ADO zobowiązany jest wypełnić wobec osoby której dane dotyczą (podmiotu danych), nałoży na niego przez rozporządzenie, obowiązek informacyjny. GDPR formułując ten obowiązek:

1) określa składające się na obowiązek informacyjny zadania ADO;

2) reguluje formę spełnienia obowiązku informacyjnego przez ADO;

3) wskazuje jakie informacje należy przekazać osobom, których dane dotyczą;

reklama

4) formułuje przesłanki powstania obowiązku informacyjnego.

Zadania ADO

Administrator danych:

1)      prowadzi komunikację z podmiotem danych i przekazuje mu informacje w sposób zwięzły, przejrzysty, zrozumiały i łatwo dostępny

2)      ułatwia podmiotom danych wykonywanie ich praw,

3)      nieodpłatnie udziela podmiotom danych informacji, również na ich żądanie, czas na udzielenie informacji przez ADO to maksymalnie miesiąc,

4)      weryfikuje tożsamość osób wnoszących żądania udzielenia informacji.

reklama

Forma spełnienia obowiązku informacyjnego przez ADO

Wymóg przejrzystej komunikacji i przejrzystego informowania ADO z podmiotem danych

Administrator podejmuje odpowiednie środki, aby komunikować się i przekazywać informacje w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem – w szczególności gdy informacje są kierowane do dziecka (art. 12 ust. 1 GDPR).

Motyw 58 preambuły GDPR podkreśla, że wiadomość ta ma być zwięzła i zrozumiała, być były sformułowana jasnym i prostym językiem, a w stosownych przypadkach, dodatkowo wizualizowana. Wszelkie informacje i komunikaty – gdy przetwarzanie dotyczy dziecka – powinny być sformułowane tak jasnym i prostym językiem, by dziecko mogło je bez trudu zrozumieć.

Metoda przekazania informacji

Regulacja stanowi zasadę, iż informacji udziela się na piśmie lub w inny sposób (art. 12 ust. 1 GDPR). Katalog możliwych opcji jest zatem otwarty. Samo rozporządzenie wskazuje jeszcze dwie inne metody przekazania informacji:

1) elektronicznie- w tym w stosownych przypadkach, jeżeli informacja taka posiada znaki graficzne, muszą one ponadto nadawać się do odczytu maszynowego,

2) ustnie- jeżeli osoba, której dane dotyczą, tego zażąda, o ile innymi sposobami potwierdzi się jej tożsamość.

Informacje jakie należy przekazać osobom, których dane dotyczą

Rodzaj informacji jakie należy przekazać podmiotowi danych jest nieco różny w zależności od tego czy to on jest źródłem tych danych, czy też pozyskane są one z innego źródła.

Katalog informacji przekazywanych podmiotowi danych niezależnie od źródła danych osobowych- informacja o:

1) swojej tożsamości i danych kontaktowych, oraz tożsamości i danych kontaktowych swojego przedstawiciela (jeżeli istnieje),

reklama

2) danych kontaktowych inspektora ochrony danych (DPO), jeżeli został powołany,

3) prowadzeniu operacji przetwarzania,

4) celach prowadzonej operacji przetwarzania, do których mają posłużyć dane osobowe,

5) podstawie prawnej przetwarzania,

6) prawnie uzasadnionym interesie realizowanym przez administratora lub przez stronę trzecią – jeżeli przetwarzanie odbywa się na podstawie prawnie usprawiedliwionego interesu ADO (art. 6 ust. 1 lit. f))

7) odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;

8) transferze danych do państwa trzeciego, w tym o:

a) zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej

b) stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony

c) lub wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych w przypadku przekazania danych do państwa trzeciego , o którym mowa w art. 46 , art. 47 lub art. 49 ust. 1 akapit drugi

9) okresie, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu

10) fakcie zautomatyzowanego podejmowania decyzji, w tym profilowania i jego konsekwencjach dla osoby, której dane dotyczą,

11) prawie do:

a) żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą,

b) ich sprostowania, usunięcia lub ograniczenia przetwarzania; lub

c) wniesienia sprzeciwu wobec przetwarzania; a także

d) przenoszenia danych

12) prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem jeżeli przetwarzanie odbywa się na podstawie zgody na przetwarzanie danych zwykłych (art. 6 ust. 1 lit. a) GDPR) lub szczególnej kategorii (art. 9 ust. 2 lit. a) GDPR)

13) prawie wniesienia skargi do organu nadzorczego

Ponadto motyw 60 dyrektywy GDPR nakazuje administratorowi podać wszelkie inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania, uwzględniając konkretne okoliczności i kontekst przetwarzania danych osobowych.

W przypadku zbierania danych osobowych od osoby, której dane dotyczą, należy jej przekazać ponadto informację czy ma ona, na podstawie umowy lub ustawy, obowiązek podać te dane, czy jest to wymóg zawarcia umowy oraz jakie są konsekwencje ich niepodania.

Informacje podawane w przypadku zbierania danych osobowych w sposób inny niż od osoby, której dane dotyczą:

1) kategorie odnośne danych osobowych;

2) źródło pochodzenia danych osobowych.

Przesłanki powstania obowiązku informacyjnego

Powstanie obowiązku informacyjnego wiąże się w trzema, odrębnie uregulowanymi, sytuacjami:

1)      gdy dane pochodzą od osoby, której dotyczą,

2)      gdy dane pochodzą nie pochodzą od osoby której dotyczą

3)      gdy zmieniamy cel przetwarzania danych.

Powstanie obowiązku informacyjnego gdy dane pochodzą od osoby, której dotyczą

Dyrektywa GDPR wskazuje, iż informacje o przetwarzaniu danych należy przekazać już w momencie zbierania danych.

Powstanie obowiązku informacyjnego gdy dane pochodzą od osoby, której nie dotyczą

W takiej sytuacji, ADO udziela informacji w czasie:

1) najpóźniej w ciągu miesiąca po pozyskaniu danych,

2) jeżeli dane mają być wykorzystywane w celach kontaktowych – najpóźniej w czasie pierwszego kontaktu,

3) jeżeli pozyskane dane mają być ujawnione innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu.

Powstanie obowiązku informacyjnego gdy zmienia się cel przetwarzania danych

W takiej sytuacji, ADO udziela informacji przed rozpoczęciem przetwarzania. Dotyczy to zarówno sytuacji gdy dane pozyskane były bezpośrednio od osoby, której one dotyczą, jak i z innych źródeł. W sytuacji takiej należy podać informacje o:

1) okresie, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu

2) fakcie zautomatyzowanego podejmowania decyzji, w tym profilowania i jego konsekwencjach dla osoby, której dane dotyczą,

3) prawie do:

a) żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą

b) ich sprostowania, usunięcia lub ograniczenia przetwarzania lub

c) wniesienia sprzeciwu wobec przetwarzania, a także

d) przenoszenia danych

4) prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem jeżeli przetwarzanie odbywa się na podstawie zgody na przetwarzanie danych zwykłych (art. 6 ust. 1 lit. a) GDPR) lub szczególnej kategorii (art. 9 ust. 2 lit. a) GDPR)

5) prawie wniesienia skargi do organu nadzorczego i w zależności od źródła tych danych:

a) informację czy ma ona, na podstawie umowy lub ustawy, obowiązek podać te dane, czy jest to wymóg zawarcia umowy oraz jakie są konsekwencje ich niepodania; albo

b) kategorie odnośne danych osobowych i źródło pochodzenia danych osobowych

Kiedy nie powstaje obowiązek udzielenia informacji

ADO nie musi udzielać informacji, jeżeli:

1) osoba, od której zbiera dane, już nimi dysponuje,

2) udzieleni takich informacji jest niemożliwe lub wymaga niewspółmiernego wysiłku,

3) udzielenie informacji może uniemożliwić lub poważnie utrudnić realizację celu przetwarzania,

4) pozyskanie danych jest regulowane przepisami prawa,

5) konieczne jest zachowanie tajemnicy zawodowej

6) osoba, od której zbiera dane, już nimi dysponuje.

Porównanie przepisów UODO/GDPR

Zgodnie z uodo w przypadku zbierania danych osobowych nie od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę, bezpośrednio po utrwaleniu zebranych danych, o:

1) adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna – o miejscu swojego zamieszkania oraz imieniu i nazwisku;

2) celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych;

3) źródle danych;

4) prawie dostępu do treści swoich danych oraz ich poprawiania;

5) uprawnieniach do wniesienia pisemnego, umotywowanego żądania zaprzestania przetwarzania danych ze względu na szczególną sytuację,

6) uprawnieniach do wniesienia sprzeciwu wobec przetwarzania danych w celach realizowanych dla dobra publicznego i w pranie usprawiedliwionych celach realizowanych przez ADO.

ADO nie musi spełniać obowiązku informacyjnego wobec osób, których dane pozyskał nie od nich, gdy:

1) przepis innej ustawy przewiduje lub dopuszcza zbieranie danych osobowych bez wiedzy osoby, której dane dotyczą;

2) dane te są niezbędne do badań naukowych, dydaktycznych, historycznych, statystycznych lub badania opinii publicznej, ich przetwarzanie nie narusza praw lub wolności osoby, której dane dotyczą, a spełnienie wymagań określonych w ust. 1 wymagałoby nadmiernych nakładów lub zagrażałoby realizacji celu badania;

4) dane są przetwarzane przez administratora, o którym mowa w art. 3 ust. 1 i ust. 2 pkt 1, na podstawie przepisów prawa;

5) osoba, której dane dotyczą, posiada te informacje.