Przejrzyste informowanie i przejrzysta komunikacja – Poradnik RODO dla administratora danych
- 14 września 2018
- Anna Sowa
- Możliwość komentowania Przejrzyste informowanie i przejrzysta komunikacja – Poradnik RODO dla administratora danych została wyłączona
Jako Administrator danych jesteś zobowiązany do podejmowania odpowiednich środków, aby w zwięzłej, przejrzystej, zrozumiałe i łatwo dostępnej formie, jasnym i prostym językiem udzielić osobie, które dane dotyczą, wszelkich informacji dotyczących realizacji obowiązku informacyjnego oraz prowadzić z nią wszelką komunikację w związku z realizacją jej praw.
Informacji udziela się na piśmie lub w inny sposób, np. elektronicznie, jeżeli osoba, której dane dotyczą tego zażąda. Informacji można udzielić ustnie, o ile innymi sposobami potwierdzi się tożsamość osoby, której dane dotyczą.
Administrator ma obowiązek, udzielić informacji, o których mowa wyżej, bez zbędnej zwłoki, najpóźniej w terminie miesiąca od otrzymania żądania. W przypadku skomplikowanego charakteru żądania termin ten można przedłużyć o kolejne dwa miesiące. Jako Administrator jesteś jednak zobowiązany w terminie miesiąca do poinformowania osoby, której dane dotyczą o przedłużeniu terminu, z podaniem przyczyn opóźnienia. W przypadku niepodjęcia żadnych działań również jesteś zobowiązany do jej poinformowania, wskazując, iż ma możliwość wniesienia skargi do organu nadzorczego oraz skorzystania z innych środków ochrony prawnej.
Informacji, których musisz udzielić, są wolne od opłat, jednak w przypadku gdy żądania osoby, której dane dotyczą są nieuzasadnione lub nadmierne, możesz pobrać rozsądna opłatę, uwzględniającą koszty administracyjne lub odmówić podjęcia działań.
Informacje podawane w przypadku zbierania danych od osoby, której dane dotyczą
Jako Administrator podczas pozyskiwania danych od osoby, której dane dotyczą, jesteś zobowiązany do podania wszystkich następujących informacji:
1. swojej tożsamości i danych kontaktowych, oraz swojego przedstawiciela – gdy ma to zastosowanie;
2. danych kontaktowych inspektora ochrony danych – gdy ma to zastosowanie;
3. celu przetwarzania danych osobowych;
4. podstawy prawnej przetwarzania;
5. jeśli podstawą przetwarzania jest prawnie uzasadniony interes, wskazania tego interesu;
6. informacji o odbiorcach lub kategoriach odbiorców, jeżeli istnieją;
7. informacji o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub informacji o odpowiednich, właściwych zabezpieczeniach – gdy ma to zastosowanie;
8. okresu, przez który dane osobowe będą przechowywane lub kryteriów ustalania tego okresu;
9. informacji o prawach: dostępu do danych osobowych osoby, której dane dotyczą, ich sprostowaniu, usunięciu lub ograniczeniu przetwarzania, prawie do sprzeciwu wobec przetwarzania i przenoszenia danych;
10. informacji o prawie do cofnięcia zgody na przetwarzanie danych osobowych, w dowolnym momencie;
11. informacji o prawie wniesienia skargi do organu nadzorczego;
12. informacji, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje ich niepodania;
13. informacji o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu i istotnych zasadach ich podejmowania, znaczeniu i przewidywanych konsekwencjach dla osoby, której dane dotyczą;
14. informacji o innym celu, w przypadku gdy administrator danych planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym dane osobowe zostały zebrane.
Informacje podawane w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą
Jako Administrator jesteś zobowiązany do podania osobie, której dane uzyskałeś z innych źródeł, wszystkich następujących informacji:
1. swojej tożsamości i danych kontaktowych, oraz swojego przedstawiciela – gdy ma to zastosowanie;
2. danych kontaktowych inspektora ochrony danych – gdy ma to zastosowanie;
3. celu przetwarzania danych osobowych;
4. podstawy prawnej przetwarzania;
5. kategorii danych osobowych:
6. informacji o odbiorcach lub kategoriach odbiorców, jeżeli istnieją;
7. informacji o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub informacji o odpowiednich, właściwych zabezpieczeniach – gdy ma to zastosowanie;
8. okresu, przez który dane osobowe będą przechowywane lub kryteriów ustalania tego okresu;
9. prawnie uzasadnionego interesu – gdy ma to zastosowanie;
10. informacji o prawach: dostępu do danych osobowych osoby, której dane dotyczą, ich sprostowaniu, usunięciu lub ograniczeniu przetwarzania, prawie do sprzeciwu wobec przetwarzania i przenoszenia danych;
11. informacji o prawie do cofnięcia zgody na przetwarzanie danych osobowych, w dowolnym momencie;
12. informacji o prawie wniesienia skargi do organu nadzorczego;
13. źródle pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych;
14. informacji o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu i istotnych zasadach ich podejmowania, znaczeniu i przewidywanych konsekwencjach dla osoby, której dane dotyczą.
Powyższe informacje muszą zostać podane w rozsądnym terminie, najpóźniej w ciągu miesiąca. W przypadku gdy dane mają zostać wykorzystane do komunikacji z osobą, której dane dotyczą, najpóźniej przy pierwszym kontakcie, zaś gdy dane planuje się ujawnić innemu odbiorcy, najpóźniej przy ich pierwszym ujawnieniu.
Jako Administrator jesteś zwolniony z powyższego obowiązku, wtedy gdy:
1. osoba, której dane dotyczą, dysponuje już tymi informacjami;
2. udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku;
3. pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlegasz, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą;
4. dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii lub w prawie państwa członkowskiego.
Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych
Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, jako Administrator musisz bez zbędnej zwłoki zawiadomić osobę, której dane dotyczą, o takim naruszeniu. Zawiadomienie powinno jasnym i prostym językiem opisywać charakter naruszenia ochrony danych osobowych oraz zawierać przynajmniej informacje o konsekwencjach i zastosowanych środkach.
Zawiadomienie nie jest wymagane gdy:
1. wdrożyłeś odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie;
2. zastosowałeś środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą;
3. wymagałoby ono niewspółmiernie dużego wysiłku.