Obowiązek informacyjny – kiedy nie jest potrzebny?

W sieci krąży wiele artykułów, o tym kiedy potrzebne jest spełnienie obowiązku informacyjnego wobec osób, których dane dotyczą na podstawie art. 13 i 14 RODO. Przeglądając je można by zastanowić się, czy istnieją okoliczności kiedy takiego obowiązku nie trzeba spełniać? Odpowiedź brzmi: tak! W dzisiejszym materiale prezentujemy wyjątkowe sytuacje, w których administratorzy danych osobowych nie muszą, a czasem nawet nie powinni, spełniać obowiązku informacyjnego.

Kiedy osoba dysponuje już tymi informacjami

W przypadku gdy zbieramy dane osobowe od osoby, której dane dotyczą prawodawca unijny określił jedną sytuację jako wyjątkową, w której administrator nie musi spełniać wobec niej obowiązku informacyjnego. Jest to sytuacja, w której osoba, której dane dotyczą dysponuje już wymaganymi informacjami. Przy czym, zgodnie z zasadą rozliczalności, administrator musi być w stanie wykazać, że nie dokonał obowiązku informacyjnego, ponieważ osoba, której dane dotyczą dysponowała już tymi informacjami.

Udzielenie informacji okazuje się niemożliwe, wymagające niewspółmiernie dużego wysiłku oraz może stanowić poważne utrudnienie realizacji celów przetwarzania

Kiedy administrator zbiera dane osobowe nie od osoby, której dane dotyczą RODO przewiduje więcej wyjątków od obowiązku przedstawienia klauzuli informacyjnej. Pierwszą z nich jest przypadek, w którym udzielenie informacji okazuje się niemożliwe. Przy czym przesłankę tę należy traktować w sposób zero-jedynkowy tzn. że obowiązek jest możliwy do zrealizowania albo nie jest – nie istnieją stopnie braku możliwości. Administrator, który chce powołać się na tę przesłankę, musi być w stanie wskazać czynniki, które faktycznie uniemożliwiają mu udzielenie informacji. Ponadto w sytuacji gdy administrator danych uzyska możliwość przekazania stosownych informacji, powinien bezzwłocznie to uczynić.
Kolejną przesłanką umożliwiającą zaniechanie obowiązku informacyjnego jest niewspółmiernie duży wysiłek, jaki administrator danych musiałby poczynić celem dopełnienia obowiązku informacyjnego. Wykładnia tej przesłanki powinna być raczej zawężająca, co oznacza, że winna być ona stosowana w rzeczywiście wyjątkowych sytuacjach, a nie rutynowo. Przy jej zastosowaniu należy wziąć pod uwagę liczbę osób, których dane dotyczą, okres przechowywania danych oraz wszelkie przyjęte odpowiednie zabezpieczenia.
W przypadku przesłanki poważnego utrudnienia realizacji celów przetwarzania, administrator danych musi być w stanie wykazać, że samo udzielenie informacji zniweczyłoby cele przetwarzania. Jednakże takie przetwarzanie musi być zgodne z zasadami określonymi w art. 5 RODO oraz być rzetelne i mieć podstawę prawną.

obowiązek informacyjny

Pozyskiwanie lub ujawnianie jest wyraźnie uregulowane w prawie

Zniesienie wymogu udzielenia informacji umożliwia również przesłanka uregulowanego w prawie pozyskiwania lub ujawniania danych osobowych. Prawo to winno przewidywać odpowiednie środki chroniące prawnie uzasadnione interesy osób, których dane dotyczą. Zastosowanie tego wyjątku zależy zatem od sposobu sformułowania prawa, na które powołuje się administrator. Poza tym taka podstawa prawna powinna być jasna i precyzyjna, a jej zastosowanie winno być przewidywalne dla osoby, która jej podlega.

Poufność wynikająca z obowiązku zachowania tajemnicy

Kolejnym odstępstwem od wymogu udzielenia informacji jest sytuacja, w której dane osobowe „muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy”. Przy zastosowaniu tej przesłanki administrator musi wykazać, że w odpowiedni sposób ją zidentyfikował oraz przedstawić, w jaki sposób odnosi się do niego obowiązek zachowania tajemnicy ustawowej.

Warto zapamiętać!

  • RODO przewiduje odstępstwa od obowiązku informacyjnego wobec osób, których dane dotyczą.
  • Wyjątki te różnią się w zależności od tego czy pobieramy dane osobowe bezpośrednio od osoby, której dane dotyczą czy z innego źródła.
  • Przesłanki wyłączające obowiązek informacyjny winny być poddawane wykładni zawężającej.
Sprawdź szkolenia
Szkolenie

DORA: Podstawy, Zarządzanie Ryzykiem i Przygotowanie Organizacji

Dowiedz się więcej
Szkolenie

Szkolenie dotyczące wymagań Dyrektywy NIS2

Dowiedz się więcej
Szkolenie

Szkolenie na audytora wewnętrznego wg standardu ISO/IEC 27001

Dowiedz się więcej
Czytaj, oglądaj, subskrybuj
Poradnik

AI Act – czym jest i kogo dotyczy ustawa o sztucznej inteligencji? Najważniejsze informacje

Czytaj dalej
Poradnik

KSC dla szpitali, czyli jak zapewnić bezpieczeństwo i ochronę przed cyberatakami

Czytaj dalej
Poradnik

Zarządzanie incydentami bezpieczeństwa – jak wygląda procedura zgłaszania i obsługi incydentów?

Czytaj dalej

O Autorze

PBSG
Od 2006 roku pomagamy polskim przedsiębiorcom i organizacjom administracji publicznej w zarządzaniu bezpieczeństwem danych i systemów teleinformatycznych. Przez kilkanaście lat działalności zdobyliśmy niezbędne doświadczenie, dzięki któremu wypracowaliśmy pozycję lidera w obszarze systemowego zarządzania organizacją. Dzisiaj zatrudniamy ponad 180 ekspertów biznesowych i technicznych w ramach grupy kapitałowej. Ponadto współpracujemy z kilkudziesięcioma specjalistami z różnych dziedzin w zakresie zarządzania i wymagań branżowych, aby jak najbardziej dopasować ofertę do realiów i potrzeb polskich firm.