Zasada przejrzystości wg RODO

Jakie informacje administrator powinien przekazać osobie, która udostępnia swoje dane osobowe?

Administrator, podczas pozyskiwania danych osobowych, podaje następujące informacje:

• tożsamość i dane kontaktowe administratora danych;
• gdy zostali ustanowieni – dane kontaktowe przedstawiciela administratora oraz inspektora ochrony danych;
• cele przetwarzania danych, dla których zostały zebrane;
• podstawę prawną przetwarzania danych osobowych (np. zgoda, niezbędność do wykonania umowy, niezbędność do wykonania obowiązku wynikającego z przepisów prawa); jeżeli podstawą prawną przetwarzania danych jest prawnie uzasadniony interes, wskazanie na czym polega ten uzasadniony interes;
• okres, w którym dane będą przechowywane, a gdy to nie jest możliwe, kryteria ustalania tego okresu;
• o prawie dostępu do danych, sprostowania lub usunięcia danych oraz prawie do wyrażania sprzeciwu wobec przetwarzania danych osobowych;
• o prawie do cofnięcia zgody na przetwarzanie danych;
• o prawie do wniesienia skargi do organu nadzorczego;
• czy podanie danych jest wymogiem umownym czy ustawowym;
• o odbiorcach danych, którym dane zostaną ujawnione lub o kategoriach takich odbiorców
  zamiarze transferowania danych do państw trzecich (państw spoza Europejskiego Obszaru Gospodarczego) ;
• o zautomatyzowanym przetwarzaniu danych, w tym profilowaniu, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Poza tym wszystkie pozostałe informacje konieczne do rzetelnego i przejrzystego przetwarzania danych osobowych.  

Co w przypadku, gdy informacje nie zostały pozyskane od osoby, której dane dotyczą?

W przypadku, gdy administrator pozyskuje dane nie od osoby, której dane dotyczą, dodatkowo powinien poinformować tę osobę o:

• kategoriach danych osobowych;
• źródle pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych;
• jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym te dane zostały pozyskane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji.

Dopasowanie języka do odbiorcy

Administrator danych powinien przedstawić te informacje używając łatwego w odbiorze języka, zrozumiałego dla osoby, której dane dotyczą, nawet jeśli jest to dziecko. Może się przy tym posługiwać standardowymi znakami graficznymi, które w widoczny, zrozumiały i czytelny sposób przedstawią sens przetwarzania. Administrator powinien udzielić informacji na piśmie lub w inny sposób, w tym, w stosownych przypadkach, elektronicznie. Jeżeli osoba, której dane dotyczą, tego zażąda, informacji można udzielić ustnie, o ile administrator jest w stanie potwierdzić tożsamość osoby, której dane dotyczą.

Wyjątki – zwolnienie z obowiązku przekazania informacji

Jeśli administrator pozyskuje dane z innych źródeł niż osoba, której dane dotyczą, jest zwolniony z obowiązku przekazania informacji, jeśli:

• osoba, której dane dotyczą, dysponuje już tymi informacjami;
• udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku; w takich przypadkach administrator podejmuje odpowiednie środki, by chronić prawa i wolności oraz prawnie uzasadnione interesy osoby, której dane dotyczą, w tym udostępnia informacje publicznie;
• pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator;
• dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy.