Zgodnie z Rozporządzeniem unijnym o ochronie danych osobowych, administrator danych zobowiązany jest spełnić obowiązek informacyjny wobec osób, których dane przetwarza. W zależności od tego czy dane te zostały pozyskane bezpośrednio od osoby, której dotyczą, czy z innego źródła, klauzule informacyjne będą się różnić.
W przypadku kiedy administrator pozyskał dane osobowe nie bezpośrednio od osoby, lecz z innego źródła, zobowiązany jest przekazać następujące informacje o przetwarzaniu jej danych osobowych zgodnie z art. 14 RODO:
- Swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela – jeśli administrator ma swoją siedzibę poza UE może wyznaczyć podmiot mający siedzibę w UE, który będzie go reprezentował w zakresie obowiązków wynikających z RODO.
- Dane kontaktowe inspektora ochrony danych – jeśli administrator będzie zobowiązany wyznaczyć IOD.
- Cele przetwarzania oraz podstawę prawną przetwarzania.
- Informację o rodzaju danych, jakie administrator przetwarza o osobie, np. imię, nazwisko, adres zamieszkania, PESEL itp.
- Informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją –należy wskazać konkretne podmioty, którym administrator udostępnia dane lub kategorie podmiotów, np. firmy kurierskie, firmy świadczące usługi opieki medycznej.Informacje o zamiarze przekazania danych osobowych odbiorcy do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony, a także informację o wdrożonych przez administratora odpowiednich zabezpieczeniach i o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych odbiorcy.
- Informację przez jaki czas dane te będą przez administratora przechowywane.
- Informację o przetwarzaniu danych na podstawie prawnie uzasadnionego interesu administratora, jeżeli przetwarzanie odbywa się na tej podstawie.
- Informacje o prawach podmiotów danych – prawo dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz prawo wniesienia sprzeciwu wobec przetwarzania, prawo do przenoszenia danych.
- Informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność
z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem, jeśli dane przetwarzane są na podstawie zgody. - Informację o prawie wniesienia skargi do organu nadzorczego.
- Informację z jakiego źródła administrator pozyskał dane osoby – należy wskazać konkretne podmioty lub publicznie dostępne rejestry z których administrator pozyskał dane, np. CEiDG).
- Informację o podejmowaniu przez administratora zautomatyzowanych decyzji wobec osoby, której dane przetwarza – należy wskazać zasady podejmowania tych decyzji oraz znaczenie
i konsekwencje takiego przetwarzania dla osoby. - Informację o stosowaniu profilowania wobec osób, których dane przetwarza.
Wszystkie te informacje administrator zobowiązany jest przekazać osobie, której dane przetwarza, najpóźniej w ciągu miesiąca od pozyskania jej danych lub przy pierwszej komunikacji z nią, jeśli dane te mają być wykorzystywane do komunikacji z tą osobą.
W art. 14. ust. 5 RODO przewiduje jednak kilka wyjątków, które zwalniają administratora od spełnienia powyższego obowiązku. Są to następujące sytuacje:
- Osoba, której dane dotyczą, dysponuje już tymi informacjami – administrator poinformował już osobę o przetwarzaniu jej danych i nie ma konieczności, aby robił to ponownie.
- Udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku; w szczególności w przypadku przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych.
W takich przypadkach administrator podejmuje odpowiednie środki, by chronić prawa
i wolności oraz prawnie uzasadnione interesy osoby, której dane dotyczą, w tym udostępnia informacje publicznie. - Prawo Unii lub prawo państwa członkowskiego, któremu podlega administrator, regulują kwestie informowania osób, których dane są przetwarzane.
- Dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy.