Zgodnie z Rozporządzeniem RODO, administrator danych jest zobowiązany spełnić obowiązek informacyjny wobec osób, których dane przetwarza.
Informacje podawane w przypadku zbierania danych
W sytuacji gdy dane osobowe zostały pozyskane od osoby, której bezpośrednio dotyczą lub w sposób inny niż od tej osoby, administrator ma w obowiązku podanie jej następujących informacji:
- Tożsamość i dane kontaktowe administratora oraz – jeśli ma to zastosowanie – tożsamość i dane kontaktowe swojego przedstawiciela. W sytuacji, gdy administrator ma swoją siedzibę poza UE, może wyznaczyć podmiot mający siedzibę w UE, który będzie go reprezentował w zakresie obowiązków wynikających z RODO.
- Dane kontaktowe inspektora ochrony danych.
- Cele przetwarzania, do których mają posłużyć dane osobowe oraz podstawę prawną przetwarzania.
- Prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią.
- Informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją. W szczególności chodzi o konkretne kategorie podmiotów, którym możemy udostępnić dane – firmy kurierskie, opieka medyczna.
- Gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej. A dodatkowo o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony. A także informację o wdrożonych przez administratora odpowiednich zabezpieczeniach i możliwościach uzyskania kopii danych lub miejscu udostępnienia danych odbiorcy.
Pozyskiwanie danych osobowych od osoby, której dane dotyczą.
Podczas pozyskiwania danych osobowych administrator podaje osobie, której dane dotyczą, następujące inne informacje niezbędne do zapewnienia zgodności z przetwarzaniem:
- Okres,w którym dane osobowe będą przechowywane, a gdy nie jest to możliwe – kryteria ustalenia tego okresu.
- Prawo do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą. A ponadto prawie ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych.
- Prawo do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem.
- Prawo wniesienia skargi do organu nadzorczego.
- Informację, czy podanie danych osobowych jest wymogiem ustawowym, umownym lub warunkiem zawarcia umowy. A dodatkowo, czy osoba, której dane dotyczą, zobowiązano do ich podania i jakie są ewentualne konsekwencje braku podania danych.
- Informację o zautomatyzowanym podejmowaniu decyzji (profilowanie).
Pozyskiwanie danych osobowych w sposób inny niż od osoby, której dane dotyczą.
Administrator podaje osobie, której dane dotyczą, następujące informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania wobec osoby, której dane dotyczą:
- Informację, przez jaki czas dane będą przechowywane przez administratora.
- Powiadomienie o prawnie uzasadnionym interesie administratora, na bazie którego odbywa się przetwarzanie danych.
- Informację o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą. A ponadto prawie do ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych.
- Informację o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania.
- Informację o prawie wniesienia skargi do organu nadzorczego.
- Źródło, z którego administrator pozyskał dane osobowe (w szczególności, czy było to pozyskanie z publicznie dostępnych rejestrów).
- Informację o podejmowaniu przez administratora zautomatyzowanych decyzji wobec osoby, której dane przetwarza. Należy wskazać zasady podejmowania tych decyzji oraz znaczenie i konsekwencje takiego przetwarzania dla danej osoby.
- Informację o profilowaniu osób.
Administrator jest zobowiązany do przekazania osobie, której dane przetwarza, informacji najpóźniej w ciągu miesiąca od pozyskania danych lub podczas pierwszej komunikacji, jeśli w tym celu jej dane zostały pozyskane.
Co ważne, art. 14 ust. 5 RODO przewiduje wyjątki, zgodnie z którymi administratora można zwolnić z powyższych obowiązków:
- osoba, której dane dotyczą, dysponuje już tymi informacjami (brak konieczności ponownego informowania o przetwarzaniu jej danych);
- udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku. W szczególności w przypadku przetwarzania do celów archiwalnych w interesie publicznym, do badań naukowych, historycznych lub do celów statystycznych. W takich przypadkach administrator podejmuje odpowiednie środki, by chronić prawa i wolności oraz prawnie uzasadnione interesy osoby.
- prawo Unii lub prawo państwa członkowskiego, któremu podlega administrator, przewiduje odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą;
- dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii lub w prawie państwa członkowskiego. W tym również ustawowym obowiązkiem zachowania tajemnicy.
Jeśli masz pytania dotyczące funkcjonalności programu RODOprotektor – wyślij nam wiadomość!
The post Obowiązek informacyjny zgodny z art. 14 RODO – obowiązki administratora danych appeared first on RODOprotektor.