Nowe obowiązki informacyjne administratora danych

W momencie pozyskiwania danych, ich administrator (ADO) powinien spełnić określone obowiązki informacyjne wobec każdej osoby, której te dane dotyczą. Przykładem może być tutaj gromadzenie danych klientów sklepu internetowego lub wysyłka newslettera do określonej grupy osób.

  • Rafał Stępniewski
  • /
  • 14 lutego 2018

W momencie pozyskiwania danych, ich administrator (ADO) powinien spełnić określone obowiązki informacyjne wobec każdej osoby, której te dane dotyczą. Przykładem może być tutaj gromadzenie danych klientów sklepu internetowego lub wysyłka newslettera do określonej grupy osób.

Wymagane prawem informacje umieszcza się zazwyczaj bezpośrednio pod treścią zgody na przetwarzanie danych. Dzięki temu, łatwiej jest udowodnić, że obowiązki informacyjne faktycznie zostały wypełnione.

Obecne obowiązki informacyjne ADO

Aktualne obowiązki informacyjne ADO określa ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Artykuł 24 oraz 25 ustawy wskazuje, że w przypadku pozyskiwania danych, administrator musi poinformować podmiot o:

  1. Pełnej nazwie oraz adresie administratora danych osobowych
  2. Celu zbierania danych osobowch
  3. Podmiotach, które będą miały dostęp do danych
  4. Prawie dostępu i poprawiania danych
  5. Dobrowolności lub obowiązku podania danych wraz ze wskazaniem przepisu prawa, który narzuca obowiązek podania danych
  6. Źródle pozyskania danych oraz prawie wniesienia sprzeciwu lub żądania zaprzestania przetwarzania danych w przypadku zbierania danych nie bezpośrednio od podmiotu danych

Rozszerzenie obowiązków informacyjnych ADO

RODO nakłada na administratora danych osobowych szereg nowych obowiązków informacyjnych. Od maja 2018 roku, oprócz wyżej wspominanych elementów, będzie on musiał informować podmiot o:

  1. Danych kontaktowych ADO oraz Inspektora Ochrony Danych
  2. Przepisach prawach warunkujących przetwarzanie danych (jeśli ich przetwarzanie wynika z tych przepisów)
  3. Podstawie prawnej uzasadniającej  interes ADO lub strony trzeciej (jeśli przetwarzanie danych z niej wynika)
  4. Prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem
  5. Źródle pochodzenia danych osobowych (gdy dane zostały pozyskane nie bezpośrednio od podmiotu danych)
  6. Zamiarze przekazywania danych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję Europejską odpowiedniego stopnia ochrony.
  7. Okresie, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu
  8. Prawie do żądania od ADO dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych
  9. Prawie wniesienia skargi do organu nadzorczego (PUODO)
  10. Zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu

Wyciekły w Twojej firmie dane osobowe

możemy Ci pomóc w analizie i zgłoszeniu do UODO

Sprawdź szczegóły

Zbieranie danych nie bezpośrednio od osoby, której dotyczą

W przypadku pozyskiwania danych nie od osoby, których dane dotyczą, ADO również powinien spełnić obowiązek informacyjny. Przede wszystkim, będzie on musiał wskazać jakie kategorie danych osobowych są przetwarzane, np. imię, nazwisko, data urodzenia itp.

Ponadto, powinien on wskazać źródło pochodzenia tych danych oraz w uzasadnionych przypadkach, poinformować czy pochodzą one ze źródeł publicznie dostępnych.

Zwolnienie z obowiązku informacyjnego

Zdarzają się sytuacje, w których administrator danych osobowych jest zwolniony z wypełnienia obowiązków informacyjnych, wobec osób, których dane przetwarza. Mówimy wówczas o następujących przypadkach:

  1. Osoba, której dane dotyczą została już poinformowana o tym, że jej dane są przetwarzane. ADO powinien dysponować dowodami potwierdzającymi ten fakt.
  2. Administrator danych osobowych pozyskuje dane w inny sposób niż bezpośrednio od osoby, której dane dotyczą. Z taką sytuacją mamy do czynienia wówczas, gdy spełnienie obowiązków informacyjnych jest niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku (przetwarzanie danych do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych).

 

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.

O autorze

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?

Zapraszamy do kontaktu
Tagi: RODO w firmie
Powiązane posty
Popularne Tagi

Najnowsze tematy

WSPÓŁPRACA

Blogi tematyczne

Prawo konsumenckie 2021
Blog prawa e-commerce
Prawo konsumenckie
Security Magazine
Poradnik: wszystko o zgodzie RODO i obowiązkach informacyjnych RODO
Kliknij aby wrócić do strony głównej

Newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych artykułach. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!