Obowiązki informacyjne w RODO

Jednym z kluczowych obowiązków administratora danych, wynikających z rozporządzenia unijnego o ochronie danych osobowych (RODO), jest obowiązek informowania osób, których dane dotyczą o przetwarzaniu ich danych osobowych.

Zgodnie z RODO dane osobowe powinny być przetwarzane w sposób przejrzysty dla osoby, której dotyczą.

„Zasada przejrzystości wymaga, by wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem  danych osobowych były łatwo dostępne i zrozumiałe, oraz sformułowane jasnym i prostym językiem. Zasada ta dotyczy w szczególności informowania osób, których dane dotyczą, o tożsamości administratora i celach przetwarzania oraz innych informacji mających zapewnić rzetelność i przejrzystość przetwarzania w stosunku do osób, których sprawa dotyczy, a także prawa takich osób do uzyskania potwierdzenia i informacji o przetwarzanych danych osobowych ich dotyczących. Osobom fizycznym należy uświadomić ryzyka, zasady, zabezpieczenia i prawa związane z przetwarzaniem danych osobowych oraz sposoby wykonywania praw przysługujących im w związku z takim przetwarzaniem”

Zakres informacji, który ma być udzielany zgodnie z RODO jest obszerny, znacznie szerszy, niż przewidują to aktualne  przepisy i można je podzielić na dwie grupy:

W pierwszej grupie mieszczą się informacje:

1) identyfikujące administratora;

2) o celach przetwarzania danych oraz podstawie prawnej przetwarzania;

3) o okresie, przez który dane osobowe będą przechowywane, a gdy podanie takich informacji nie jest możliwe, kryteria ustalania tego okresu;

4) o prawie żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania;

5) o prawie wniesienia skargi do organu nadzorczego;

6) czy podanie danych osobowych jest wymogiem ustawowym albo umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych.

W drugiej grupie mieszczą się informacje, które administrator danych będzie miał obowiązek przekazać osobie, której dane dotyczą, jeżeli zaistnieją następujące okoliczności:

1) jeżeli administrator z państwa trzeciego wyznaczył w Polsce swojego przedstawiciela, wówczas powinien podać informacje identyfikujące tego przedstawiciela;

2) jeżeli administrator powołał inspektora ochrony danych, powinien podać dane kontaktowe takiej osoby;

3) jeżeli przetwarzanie odbywa się na podstawie zgody, administrator powinien podać informacje o prawie do cofnięcia zgody w dowolnym momencie;

4) w sytuacji, gdy przetwarzanie danych odbywa się w oparciu o prawnie uzasadniony interes realizowany przez administratora lub przez stronę trzecią, administrator powinien wskazać ten interes;

5) jeżeli przetwarzanie danych (jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi bądź przetwarzanie odbywa się w oparciu o prawnie uzasadniony interes realizowany przez administratora lub przez stronę trzecią), administrator powinien podać informacje o prawie wniesienia sprzeciwu wobec przetwarzania;

6)jeżeli przetwarzanie odbywa się na podstawie zgody lub umowy i jest dokonywane w sposób zautomatyzowany, to administrator powinien przekazać podmiotowi danych informacje o prawie do przenoszenia danych;

7) jeżeli dane będą przekazywane odbiorcom, wówczas administrator powinien poinformować osobę, której dane dotyczą, o odbiorcach lub o kategoriach odbiorców danych;

8) jeżeli administrator zamierza przekazać dane do państwa trzeciego bądź organizacji międzynarodowej, powinien poinformować o zamiarze przekazania danych i warunkach tego przekazania;

9) jeżeli administrator stosuje mechanizmy podejmowania zautomatyzowanych decyzji oraz profilowania, to powinien podać informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Dodatkowo należy pamiętać, że  jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym dane osobowe zostały zebrane, to zgodnie z przepisami RODO przed dalszym przetwarzaniem powinien poinformować osobę, której dane dotyczą, o innym celu, oraz udzielić jej wszelkich innych stosownych informacji.

Na koniec omawiania tego istotnego obowiązku nie można pominąć faktu, iż  przepisy RODO za naruszenie przepisów dotyczących m.in. obowiązków informacyjnych przewidują możliwość wymierzenia przez organ nadzorczy administracyjnej kary pieniężnej w wysokości do 20 mln euro, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Wprowadzenie tak wysokich kar pieniężnych ma mieć m.in. charakter odstraszający i skłonić administratorów danych do wypełniania obowiązków nałożonych przepisami RODO.

Wobec powyższego  nie opłaca się oszczędność informacyjna wobec osób, których dane przetwarzasz.

 

{ 0 komentarze… dodaj teraz swój }

Dodaj komentarz

Poprzedni wpis:

Następny wpis: