Kiedy administrator musi spełnić obowiązek informacyjny zgodnie z art. 14 RODO?

Zgodnie z Rozporządzeniem unijnym o ochronie danych osobowych, administrator danych zobowiązany jest spełnić obowiązek informacyjny wobec osób, których dane przetwarza. W zależności od tego czy dane te zostały pozyskane bezpośrednio od osoby, której dotyczą, czy z innego źródła, klauzule informacyjne będą się różnić.

W przypadku kiedy administrator pozyskał dane osobowe nie bezpośrednio od osoby, lecz z innego źródła, zobowiązany jest przekazać następujące informacje o przetwarzaniu jej danych osobowych zgodnie z art. 14 RODO:

  • swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela – jeśli administrator ma swoją siedzibę poza UE może wyznaczyć podmiot mający siedzibę w UE, który będzie go reprezentował w zakresie obowiązków wynikających z RODO;
  • dane kontaktowe inspektora ochrony danych – jeśli administrator będzie zobowiązany wyznaczyć IOD;
  • cele przetwarzania oraz podstawę prawną przetwarzania;
  • informację o rodzaju danych, jakie administrator przetwarza o osobie, np. imię, nazwisko, adres zamieszkania, PESEL itp.;
  • informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją –należy wskazać konkretne podmioty, którym administrator udostępnia dane lub kategorie podmiotów, np. firmy kurierskie, firmy świadczące usługi opieki medycznej;
  • informacje o zamiarze przekazania danych osobowych odbiorcy do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony, a także informację o wdrożonych przez administratora odpowiednich zabezpieczeniach i o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych odbiorcy;
  • informację przez jaki czas dane te będą przez administratora przechowywane;
  • informację o przetwarzaniu danych na podstawie prawnie uzasadnionego interesu administratora, jeżeli przetwarzanie odbywa się na tej podstawie;
  • informacje o prawach podmiotów danych – prawo dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz prawo wniesienia sprzeciwu wobec przetwarzania, prawo do przenoszenia danych;
  • informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność
    z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem, jeśli dane przetwarzane są na podstawie zgody;
  • informację o prawie wniesienia skargi do organu nadzorczego;
  • informację z jakiego źródła administrator pozyskał dane osoby – należy wskazać konkretne podmioty lub publicznie dostępne rejestry z których administrator pozyskał dane, np. CEiDG);
  • informację o podejmowaniu przez administratora zautomatyzowanych decyzji wobec osoby, której dane przetwarza – należy wskazać zasady podejmowania tych decyzji oraz znaczenie
    i konsekwencje takiego przetwarzania dla osoby;
  • informację o stosowaniu profilowania wobec osób, których dane przetwarza.

 

Wszystkie te informacje administrator zobowiązany jest przekazać osobie, której dane przetwarza, najpóźniej w ciągu miesiąca od pozyskania jej danych lub przy pierwszej komunikacji z nią, jeśli dane te mają być wykorzystywane do komunikacji z tą osobą.

W art. 14. ust. 5 RODO przewiduje jednak kilka wyjątków, które zwalniają administratora od spełnienia powyższego obowiązku. Są to następujące sytuacje:

  • osoba, której dane dotyczą, dysponuje już tymi informacjami – administrator poinformował już osobę o przetwarzaniu jej danych i nie ma konieczności, aby robił to ponownie;
  • udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku; w szczególności w przypadku przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych.
    W takich przypadkach administrator podejmuje odpowiednie środki, by chronić prawa
    i wolności oraz prawnie uzasadnione interesy osoby, której dane dotyczą, w tym udostępnia informacje publicznie;
  • prawo Unii lub prawo państwa członkowskiego, któremu podlega administrator, regulują kwestie informowania osób, których dane są przetwarzane;
  • dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy.
Joanna Peryt

Autor

Joanna Peryt

Od ponad 10 lat pracuje w Audytelu, gdzie jako konsultant zrealizowała wiele audytów bezpieczeństwa danych osobowych oraz projektów wdrożeniowych. Pełni rolę Inspektora ochrony danych dla wielu klientów Audytela. Posiada certyfikat auditora wewnętrznego ISO 27001 (Bezpieczeństwo Informacji).

Z tej samej kategorii

Kategorie