Czy wobec obecnych klientów trzeba ponownie spełniać obowiązek informacyjny według RODO

Autor: Marcin Sarna
Ogólne rozporządzenie o ochronie danych (RODO) rozszerza katalog informacji, jakie trzeba podać osobie, której dane się pozyskuje. Sprawdź, kto będzie musiał realizować nowe obowiązki informacyjne. Poznaj odpowiedź na pytanie, czy musisz jeszcze raz informować swoich klientów o przysługujących im prawach i o tym, co dzieje się z ich danymi osobowymi.
RODO określa, jakie informacje powinny zostać przekazane osobie, której dane dotyczą i od której są zbierane (art. 13 RODO), oraz osobie, której dane dotyczą, ale zostały pozyskane z innego źródła (art. 14 RODO). Katalog informacji do przekazania jest znacznie bogatszy od tego w ramach „starego” obowiązku informacyjnego i obejmuje m.in. informacje o:
  • odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją,
  • zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej,
  • okresie, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteriach ustalania tego okresu,
  • prawie do cofnięcia zgody w dowolnym momencie.
Skoro więc:
  • do 25 maja 2018 r. osoby, których dane dotyczą, są informowane w innym (węższym) zakresie, niż będzie to się odbywało po 25 maja 2018 r.,
  • przepisy RODO nie zawierają żadnych przepisów tymczasowych lub przejściowych,
 
to powstaje pytanie, czy po 25 maja 2018 r. wystarczy dochowywać nowego obowiązku informacyjnego wyłącznie wobec nowych osób, od których dane są pobierane, czy też trzeba ponownie wykonać obowiązek informacyjny wobec starych klientów, ale tym razem zgodnie z art. 13 lub 14 RODO? W mojej ocenie nie ma potrzeby powtarzania tego obowiązku.
Zgodnie z motywem 171 RODO, jeżeli przetwarzanie ma za podstawę zgodę w myśl dyrektywy 95/46/WE (czyli de facto zgoda została udzielona na podstawie obecnej polskiej ustawy o ochronie danych osobowych), osoba, której dane dotyczą, nie musi ponownie wyrażać zgody, jeżeli pierwotny sposób jej wyrażenia odpowiada warunkom RODO. Dzięki temu administrator może kontynuować przetwarzanie danych po dacie rozpoczęcia stosowania RODO. Wydaje się, że nie ma powodu, aby podobnej zasady nie stosować w stosunku do obowiązku informacyjnego.
Trzeba zwrócić uwagę na zasadę aktualności, która nakazuje opierać się na przepisach obowiązujących w chwili wydawania decyzji, a nie na przepisach zmienionych w późniejszym czasie. Mówiąc wprost, zmiana przepisów dotyczących obowiązków informacyjnych nie może skutkować zmianą oceny prawidłowości dopełnienia obowiązku informacyjnego przed 25 maja 2018 r., skoro w tamtym okresie przepisy RODO nie obowiązywały.


Marcin Sarna

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Zobacz także

Skuteczne narzędzia do wykrywania uszkodzonych podzespołów

pobierz

Wykrywanie i usuwanie niechcianych programów

pobierz

Polecane artykuły

Współadministrowanie danymi – jak uregulować tę kwestię w dokumentacji

Współadministrowanie danymi – jak uregulować tę kwestię w dokumentacji »
W jaki sposób zawiadomić o wyznaczeniu IOD

W jaki sposób zawiadomić o wyznaczeniu IOD »
Zewnętrzny IOD – podpisać umowę powierzenia czy nadać upoważnienie?

Zewnętrzny IOD – podpisać umowę powierzenia czy nadać upoważnienie? »
Array ( [docId] => 50036 )

Array ( [docId] => 50036 )
Array ( [docId] => 50036 )