14 RODO: skutki prawne dla strony albo administratora

Artykuł 14 Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO) stanowi jeden z najistotniejszych filarów zasady przejrzystości, na której opiera się cały europejski system ochrony prywatności. Przepis ten nakłada na administratorów danych osobowych rygorystyczne obowiązki w sytuacji, gdy pozyskują oni informacje o osobach fizycznych z innych źródeł niż bezpośrednio od tych osób. W dobie powszechnej cyfryzacji, handlu bazami danych, korzystania z publicznych rejestrów oraz zaawansowanej analityki biznesowej, sytuacje takie mają miejsce niezwykle często. Zrozumienie konsekwencji prawnych wynikających z art. 14 RODO jest kluczowe zarówno dla podmiotów zarządzających danymi, jak i dla osób, których te dane dotyczą, a które często nie mają świadomości, że ich dane znajdują się w posiadaniu obcych podmiotów.

Istota i cel artykułu 14 RODO

Głównym celem wprowadzenia artykułu 14 RODO było zapewnienie osobom fizycznym realnej kontroli nad ich danymi osobowymi. W klasycznym modelu, gdy przekazujemy swoje dane np. podczas zakupów w sklepie internetowym, doskonale wiemy, kto staje się ich administratorem. Sytuacja komplikuje się diametralnie, gdy podmiot wchodzi w posiadanie naszych danych bez naszej wiedzy – na przykład kupując bazę marketingową, pobierając dane z Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEIDG) czy otrzymując je od innego partnera biznesowego. W takich okolicznościach art. 14 RODO nakłada na administratora jednostronny obowiązek aktywnego kontaktu z osobą, której dane dotyczą, i przekazania jej szczegółowych informacji o fakcie, zakresie i celu przetwarzania.

Z perspektywy prawnej, obowiązek ten jest bezpośrednią realizacją zasady rzetelności i przejrzystości wyrażonej w art. 5 ust. 1 lit. a RODO. Bez spełnienia tego wymogu, przetwarzanie danych – nawet jeśli opiera się na ważnej podstawie prawnej, takiej jak prawnie uzasadniony interes administratora – może zostać uznane za niezgodne z prawem, co rodzi daleko idące konsekwencje finansowe i wizerunkowe.

Różnice konstrukcyjne między art. 13 a art. 14 RODO

Choć oba artykuły dotyczą realizacji obowiązku informacyjnego, różnią się one kluczowymi elementami konstrukcyjnymi, które determinują obowiązki administratora. Przede wszystkim art. 13 RODO znajduje zastosowanie wyłącznie wtedy, gdy dane są zbierane bezpośrednio od osoby, której dotyczą. Z kolei art. 14 RODO stosuje się w każdym innym przypadku, gdy źródło danych jest zewnętrzne.

Różnice te przejawiają się w trzech głównych obszarach:

  • Zakres informacji: W przypadku art. 14 RODO administrator musi dodatkowo poinformować osobę o kategoriach przetwarzanych danych (ponieważ osoba ta nie wie, jakie dokładnie informacje na jej temat posiada administrator) oraz o źródle, z którego te dane zostały pozyskane (w tym, czy pochodzą ze źródeł publicznie dostępnych).
  • Moment realizacji: Przy zbieraniu bezpośrednim (art. 13) informację należy podać w momencie pozyskiwania danych. Przy zbieraniu pośrednim (art. 14) ustawodawca przewidział elastyczne, ale ściśle określone terminy, dostosowane do specyfiki dalszego przetwarzania.
  • Katalog wyłączeń: Wyjątki od obowiązku informacyjnego w art. 14 są znacznie szersze niż w przypadku art. 13, obejmując m.in. sytuacje, w których przekazanie informacji wymagałoby niewspółmiernie dużego wysiłku.

Zakres informacji, które należy przekazać

Aby obowiązek informacyjny z art. 14 RODO został uznany za prawidłowo spełniony, administrator musi sformułować klauzulę informacyjną w sposób zwięzły, przejrzysty, zrozumiały i łatwo dostępny, używając jasnego i prostego języka. Klauzula ta musi bezwzględnie zawierać następujące elementy:

  1. Tożsamość oraz dane kontaktowe administratora, a także – w odpowiednich przypadkach – jego przedstawiciela.
  2. Dane kontaktowe inspektora ochrony danych (IOD), o ile został on powołany w danej organizacji.
  3. Cele przetwarzania danych osobowych oraz podstawa prawna tego przetwarzania (np. art. 6 ust. 1 lit. f RODO – prawnie uzasadniony interes).
  4. Kategorie odnośnych danych osobowych (np. dane adresowe, dane o zatrudnieniu, historia zakupów).
  5. Informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, którym dane zostały lub zostaną ujawnione.
  6. W stosownych przypadkach – informacje o zamiarze przekazania danych odbiorcy w państwie trzecim lub organizacji międzynarodowej oraz o zabezpieczeniach.
  7. Okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu.
  8. Jeżeli przetwarzanie odbywa się na podstawie prawnie uzasadnionego interesu – informacje o tym interesie realizowanym przez administratora lub stronę trzecią.
  9. Informacje o prawach przysługujących osobie, której dane dotyczą: prawie do żądania dostępu do danych, ich sprostowania, usunięcia ("prawo do bycia zapomnianym"), ograniczenia przetwarzania, wniesienia sprzeciwu oraz przenoszenia danych.
  10. Informacje o prawie wniesienia skargi do organu nadzorczego, którym w Polsce jest Prezes Urzędu Ochrony Danych Osobowych (PUODO).
  11. Źródło pochodzenia danych osobowych, a w szczególności informacja, czy pochodzą one ze źródeł publicznie dostępnych.
  12. Informacje o tym, czy przetwarzanie obejmuje zautomatyzowane podejmowanie decyzji, w tym profilowanie, oraz o zasadach jego działania i konsekwencjach dla osoby.

Termin na realizację obowiązku informacyjnego

Jednym z najczęstszych uchybień ze strony administratorów jest niedotrzymanie terminów określonych w art. 14 ust. 3 RODO. Przepis ten precyzyjnie wskazuje trzy alternatywne ramy czasowe, w zależności od sposobu wykorzystania pozyskanych danych:

  • Zasada ogólna: Administrator musi przekazać informacje w rozsądnym terminie po pozyskaniu danych osobowych, ale najpóźniej w ciągu miesiąca. Jest to maksymalny termin nieprzekraczalny, który biegnie od dnia wejścia w posiadanie danych.
  • Komunikacja z osobą: Jeżeli dane osobowe mają być użyte do komunikacji z osobą, której dotyczą, informacje należy podać najpóźniej przy pierwszej takiej komunikacji. Oznacza to, że jeśli administrator decyduje się zadzwonić lub wysłać e-mail do danej osoby przed upływem miesiąca od pozyskania danych, musi spełnić obowiązek informacyjny w tym właśnie momencie.
  • Ujawnienie innym odbiorcom: Jeżeli planowane jest ujawnienie danych osobowych innemu odbiorcy, informacje należy podać najpóźniej przy ich pierwszym ujawnieniu.

Wyłączenia z obowiązku informacyjnego

Artykuł 14 ust. 5 RODO przewiduje zamknięty katalog sytuacji, w których administrator jest zwolniony z konieczności realizacji obowiązku informacyjnego. Wyjątki te muszą być interpretowane w sposób niezwykle zwężający, a ciężar dowodu wykazania przesłanek zwalniających spoczywa w całości na administratorze (zgodnie z zasadą rozliczalności).

1. Osoba dysponuje już informacjami

Zwolnienie to ma zastosowanie, gdy osoba, której dane dotyczą, dysponuje już wszystkimi informacjami, które administrator byłby zobowiązany jej przekazać. W praktyce administrator musi posiadać pewność i dowód na to, że podmiot danych wszedł wcześniej w posiadanie tych informacji w sposób kompletny i aktualny.

2. Niemożliwość lub niewspółmiernie duży wysiłek

To najczęściej nadużywany przez administratorów wyjątek. Ma on zastosowanie w szczególności w przypadku przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych czy do celów statystycznych. Aby powołać się na tę przesłankę poza wymienionymi celami, administrator musi przeprowadzić szczegółową analizę wpływu (DPIA) oraz test proporcjonalności, wykazując, że koszt, nakład pracy lub trudności techniczne związane z dotarciem do osób są całkowicie nieproporcjonalne do ryzyka naruszenia ich praw. W takim przypadku administrator musi podjąć odpowiednie środki chroniące prawa i wolności tej osoby, w tym upublicznić te informacje (np. na swojej stronie internetowej).

3. Pozyskanie lub ujawnienie uregulowane prawem

Obowiązek informacyjny odpada, gdy pozyskiwanie lub ujawnianie danych jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator. Przepisy te muszą przewidywać odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą. Przykładem mogą być procedury podatkowe, celne czy działania organów ścigania.

4. Obowiązek zachowania tajemnicy zawodowej

Ostatni wyjątek dotyczy sytuacji, w których dane osobowe muszą pozostać poufne na mocy obowiązku zachowania tajemnicy zawodowej regulowanej prawem Unii lub prawem państwa członkowskiego. Dotyczy to w szczególności zawodów zaufania publicznego, takich jak adwokat, radca prawny, lekarz czy notariusz.

Skutki prawne dla administratora za uchybienie art. 14 RODO

Naruszenie obowiązków wynikających z art. 14 RODO niesie za sobą dotkliwe konsekwencje prawne, finansowe oraz reputacyjne. Organ nadzorczy, czyli Prezes Urzędu Ochrony Danych Osobowych, podchodzi do kwestii przejrzystości przetwarzania w sposób niezwykle rygorystyczny.

Kary finansowe nakładane przez organ nadzorczy

Zgodnie z art. 83 ust. 5 lit. b RODO, naruszenie przepisów dotyczących obowiązków informacyjnych podlega administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Przy ustalaniu wysokości kary organ bierze pod uwagę m.in. charakter, wagę i czas trwania naruszenia, liczbę poszkodowanych osób oraz stopień odpowiedzialności administratora.

Roszczenia odszkodowawcze na drodze cywilnej

Osoba, której dane dotyczą, a wobec której nie dopełniono obowiązku informacyjnego, może na podstawie art. 82 RODO wystąpić do sądu powszechnego z powództwem przeciwko administratorowi o odszkodowanie za szkodę majątkową lub zadośćuczynienie za szkodę niemajątkową (krzywdę). Brak wiedzy o przetwarzaniu danych uniemożliwia osobie realizację jej podstawowych praw, co w orzecznictwie sądów polskich i europejskich coraz częściej uznawane jest za naruszenie dóbr osobistych i podstawę do zasądzenia zadośćuczynienia.

Uprawnienia strony (osoby, której dane dotyczą)

W przypadku, gdy strona dowie się, że jej dane są przetwarzane przez podmiot, który nie dopełnił wobec niej obowiązku z art. 14 RODO, przysługuje jej szereg uprawnień o charakterze ofensywnym:

  • Wniosek o realizację praw: Strona może złożyć formalny wniosek do administratora z żądaniem udzielenia informacji o źródle danych, celach przetwarzania oraz żądać niezwłocznego usunięcia danych (prawo do bycia zapomnianym) lub ograniczenia ich przetwarzania.
  • Skarga do organu nadzorczego: Strona ma prawo wnieść skargę do PUODO. Organ ten ma obowiązek zbadać sprawę i może wszcząć postępowanie kontrolne wobec administratora.
  • Sprzeciw wobec przetwarzania: Jeśli dane są przetwarzane na podstawie prawnie uzasadnionego interesu, strona może w dowolnym momencie wnieść sprzeciw, co obliguje administratora do zaprzestania przetwarzania, chyba że wykaże on ważne, prawnie uzasadnione podstawy przewyższające interesy strony.

Praktyczny przykład zastosowania art. 14 RODO

Wyobraźmy sobie sytuację, w której spółka "Alfa Sp. z o.o." prowadząca działalność w sektorze B2B, pozyskuje dane kontaktowe (imię, nazwisko, stanowisko służbowe, adres e-mail, telefon) menedżerów ds. zakupów z publicznie dostępnego rejestru CEIDG oraz z portalu społecznościowego LinkedIn w celu przeprowadzenia kampanii marketingowej swoich usług. Dane te nie zostały przekazane przez te osoby bezpośrednio spółce "Alfa". W tym scenariuszu spółka "Alfa" staje się administratorem tych danych i musi podjąć następujące kroki: po pierwsze, w ciągu maksymalnie jednego miesiąca od momentu pobrania danych do swojego systemu CRM, spółka musi wysłać do każdego menedżera wiadomość e-mail zawierającą pełną klauzulę informacyjną zgodną z art. 14 RODO. Po drugie, jeżeli jednak spółka zdecyduje się wysłać pierwszą ofertę handlową już po 5 dniach od pobrania danych, to klauzula informacyjna musi zostać dołączona do tej pierwszej wiadomości e-mail (ponieważ następuje pierwsza komunikacja z osobą). Po trzecie, w klauzuli spółka musi wyraźnie wskazać, że źródłem pozyskania danych był rejestr CEIDG lub portal LinkedIn, oraz określić kategorie danych (np. dane identyfikacyjne i kontaktowe). Jeśli spółka "Alfa" zaniecha tego obowiązku, a jeden z menedżerów złoży skargę do PUODO, spółce grozi kontrola, nakaz usunięcia bazy danych oraz wysoka kara finansowa za świadome i systemowe naruszenie zasad przejrzystości.

Podsumowanie

Artykuł 14 RODO nakłada na administratorów danych poważne wyzwania logistyczne i prawne, wymagając od nich pełnej transparentności w procesie pozyskiwania danych z zewnętrznych źródeł. Ignorowanie tego obowiązku, spóźnienia w jego realizacji czy też bezpodstawne powoływanie się na wyjątki (takie jak niewspółmiernie duży wysiłek) stanowią bezpośrednią drogę do sankcji ze strony Prezesa Urzędu Ochrony Danych Osobowych oraz sporów sądowych z osobami fizycznymi. Dla stron, których dane dotyczą, przepis ten jest z kolei kluczową tarczą ochronną, gwarantującą prawo do wiedzy o tym, kto i w jakim celu dysponuje ich prywatnymi informacjami.