W ramach zadanego pytania obowiązkiem administratora razem z odebraniem oświadczenia o zgodzie na przetwarzanie danych osobowych będzie również przesłanie treści obowiązku informacyjnego. Taka klauzula informacyjna powinna być również przesłana raz podczas pozyskiwania danych osobowych. Dopiero wówczas, gdy nastąpią jakiekolwiek zmiany w treści samej klauzuli administrator ma obowiązek przekazać nowo obowiązujące informacje zgodnie z art. 13 ust. 3 i 4 RODO.
Dane osobowe to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej; możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej (art. 4 pkt. 1 RODO).
Administratorem danych w rozumieniu art. 4 pkt. 7 RODO jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.
W imieniu administratora danych dane osobowe mogą przetwarzać, osoby, które są przez niego stosownie upoważnione, a także podmioty z którymi administrator danych zawarł umowy powierzenia lub umowy o współadministrowaniu danymi osobowymi. Każdorazowo bowiem administrator musi mieć pewność, że dana osoba, która w jego imieniu przetwarza dane osobowe, będzie czyniła to zgodnie z obowiązującymi przepisami oraz procedurami wdrożonymi u tego administratora.
Art. 6 ust. 1 RODO przewiduje zaś sześć podstaw prawnych przetwarzania danych osobowych. W przypadku braku możliwości oparcia przetwarzania o dyspozycję przesłanek uregulowanych w art. 6 ust. 1 lit. b–f RODO, obowiązkiem administratora danych tj. osoby lub podmiotu, który decyduje o celach i sposobach przetwarzania danych osobowych jest uzyskanie od osoby, której dane dotyczą zgody na przetwarzanie jej danych w określonym celu lub celach przetwarzania.
Przepisy RODO w art. 4 pkt. 11 wskazują na to, że zgoda powinna być dobrowolna, konkretna, świadoma i jednoznaczna. Ponadto art. 7 ust. 1 RODO wskazuje, że jeżeli przetwarzanie odbywa się na podstawie zgody, administrator danych musi być w stanie wykazać, że osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych. Jeśli zaś osoba, której dane dotyczą wyraża zgodę w pisemnym oświadczeniu, które dotyczy także innych kwestii, zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem (art. 7 ust. 2 RODO).
W doktrynie przyjmuje się, że zgoda z art. 6 ust.1 lit. a RODO powinna zawierać m.in. informacje: kto, komu wyraża zgodę, na co oraz w jakim celu. Ponadto treść zgody może zawierać wskazanie podstawy prawnej jej udzielenia. Oświadczenie wyrażające zgodę na przetwarzanie danych powinno być wyrażone przez osobę, której dane dotyczą w określonym celu przetwarzania. Jeśli zatem osoba, której dane dotyczą raz wyraziła zgodę na przetwarzanie jej danych np. w celach kontaktowych z administratorem nie ma obowiązku obierania każdorazowo nowej zgody przesyłając kolejne wiadomości e-mail. Wyrażona przez osobę, której dane dotyczą zgoda będzie obowiązywała tak długo jak będzie istniał cel przetwarzania danych lub do momentu, aż osoba, której dane dotyczą wycofa zgodę na podstawie art. 7 ust. 3 RODO.
Poza uzyskaniem oświadczenia woli wyrażającego zgodę przetwarzanie danych osobowych, obowiązkiem administratora danych wynikającym z art. 13 RODO jest przekazanie osobie, której dane dotyczą informacji, które zostały szczegółowo uregulowane w art. 13 ust. 1 lit. a–f oraz ust. 2 lit. a–f RODO.
Przepisy RODO nie wskazują w jakiej formie treść informacji z art. 13 RODO powinna zostać osobie, której dane dotyczą przekazana, nie mniej jednak zgodnie z dyspozycją art. 5 ust. 2 RODO – administrator jest odpowiedzialny za przestrzeganie przepisów (zasad RODO) i musi być w stanie wykazać ich przestrzeganie. Jako przykłady można wskazać: przedstawienie informacji z art. 13 RODO w formie oświadczenia na piśmie, czy też przesłanie ich w formie elektronicznej na adres poczty elektronicznej wskazany do korespondencji pomiędzy stronami. Dopuszczalne będzie również przedstawienie obowiązku informacyjnego na tablicy informacyjnej w miejscu w którym, każda osoba będzie miała możliwość zapoznania się treścią informacji.
W ramach zadanego pytania obowiązkiem administratora razem z odebraniem oświadczenia o zgodzie na przetwarzanie danych osobowych będzie również przesłanie treści obowiązku informacyjnego. Taka klauzula informacyjna powinna być również przesłana raz podczas pozyskiwania danych osobowych. Dopiero wówczas, gdy nastąpią jakiekolwiek zmiany w treści samej klauzuli administrator ma obowiązek przekazać nowo obowiązujące informacje zgodnie z art. 13 ust. 3 i 4 RODO.
Podsumowując zatem administrator danych powinien odebrać zgodę od osoby, której dane dotyczą raz w określonym celu przetwarzania danych i w związku pozyskaniem określonych danych spełnić raz obowiązek informacyjny. Nie ma konieczności każdorazowo przesyłania oświadczenia o wyrażeniu zgody na przetwarzanie danych oraz treści obowiązku informacyjnego, jeśli zakres pozyskanych danych, cel przetwarzania oraz pozostałe informacje z art. 13 ust. 1 i 2 RODO nie ulegają zmianie.
ODO 24 – optymalny kosztowo outsourcing ochrony danych osobowych – ODO24.pl
