informacje o jego danych kontaktowych.
Wyjątek od obowiązku informacyjnego – administrator nie musi udzielać osobie, której dane dotyczą informacji, którymi osoba ta już dysponuje.
Informacje podawane w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą
Z pozyskiwaniem danych osobowych w sposób inny niż od osoby, której dotyczą mamy do czynienia, gdy administrator nie pozyskuje danych bezpośrednio. Np. organizacja kupuje bazę danych z nazwiskami osób, do których zamierza wysłać mailing promujący 1%
Administrator podaje więc:
-
informacje wskazane powyżej – opisane w punktach: a, b, c, d oraz 1, 2, 3, 4, 5, 6 i 8
-
oraz dodatkowo informuje o:
- kategoriach odnośnych danych osobowych – czyli informacje o rodzaju przetwarzanych danych (np. imię i nazwisko, adres, data urodzenia, ponieważ możemy posiadać ich mniej niż podmiot, od którego dane pozyskaliśmy);
- źródle pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych (np. z KRS).
Administrator jest zwolniony z obowiązku przekazywania informacji jeśli:
- osoba, której dane dotyczą, dysponuje już tymi informacjami;
-
jeżeli udzielenie takich informacji:
- okazuje się niemożliwe lub
- wymagałoby niewspółmiernie dużego wysiłku;
- może uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania;
W wypadkach wskazanych powyżej administrator podejmuje odpowiednie środki, by chronić prawa i wolności oraz prawnie uzasadnione interesy osoby, której dane dotyczą.
- pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą;
- dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy.
Zobacz też inne opracowania o RODO przygotowane z myślą o organizacjach pozarządowych:
Jak przestrzegać prawa w NGO, jakie przepisy są ważne dla NGO – dowiesz się w serwisie poradnik.ngo.pl.
Źródło: inf. własna (poradnik.ngo.pl)
Skorzystaj ze Stołecznego Centrum Wspierania Organizacji Pozarządowych
(22) 828 91 23