Do wejścia w życie RODO zostało już tylko kilka godzin. Dla spóźnialskich małe przypomnienie o bardzo ważnym obowiązku ciążącym na administratorze danych osobowych.

Jeżeli dane zbierany od osoby, której dane te dotyczą, to w momencie pozyskiwania tych danych informujemy taką osobę o:

1/ swojej tożsamości i danych kontaktowych oraz tożsamości i danych kontaktowych swojego przedstawiciela, gdy istnieje taka potrzeba;

2/  danych kontaktowych inspektora ochrony danych, jeżeli jest taka podstawa;

3/ celach przetwarzania danych osobowych oraz podstawie prawnej przetwarzania;

4/ prawnie uzasadnionych interesach realizowanych przez administratora lub przez stronę trzecią, jeżeli taka jest podstawa prawna przetwarzania danych;

5/ odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;

6/ zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych;

7/ okresie, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;

8/ prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;

9/ prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem, jeżeli zgoda jest podstawą prawną przetwarzania danych;

10/  prawie wniesienia skargi do organu nadzorczego;

11/ tym, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;

12/ zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Jeżeli administrator zmienia cel przetwarzania danych osobowych, to również o tym musi poinformować.

Zdarzają się sytuacje, gdy uzyskujemy dane w inny sposób niż od osoby, której dane te dotyczą, np. od innego klienta.

W takiej sytuacji również taką osobę musimy poinformować o:

1/  swojej tożsamość i danych kontaktowych oraz tożsamości i danych kontaktowych swojego przedstawiciela, gdy jest to potrzebne;

2/ danych kontaktowych inspektora ochrony danych;

3/ celach przetwarzania, do których mają posłużyć dane osobowe, oraz podstawie prawnej przetwarzania;

4/  kategoriach odnośnych danych osobowych;

5/ odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;

6/ zamiarze przekazania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych;

7/ okresie, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;

8/ prawnie uzasadnionych interesy realizowanych przez administratora lub przez stronę trzecią, jeżeli jest to podstawa przetwarzania danych;

9/ prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz o prawie do wniesienia sprzeciwu wobec przetwarzania, a także  prawie do przenoszenia danych;

10/ prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem, jeżeli zgoda jest podstawą prawną przetwarzania danych;

11/ prawie wniesienia skargi do organu nadzorczego;

12/  źródle pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych;

13/ zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

W takim przypadku obowiązek informacyjny powstaje:

1/  w rozsądnym terminie po pozyskaniu danych osobowych – najpóźniej w ciągu miesiąca – mając na uwadze konkretne okoliczności przetwarzania danych osobowych;

2/ jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą – najpóźniej przy pierwszej takiej komunikacji z osobą, której dane dotyczą; lub

3/  jeżeli planuje się ujawnić dane osobowe innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu.

Jeżeli administrator danych planuje zmienić cel przetwarzania danych osobowych, to musi o tym również poinformować.

Administrator nie musi wypełniać tego obowiązku, gdy:

1/  osoba, której dane dotyczą, dysponuje już tymi informacjami;

2/   udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku; w szczególności w przypadku przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, z zastrzeżeniem warunków i zabezpieczeń przewidzianych w Rozporządzeniu, lub o ile obowiązek, ten  może uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania. W takich przypadkach administrator podejmuje odpowiednie środki, by chronić prawa i wolności oraz prawnie uzasadnione interesy osoby, której dane dotyczą, w tym udostępnia informacje publicznie;

3/  pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą;

4/  dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy.