kancelaria@przetwarzaniedanych.pl

Kancelaria na Facebooku

Kancelaria na Linkedin

Obowiązki informacyjne w RODO

Obowiązki informacyjne w RODO to jeden z kluczowych obowiązków administratora danych, wynikających z rozporządzenia unijnego o ochronie danych osobowych (RODO). Jest to  obowiązek informowania osób, których dane dotyczą o przetwarzaniu ich danych osobowych.

Zgodnie z RODO dane osobowe powinny być przetwarzane w sposób przejrzysty dla osoby, której dotyczą.

„Zasada przejrzystości wymaga, by wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem  danych osobowych były łatwo dostępne i zrozumiałe, oraz sformułowane jasnym i prostym językiem. Zasada ta dotyczy w szczególności informowania osób, których dane dotyczą, o tożsamości administratora i celach przetwarzania oraz innych informacji mających zapewnić rzetelność i przejrzystość przetwarzania w stosunku do osób, których sprawa dotyczy, a także prawa takich osób do uzyskania potwierdzenia i informacji o przetwarzanych danych osobowych ich dotyczących. Osobom fizycznym należy uświadomić ryzyka, zasady, zabezpieczenia i prawa związane z przetwarzaniem danych osobowych oraz sposoby wykonywania praw przysługujących im w związku z takim przetwarzaniem”

Zakres obowiązków informacyjnych w szczególności informacji, które mają być udzielane zgodnie z RODO jest obszerny, znacznie szerszy, niż przewidują to aktualne  przepisy i można je podzielić na dwie grupy:

W pierwszej grupie mieszczą się informacje:

1) identyfikujące administratora;

2) o celach przetwarzania danych oraz podstawie prawnej przetwarzania;

3) o okresie, przez który dane osobowe będą przechowywane, a gdy podanie takich informacji nie jest możliwe, kryteria ustalania tego okresu;

4) o prawie żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania;

5) o prawie wniesienia skargi do organu nadzorczego;

6) czy podanie danych osobowych jest wymogiem ustawowym albo umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych.

W drugiej grupie mieszczą się informacje, które administrator danych będzie miał obowiązek przekazać osobie, której dane dotyczą, jeżeli zaistnieją następujące okoliczności:

1) jeżeli administrator z państwa trzeciego wyznaczył w Polsce swojego przedstawiciela, wówczas powinien podać informacje identyfikujące tego przedstawiciela;

2) jeżeli administrator powołał inspektora ochrony danych, powinien podać dane kontaktowe takiej osoby;

3) jeżeli przetwarzanie odbywa się na podstawie zgody, administrator powinien podać informacje o prawie do cofnięcia zgody w dowolnym momencie;

4) w sytuacji, gdy przetwarzanie danych odbywa się w oparciu o prawnie uzasadniony interes realizowany przez administratora lub przez stronę trzecią, administrator powinien wskazać ten interes;

5) jeżeli przetwarzanie danych (jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi bądź przetwarzanie odbywa się w oparciu o prawnie uzasadniony interes realizowany przez administratora lub przez stronę trzecią), administrator powinien podać informacje o prawie wniesienia sprzeciwu wobec przetwarzania;

6)jeżeli przetwarzanie odbywa się na podstawie zgody lub umowy i jest dokonywane w sposób zautomatyzowany, to administrator powinien przekazać podmiotowi danych informacje o prawie do przenoszenia danych;

7) jeżeli dane będą przekazywane odbiorcom, wówczas administrator powinien poinformować osobę, której dane dotyczą, o odbiorcach lub o kategoriach odbiorców danych;

8) jeżeli administrator zamierza przekazać dane do państwa trzeciego bądź organizacji międzynarodowej, powinien poinformować o zamiarze przekazania danych i warunkach tego przekazania;

9) jeżeli administrator stosuje mechanizmy podejmowania zautomatyzowanych decyzji oraz profilowania, to powinien podać informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Dodatkowo należy pamiętać, że  jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym dane osobowe zostały zebrane, to zgodnie z przepisami RODO przed dalszym przetwarzaniem powinien również wypełnić zgodnie z RODO obowiązek informacyjny i poinformować osobę o tym innym celu przetwarzania, oraz udzielić jej wszelkich innych stosownych informacji.

Na koniec omawiania obowiązków informacyjnych z RODO nie można pominąć faktu, iż  przepisy RODO za naruszenie przepisów dotyczących m.in. obowiązków informacyjnych przewidują możliwość wymierzenia przez organ nadzorczy administracyjnej kary pieniężnej w wysokości do 20 mln euro, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

Wprowadzenie w RODO tak wysokich kar pieniężnych za niewypełnienie obowiązków informacyjnych ma mieć m.in. charakter odstraszający i skłonić administratorów danych do wypełniania tych obowiązków.

 

 

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

%d bloggers like this: