Obowiązek informacyjny przy zbieraniu danych osobowych

Brak komentarzy

obrazek przedstawiajacy pionkiRODO rozszerza listę informacji, jakie administrator musi przekazać osobie, której dane zbiera i przetwarza. Rozporządzenie mówi o tym, że informacje te powinny być przekazywane w formie zwięzłej, przejrzystej, zrozumiałej oraz łatwo dostępnej, jasnym i prostym językiem. Ponadto, administrator ma obowiązek „prowadzić wszelką komunikację” z osobą, której dane dotyczą. Należy przez to rozumieć udzielanie informacji w zakresie przetwarzania (na piśmie lub w inny sposób).

Podstawowe informacje

Administrator pozyskując dane od osoby, której dane dotyczą powinien podać następujące informacje:

  • swoją tożsamość i dane kontaktowe (ewentualnie gdy ma to zastosowanie  – tożsamość i dane kontaktowe swojego przedstawiciela),
  • dane inspektora ochrony danych osobowych (jeśli ma to zastosowanie, tzn. został powołany/przepisy wymagają jego powołania),
  • cel przetwarzania oraz podstawę przetwarzania danych,
  • jeśli przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub osobę trzecią, należy wskazać te interesy,
  • dotyczące odbiorców danych osobowych lub kategoriach odbiorców (dane osób/ podmiotów, którym dane będą udostępniane),
  • jeśli ma to zastosowanie, informacje o zamiarze przekazania danych do państwa trzeciego (do państwa poza UE)  lub organizacji międzynarodowej oraz stopniu ochrony danych osobowych (lub braku) stwierdzonym przez Komisję Europejską  wraz ze wzmianką o odpowiednich zabezpieczeniach i możliwości uzyskania kopii danych (ewentualnie miejscu ich udostępnienia).

Dodatkowe informacje

Poza informacjami wyliczonymi powyżej, administrator podczas pozyskiwania danych osobowych zobowiązany jest także do podania dodatkowych komunikatów, które mają służyć zapewnieniu rzetelności i przejrzystości przetwarzania. Będą to :

  • wskazanie okresu, przez który dane osobowe będą przechowywane lub kryteriów ustalania tego okresu (jeśli sprecyzowanie terminu nie jest możliwe);
  • informacje o prawie żądania od administratora dostępu do danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub prawie do wniesienia sprzeciwu wobec przetwarzania oraz prawie do przenoszenia danych,
  • informacje o prawie do cofnięcia zgody na przetwarzanie danych osobowych w dowolnym momencie,
  • informacje o prawie wniesienia skargi do organu nadzorczego,
  • informacje o tym, czy podanie danych jest wymogiem ustawowym/umownym/warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą jest zobowiązana do ich podania i jakie są konsekwencje ich nie podania,
  • informacje o zautomatyzowanym podejmowaniu decyzji i zasadach ich podejmowania, w tym o profilowaniu.

* RODO zastrzega również, że jeśli administrator planuje dalej przetwarzać dane osobowe w celu innym niż ten, który wskazano pozyskując dane jest zobowiązany poinformować o tym osobę, której dane dotyczą i udzielić jej wszelkich informacji, o których była mowa powyżej.

Forma i język

Obowiązek informacyjny można spełnić na piśmie lub w inny sposób, w tym w stosownych przypadkach – elektronicznie. Administrator jest zobowiązany przekazać ww. informacje w sposób zwięzły, przejrzysty, w zrozumiałej i łatwo dostępnej formie oraz jasnym i prostym językiem. Szczególne znaczenie ma to w przypadku, gdy komunikat kierowany jest do dziecka.

Niedopełnienie obowiązków informacyjnych względem osoby, której dane przetwarzamy może zostać uznane za naruszenie ochrony danych osobowych. W konsekwencji może skutkować to nałożeniem kary lub odpowiedzialnością cywilnoprawną administratora.