Kiedy administrator musi spełnić obowiązek informacyjny zgodnie z art. 14 RODO?

Zgodnie z Rozporządzeniem unijnym o ochronie danych osobowych, administrator danych zobowiązany jest spełnić obowiązek informacyjny wobec osób, których dane przetwarza. W zależności od tego czy dane te zostały pozyskane bezpośrednio od osoby, której dotyczą, czy z innego źródła, klauzule informacyjne będą się różnić.

W przypadku kiedy administrator pozyskał dane osobowe nie bezpośrednio od osoby, lecz z innego źródła, zobowiązany jest przekazać następujące informacje o przetwarzaniu jej danych osobowych zgodnie z art. 14 RODO:

  • Swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela – jeśli administrator ma swoją siedzibę poza UE może wyznaczyć podmiot mający siedzibę w UE, który będzie go reprezentował w zakresie obowiązków wynikających z RODO.
  • Dane kontaktowe inspektora ochrony danych – jeśli administrator będzie zobowiązany wyznaczyć IOD.
  • Cele przetwarzania oraz podstawę prawną przetwarzania.
  • Informację o rodzaju danych, jakie administrator przetwarza o osobie, np. imię, nazwisko, adres zamieszkania, PESEL itp.
  • Informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją –należy wskazać konkretne podmioty, którym administrator udostępnia dane lub kategorie podmiotów, np. firmy kurierskie, firmy świadczące usługi opieki medycznej.Informacje o zamiarze przekazania danych osobowych odbiorcy do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony, a także informację o wdrożonych przez administratora odpowiednich zabezpieczeniach i o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych odbiorcy.
  • Informację przez jaki czas dane te będą przez administratora przechowywane.
  • Informację o przetwarzaniu danych na podstawie prawnie uzasadnionego interesu administratora, jeżeli przetwarzanie odbywa się na tej podstawie.
  • Informacje o prawach podmiotów danych – prawo dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz prawo wniesienia sprzeciwu wobec przetwarzania, prawo do przenoszenia danych.
  • Informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność
    z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem, jeśli dane przetwarzane są na podstawie zgody.
  • Informację o prawie wniesienia skargi do organu nadzorczego.
  • Informację z jakiego źródła administrator pozyskał dane osoby – należy wskazać konkretne podmioty lub publicznie dostępne rejestry z których administrator pozyskał dane, np. CEiDG).
  • Informację o podejmowaniu przez administratora zautomatyzowanych decyzji wobec osoby, której dane przetwarza – należy wskazać zasady podejmowania tych decyzji oraz znaczenie
    i konsekwencje takiego przetwarzania dla osoby.
  • Informację o stosowaniu profilowania wobec osób, których dane przetwarza.

Wszystkie te informacje administrator zobowiązany jest przekazać osobie, której dane przetwarza, najpóźniej w ciągu miesiąca od pozyskania jej danych lub przy pierwszej komunikacji z nią, jeśli dane te mają być wykorzystywane do komunikacji z tą osobą.

W art. 14. ust. 5 RODO przewiduje jednak kilka wyjątków, które zwalniają administratora od spełnienia powyższego obowiązku. Są to następujące sytuacje:

  • Osoba, której dane dotyczą, dysponuje już tymi informacjami – administrator poinformował już osobę o przetwarzaniu jej danych i nie ma konieczności, aby robił to ponownie.
  • Udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku; w szczególności w przypadku przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych.
    W takich przypadkach administrator podejmuje odpowiednie środki, by chronić prawa
    i wolności oraz prawnie uzasadnione interesy osoby, której dane dotyczą, w tym udostępnia informacje publicznie.
  • Prawo Unii lub prawo państwa członkowskiego, któremu podlega administrator, regulują kwestie informowania osób, których dane są przetwarzane.
  • Dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy.
Joanna Peryt

Autor

Joanna Peryt

Z uwagi na posiadaną wiedzę specjalizuje się w zagadnieniach związanych z ochroną danych w prawie pracy. Przez kilkanaście lat zrealizowała wiele audytów bezpieczeństwa danych osobowych oraz projektów wdrożeniowych. Pełniła rolę Inspektora ochrony danych dla wielu klientów Audytela.