OBOWIĄZEK INFORMACYJNY

OBOWIĄZEK INFORMACYJNY

OBOWIĄZEK INFORMACYJNY

Rozporządzenie RODO o ochronie danych osobowych szczególnie podkreśla znaczenie obowiązku informowania Klientów o prawach.
Zapewnienie pełnej informacji jest niezbędne do przeprowadzenia operacji przetwarzania danych osobowych osób, których te dane dotyczą. Ważną informacją jest fakt podania w jakim celu przetwarzanie może być prowadzone. Administratorzy danych osobowych muszą również informować o retencji danych Klientów – czyli w jakim okresie te dane będą przechowywane. Muszą przekazać dane Inspektora Ochrony Danych Osobowych oraz poinformować o ewentualnym fakcie profilowania i jego konsekwencjach. Podmioty pozyskujące dane osobowe zobligowane są do przekazywania osobom, których dane są zbierane, pełnej informacji o siedzibie i adresie administratora danych osobowych, celu zbierania danych i o źródle danych.

OBOWIĄZEK INFORMOWANIA OSÓB, KTÓRYCH DANE DOTYCZĄ
O PRZETWARZANIU ICH DANYCH OSOBOWYCH, JEST JEDNYM Z PODSTAWOWYCH
OBOWIĄZKÓW ADMINISTRATORA DANYCH

Jego niedopełnienie stanowi naruszenie podstawowych zasad przetwarzania danych oraz praw podmiotów i może  skutkować wymierzeniem przez organ nadzorczy administracyjnej kary pieniężnej - zgodnie z art. 83 RODO, nawet w wysokości do 20 mln euro, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

Przepisy RODO nie rozstrzygają wprost kwestii aktualizacji obowiązku informacyjnego wobec osób, których dane zostały pozyskane przed 25 maja 2018 r.

Możliwe są dwa sposoby postępowania:

  1. Pełna realizacja obowiązku informacyjnego zgodnie z RODO, np. poprzez wysyłkę nowej klauzuli informacyjnej,
  2. Brak aktualizacji - uznanie, że na podstawie poprzedniego stanu prawnego miała miejsce prawidłowa realizacja obowiązków informacyjnych.

Generalny Inspektor Ochrony Danych Osobowych w udostępnionym przewodniku nie odnosi się w ogóle do tej kwestii, a opinie ekspertów są podzielone. Dlatego za wiążące należy uznać wytyczne Grupy Roboczej art. 29 dotyczące przejrzystości przetwarzania danych, w których powołano się na motyw 171 RODO, z czego wynika, iż należy przyjąć pierwszy sposób postępowania w zakresie obowiązku aktualizacji obowiązku informacyjnego wobec podmiotów danych.

Wobec powyższego rekomendujemy, poza umieszczeniem klauzuli informacyjnej na stronie internetowej w stosownej zakładce, również sukcesywną wysyłkę zaktualizowanych klauzul informacyjnych do klientów banku.

W przypadku obowiązku informacyjnego wobec osób trzecich można skorzystać w niektórych przypadkach z włączeń wynikających z Art. 14 RODO, a konkretnie ust. 5 tj.:

Ust. 1– 4 nie mają zastosowania, gdy – i w zakresie, w jakim:

  • osoba, której dane dotyczą, dysponuje już tymi informacjami;
  • udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku; w szczególności w przypadku przetwarzania do celów archiwalnych w interesie publicznym (…)
  • pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą; lub
  • dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy.

W przypadku Banków będą to np.:

  • przepisy Prawa bankowego;
  • ustawy o przeciwdziałaniu praniu pieniędzy
  • ustawy o przeciwdziałaniu finansowania terroryzmu;
  • ustawy FATCA/EUROFATCA.

W zakresie dotyczącym osób trzecich, w tym beneficjentów/przedstawicieli, pozyskiwanie lub ujawnianie danych jest wyraźnie uregulowane prawem Unii lub prawem Państwa członkowskiego.

W celu uzyskania pełnej informacji w omawianych zakresach zapraszamy do kontaktu:

Anna Stręk
Audytor Wiodący SZBI, Członek IIA Polska
+48 781 555 025 anna.strek@servus-comp.pl

Andrzej Popiołek
Audytor Wiodący SZBI, Członek IIA Polska
+48 602 220 749 andrzej.popiolek@servus-comp.pl

Anna Kramarczyk
Kierownik ds. projektów IT
+48 794 671 787 anna.kramarczyk@servus-comp.pl

 

Servus Comp Data Security , Mazowiecka 25/502  30-019 Kraków  
tel.  +48 12 631 91 22biuro@servus-comp.pl
PODEJMIEMY DLA PAŃSTWA KAŻDE WYZWANIE!

 

POBIERZ PDFPOBIERZ OPRACOWANIE W PLIKU PDF

Nota prawna

1. Zaprezentowany materiał jest autorskim opracowaniem i jest objęty prawem autorskim.

2. Niniejszy materiał, ani żaden jego fragment nie może być reprodukowany, przetwarzany i rozpowszechniany w jakikolwiek sposób za pomocą urządzeń elektronicznych, mechanicznych, kopiujących, nagrywających i in. do celów innych niż realizacja przedmiotowej umowy u Klienta.