Kiedy administrator musi spełnić obowiązek informacyjny zgodnie z art. 14 RODO?

Zgodnie z Rozporządzeniem unijnym o ochronie danych osobowych, administrator danych zobowiązany jest spełnić obowiązek informacyjny wobec osób, których dane przetwarza. W zależności od tego czy dane te zostały pozyskane bezpośrednio od osoby, której dotyczą, czy z innego źródła, klauzule informacyjne będą się różnić.

W przypadku kiedy administrator pozyskał dane osobowe nie bezpośrednio od osoby, lecz z innego źródła, zobowiązany jest przekazać następujące informacje o przetwarzaniu jej danych osobowych zgodnie z art. 14 RODO:

  • swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela – jeśli administrator ma swoją siedzibę poza UE może wyznaczyć podmiot mający siedzibę w UE, który będzie go reprezentował w zakresie obowiązków wynikających z RODO;
  • dane kontaktowe inspektora ochrony danych – jeśli administrator będzie zobowiązany wyznaczyć IOD;
  • cele przetwarzania oraz podstawę prawną przetwarzania;
  • informację o rodzaju danych, jakie administrator przetwarza o osobie, np. imię, nazwisko, adres zamieszkania, PESEL itp.;
  • informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją –należy wskazać konkretne podmioty, którym administrator udostępnia dane lub kategorie podmiotów, np. firmy kurierskie, firmy świadczące usługi opieki medycznej;
  • informacje o zamiarze przekazania danych osobowych odbiorcy do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony, a także informację o wdrożonych przez administratora odpowiednich zabezpieczeniach i o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych odbiorcy;
  • informację przez jaki czas dane te będą przez administratora przechowywane;
  • informację o przetwarzaniu danych na podstawie prawnie uzasadnionego interesu administratora, jeżeli przetwarzanie odbywa się na tej podstawie;
  • informacje o prawach podmiotów danych – prawo dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz prawo wniesienia sprzeciwu wobec przetwarzania, prawo do przenoszenia danych;
  • informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność
    z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem, jeśli dane przetwarzane są na podstawie zgody;
  • informację o prawie wniesienia skargi do organu nadzorczego;
  • informację z jakiego źródła administrator pozyskał dane osoby – należy wskazać konkretne podmioty lub publicznie dostępne rejestry z których administrator pozyskał dane, np. CEiDG);
  • informację o podejmowaniu przez administratora zautomatyzowanych decyzji wobec osoby, której dane przetwarza – należy wskazać zasady podejmowania tych decyzji oraz znaczenie
    i konsekwencje takiego przetwarzania dla osoby;
  • informację o stosowaniu profilowania wobec osób, których dane przetwarza.

 

Wszystkie te informacje administrator zobowiązany jest przekazać osobie, której dane przetwarza, najpóźniej w ciągu miesiąca od pozyskania jej danych lub przy pierwszej komunikacji z nią, jeśli dane te mają być wykorzystywane do komunikacji z tą osobą.

W art. 14. ust. 5 RODO przewiduje jednak kilka wyjątków, które zwalniają administratora od spełnienia powyższego obowiązku. Są to następujące sytuacje:

  • osoba, której dane dotyczą, dysponuje już tymi informacjami – administrator poinformował już osobę o przetwarzaniu jej danych i nie ma konieczności, aby robił to ponownie;
  • udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku; w szczególności w przypadku przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych.
    W takich przypadkach administrator podejmuje odpowiednie środki, by chronić prawa
    i wolności oraz prawnie uzasadnione interesy osoby, której dane dotyczą, w tym udostępnia informacje publicznie;
  • prawo Unii lub prawo państwa członkowskiego, któremu podlega administrator, regulują kwestie informowania osób, których dane są przetwarzane;
  • dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy.
Joanna Peryt

Autor

Joanna Peryt

Z uwagi na posiadaną wiedzę specjalizuje się w zagadnieniach związanych z ochroną danych w prawie pracy. Przez kilkanaście lat zrealizowała wiele audytów bezpieczeństwa danych osobowych oraz projektów wdrożeniowych. Pełniła rolę Inspektora ochrony danych dla wielu klientów Audytela.

Z tej samej kategorii

Przygotowanie do kontroli Urzędu Ochrony Danych Osobowych Więcej
KE coraz bliżej wydania decyzji stwierdzającej odpowiedni poziom ochrony danych osobowych dla Wielkiej Brytanii Więcej
Prawo do odszkodowania za naruszenie RODO – tym też powinieneś się martwić, administratorze! Więcej
Ocena oraz testowanie zabezpieczeń technicznych w świetle RODO Więcej
Wysyłka maila na błędny adres – kara za brak zgłoszenia naruszenia ochrony danych osobowych Więcej
Podsumowanie roku 2020 z perspektywy IOD Więcej
Przypadek Virgin Mobile – czyli, dlaczego regularne testowanie środków technicznych jest ważne Więcej
Niebezpieczne ciasteczka – rekordowe kary za pliki cookies dla Google i Amazona Więcej
Audyt IT – czas na weryfikację – część III Więcej
Transfer danych osobowych – rekomendacje Europejskiej Rady Ochrony Danych po wyroku Schrems II Więcej
WSZYSTKIE Z KATEGORII

Kategorie