Nowe obowiązki informacyjne administratora danych
W momencie pozyskiwania danych, ich administrator (ADO) powinien spełnić określone obowiązki informacyjne wobec każdej osoby, której te dane dotyczą. Przykładem może być tutaj gromadzenie danych klientów sklepu internetowego lub wysyłka newslettera do określonej grupy osób.
- Rafał Stępniewski
- /
- 14 lutego 2018
W momencie pozyskiwania danych, ich administrator (ADO) powinien spełnić określone obowiązki informacyjne wobec każdej osoby, której te dane dotyczą. Przykładem może być tutaj gromadzenie danych klientów sklepu internetowego lub wysyłka newslettera do określonej grupy osób.
Wymagane prawem informacje umieszcza się zazwyczaj bezpośrednio pod treścią zgody na przetwarzanie danych. Dzięki temu, łatwiej jest udowodnić, że obowiązki informacyjne faktycznie zostały wypełnione.
Obecne obowiązki informacyjne ADO
Aktualne obowiązki informacyjne ADO określa ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Artykuł 24 oraz 25 ustawy wskazuje, że w przypadku pozyskiwania danych, administrator musi poinformować podmiot o:
- Pełnej nazwie oraz adresie administratora danych osobowych
- Celu zbierania danych osobowch
- Podmiotach, które będą miały dostęp do danych
- Prawie dostępu i poprawiania danych
- Dobrowolności lub obowiązku podania danych wraz ze wskazaniem przepisu prawa, który narzuca obowiązek podania danych
- Źródle pozyskania danych oraz prawie wniesienia sprzeciwu lub żądania zaprzestania przetwarzania danych w przypadku zbierania danych nie bezpośrednio od podmiotu danych
Rozszerzenie obowiązków informacyjnych ADO
RODO nakłada na administratora danych osobowych szereg nowych obowiązków informacyjnych. Od maja 2018 roku, oprócz wyżej wspominanych elementów, będzie on musiał informować podmiot o:
- Danych kontaktowych ADO oraz Inspektora Ochrony Danych
- Przepisach prawach warunkujących przetwarzanie danych (jeśli ich przetwarzanie wynika z tych przepisów)
- Podstawie prawnej uzasadniającej interes ADO lub strony trzeciej (jeśli przetwarzanie danych z niej wynika)
- Prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem
- Źródle pochodzenia danych osobowych (gdy dane zostały pozyskane nie bezpośrednio od podmiotu danych)
- Zamiarze przekazywania danych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję Europejską odpowiedniego stopnia ochrony.
- Okresie, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu
- Prawie do żądania od ADO dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych
- Prawie wniesienia skargi do organu nadzorczego (PUODO)
- Zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu
możemy Ci pomóc w analizie i zgłoszeniu do UODOWyciekły w Twojej firmie dane osobowe
Zbieranie danych nie bezpośrednio od osoby, której dotyczą
W przypadku pozyskiwania danych nie od osoby, których dane dotyczą, ADO również powinien spełnić obowiązek informacyjny. Przede wszystkim, będzie on musiał wskazać jakie kategorie danych osobowych są przetwarzane, np. imię, nazwisko, data urodzenia itp.
Ponadto, powinien on wskazać źródło pochodzenia tych danych oraz w uzasadnionych przypadkach, poinformować czy pochodzą one ze źródeł publicznie dostępnych.
Zwolnienie z obowiązku informacyjnego
Zdarzają się sytuacje, w których administrator danych osobowych jest zwolniony z wypełnienia obowiązków informacyjnych, wobec osób, których dane przetwarza. Mówimy wówczas o następujących przypadkach:
- Osoba, której dane dotyczą została już poinformowana o tym, że jej dane są przetwarzane. ADO powinien dysponować dowodami potwierdzającymi ten fakt.
- Administrator danych osobowych pozyskuje dane w inny sposób niż bezpośrednio od osoby, której dane dotyczą. Z taką sytuacją mamy do czynienia wówczas, gdy spełnienie obowiązków informacyjnych jest niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku (przetwarzanie danych do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych).
Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco
z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu
ponownie!
Jeżeli
podobał Ci się artykuł podziel się z innymi udostępniając go w mediach
społecznościowych.
Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?