Kiedy nie trzeba spełniać obowiązku informacyjnego z RODO

Administrator danych podczas pozyskiwania danych osobowych, zbieranych od osoby, której dane dotyczą dopełnia tzw. obowiązek informacyjny, czyli podaje jej wszystkie wymagane przez RODO informacje. Warto jednak pamiętać, że RODO przewiduje wyłączenia od tego obowiązku. I właśnie te sytuacje omawiamy.

 

Obowiązek informacyjny jest wyłączony gdy:

  • Osoba, której dane dotyczą, dysponuje już tymi informacjami; do skutecznego powołania się na tę przesłankę nie jest wystarczające jedynie subiektywne przekonanie administratora o zaistnieniu tej okoliczności. To, że podmiot danych dysponuje określonymi informacjami, musi być potwierdzone.
  • Udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku; w szczególności w przypadku przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, z zastrzeżeniem zastosowania odpowiednich warunków i zabezpieczeń przewidzianych przez RODO.
  • Pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą.

Na przykład a podstawie prawa krajowego organ podatkowy podlega obowiązkowemu wymogowi pozyskania od pracodawcy szczegółowych informacji na temat wynagrodzenia pracowników. Dane osobowe nie zostają pozyskane od osoby, której dane dotyczą, i w związku z tym organ podatkowy podlega wymogom określonym w art. 14. Ponieważ pozyskiwanie danych osobowych od pracodawcy przez organ podatkowy jest wyraźnie uregulowane prawem, w tym przypadku wymogi udzielenia informacji określone w art. 14 nie mają zastosowania do organu podatkowego.

  • Dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy.

Na przykład przedstawiciel zawodu medycznego (administrator danych) podlega zawodowemu obowiązkowi zachowania tajemnicy w odniesieniu do informacji medycznych dotyczących jego pacjenta. Pacjentka (w odniesieniu do której zawodowy obowiązek zachowania tajemnicy ma zastosowanie) dostarcza przedstawicielowi zawodu medycznego informacje dotyczące jej zdrowia związane z chorobą genetyczną, na którą cierpi również wielu jej krewnych. Pacjentka dostarcza również przedstawicielowi
zawodu medycznego niektóre dane osobowe dotyczącego jej krewnych (osób, których dane dotyczą), którzy cierpią na tę samą chorobę. Przedstawiciel zawodu medycznego nie ma obowiązku udzielania krewnym informacji, o których mowa w art. 14, ponieważ zastosowanie ma odstępstwo określone w art. 14 ust. 5 lit. d). Jeśli przedstawiciel zawodu medycznego udzieliłby krewnym informacji, o których mowa w art. 14, naruszony zostałby obowiązek zachowania tajemnicy zawodowej, który przedstawiciel zawodu medycznego ma wobec swojego pacjentaOcena, czy w danym przypadku obowiązek informacyjny spoczywa na administratorze i w jakim zakresie, powinna być dokonywana na czas pozyskiwania danych, a katalog tych sytuacji, jest katalogiem zamkniętym i różni się w zależności od tego czy dane zbierane są bezpośrednio od osoby, której dotyczą czy z innego źródła.

Możliwe jest zwolnienie z obowiązku informacyjnego w części – w zakresie, w jakim osoba, której dane dotyczą, te informacje posiada. W pozostałym zakresie obowiązek ten pozostaje aktualny.

Przepisy prawa mogą zwalniać administratorów z obowiązku informacyjnego w niektórych przypadkach. Przykładem takiego częściowego zwolnienia może być sytuacja, kiedy klient wobec którego administrator dopełnił w całości obowiązku informacyjnego podczas zawierania pierwszej umowy, decyduje się na skorzystanie z innych ofert tego samego administratora. W tym zakresie podaje on, jeśli jest taka potrzeba, dodatkowe dane i zawiera nową umowę. W tym zakresie, administrator przyjmuje, że ten klient dysponuje już informacjami co do tego, kto przetwarza jego dane osobowe, jakie przysługują mu w tym zakresie prawa. Obowiązek informacyjny może być w takim wypadku ograniczony do podania nowych podstaw i celów przetwarzania danych, terminów usunięcia danych czy też kategorii odbiorców. Trzeba tutaj pamiętać, że zgodnie z zasadą rozliczalności, administrator, który powołuje się na zwolnienie z obowiązku, powinien być w stanie przedstawić, jakie informacje osoba już posiada, jak i kiedy je otrzymała oraz, że od  czasu pierwszego dopełnienia obowiązku informacyjnego nie nastąpiły żadne zmiany w tych informacjach, które uczyniłyby je nieaktualnymi.

W przypadku pozyskiwania danych z innego źródła niż od osoby, której dane dotyczą RODO przewiduje zwolnienie z obowiązku informacyjnego, nie tylko gdy podmiot danych dysponuje już określonymi informacjami, ale także w sytuacji gdy udzielenie niezbędnych informacji jest niemożliwe lub co prawda byłoby możliwe, jednak wymagałoby niewspółmiernie dużego wysiłku. Prawodawca  europejski wskazał, że z taką sytuacją administrator może mieć do czynienia w szczególności w przypadku przetwarzania danych do celów archiwalnych w interesie publicznym, badań naukowych, badań historycznych lub statystycznych.

Rozpatrując zaistnienie okoliczności w postaci niemożności lub niewspółmiernie dużego wysiłku jako podstawy do zwolnienia z obowiązku informacyjnego, uwzględnić należy liczbę osób, których dane dotyczą, okres przechowywania danych oraz wszelkie przyjęte odpowiednie zabezpieczenia. Ocena taka powinna być dokonywana indywidualnie w odniesieniu do każdego przypadku.

Odstępując od realizacji obowiązku informacyjnego z uwagi na brak możliwości powiadomienia lub niewspółmiernie duży wysiłek, administrator musi podjąć odpowiednie środki mające chronić prawa i wolności oraz prawnie usprawiedliwione interesy podmiotu danych. Naukowcy zajmujący się badaniami historycznymi, którzy chcą prześledzić pochodzenie na podstawie nazwisk, pośrednio uzyskują obszerny zbiór danych dotyczących 10 000 osób. Dane należące do zbioru zostały jednak zebrane 30 lat temu i nie były od tego czasu aktualizowane oraz nie zawierają żadnych danych kontaktowych. Biorąc pod uwagę wielkość bazy danych, a w szczególności okres przechowywania danych, podjęcie przez naukowców indywidualnych prób odnalezienia osób, których dane dotyczą, w celu udzielenia im informacji określonych w art. 14 wymagałoby niewspółmiernie dużego wysiłku.

Udzielenie informacji podmiotowi danych, przy pośrednim gromadzeniu jego danych osobowych może być niemożliwe w przypadku zakupu bazy bez danych kontaktowych tych osób. Niewspółmiernie duży wysiłek będzie miał z kolei miejsce w przypadku zakupu wielomilionowej bazy danych, gdzie administrator nie ma pewności co do aktualności kupowanych danych osobowych. W takim przypadku warto jednak zastanowić się nad zasadnością kupna takiej bazy, na co wielokrotnie prawnicy Audytela zwracają uwagę uczestnikom na szkoleniach

RODO, daje także administratorowi podstawę zwolnienia z realizacji obowiązku informacyjnego, w przypadkach, kiedy przekazanie przez administratora informacji może uniemożliwić lub poważnie zaszkodzić realizacji celów przetwarzania.
Przykładem może być gromadzenie danych z innych źródeł niż od osoby, której dane dotyczą w związku z obowiązkami prawnymi, gdzie przedstawienie osobie, której dane dotyczą informacji o przetwarzaniu jej danych mogłoby uniemożliwić realizację tych obowiązków (np. pozyskiwanie danych w związku z przeciwdziałaniem praniu pieniędzy i finansowaniu terroryzmu).

Prawo przewiduje także zwolnienia niektórych podmiotów z obowiązku informacyjnego np. adwokatów i radców prawnych, w stosunku do których istnieje ustawowy obowiązek zachowania tajemnicy zawodowej.

Podsumowując, obowiązki informacyjne odgrywają bardzo istotną rolę, a prawidłowo dopełnione sprawią że zaufanie do administratora wzrośnie. Warto jednak zwrócić uwagę na istnienie zwolnień od tego obowiązku.

Autor

Agnieszka Szalińska

Prawnik z ponad 20–letnim doświadczeniem i praktyczną znajomością zasad ochrony danych osobowych. Posiada 15-letnie doświadczenie w Biurze Generalnego Inspektora Ochrony Danych Osobowych (obecnie PUODO).
Wyróżnia się biegłością w tworzeniu dokumentacji prawnej dotyczącej ochrony danych osobowych. Stały współpracownik wielu jednostek szkoleniowych.