Obowiązek informacyjny teraz i w RODO

Rafał Andrzejewski | 28.02.2018

Zgod­nie z art. 24 UODO  w przy­pad­ku zbie­ra­nia da­nych oso­bo­wych od oso­by, któ­rej one do­ty­czą, na­le­ży po­in­for­mo­wać te oso­by o:

• ad­re­sie swo­jej sie­dzi­by i peł­nej na­zwie, a w przy­pad­ku gdy ad­mi­ni­stra­to­rem da­nych jest oso­ba fi­zycz­na – o miej­scu swo­je­go za­miesz­ka­nia oraz imie­niu i na­zwi­sku;
• ce­lu zbie­ra­nia da­nych, a w szcze­gól­no­ści o zna­nych mu w cza­sie udzie­la­nia in­for­ma­cji lub prze­wi­dy­wa­nych od­bior­cach lub ka­te­go­riach od­bior­ców da­nych;
• pra­wie do­stę­pu do tre­ści swo­ich da­nych oraz ich po­pra­wia­nia;
• do­bro­wol­no­ści al­bo obo­wiąz­ku po­da­nia da­nych, a je­że­li ta­ki obo­wią­zek ist­nie­je, o je­go pod­sta­wie praw­nej.

W ma­ju 2018 r. obo­wią­zek in­for­ma­cyj­ny się dość moc­no zmie­ni. Zgod­nie z art. 13 ROZPORZĄDZENIA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwiet­nia 2016 r. w spra­wie ochro­ny osób fi­zycz­nych w związ­ku z prze­twa­rza­niem da­nych oso­bo­wych i w spra­wie swo­bod­ne­go prze­pły­wu ta­kich da­nych oraz uchy­le­nia dy­rek­ty­wy 95/46/WE (ogól­ne roz­po­rzą­dze­nie o ochro­nie da­nych) mu­si­my ta­ką oso­bę po­in­for­mo­wać o:

1. swo­jej toż­sa­mość i da­nych kon­tak­to­wych oraz, gdy ma to za­sto­so­wa­nie, toż­sa­mo­ści i da­nych kon­tak­to­wych swo­je­go przed­sta­wi­cie­la;
2. gdy ma to za­sto­so­wa­nie – o da­nych kon­tak­to­wych in­spek­to­ra ochro­ny da­nych;
3. ce­lach prze­twa­rza­nia da­nych oso­bo­wych, oraz o pod­sta­wie­/pod­sta­wach praw­nych prze­twa­rza­nia;
4. prze­twa­rza­niu na pod­sta­wie  praw­nie uza­sad­nio­nych in­te­re­sach re­ali­zo­wa­nych przez ad­mi­ni­stra­to­ra lub przez stro­nę trze­cią;
5. od­bior­cach da­nych oso­bo­wych lub o ka­te­go­riach od­bior­ców, je­że­li ist­nie­ją;
6. gdy ma to za­sto­so­wa­nie –  o za­mia­rze prze­ka­za­nia da­nych oso­bo­wych do pań­stwa trze­cie­go lub or­ga­ni­za­cji mię­dzy­na­ro­do­wej oraz o stwier­dze­niu lub bra­ku stwier­dze­nia przez Ko­mi­sję od­po­wied­nie­go stop­nia ochro­ny lub w przy­pad­ku prze­ka­za­nia, o któ­rym mo­wa w art. 46, art. 47 lub art. 49 ust. 1 aka­pit dru­gi, wzmian­kę o od­po­wied­nich lub wła­ści­wych za­bez­pie­cze­niach oraz o moż­li­wo­ściach uzy­ska­nia ko­pii da­nych lub o miej­scu udo­stęp­nie­nia da­nych.
7. okre­sie, przez któ­ry da­ne oso­bo­we bę­dą prze­cho­wy­wa­ne, a gdy nie jest to moż­li­we, o kry­te­riach usta­la­nia te­go okre­su;
8. pra­wie do żą­da­nia od ad­mi­ni­stra­to­ra do­stę­pu do da­nych oso­bo­wych do­ty­czą­cych oso­by, któ­rej da­ne do­ty­czą, ich spro­sto­wa­nia, usu­nię­cia lub ogra­ni­cze­nia prze­twa­rza­nia lub o pra­wie do wnie­sie­nia sprze­ci­wu wo­bec prze­twa­rza­nia, a tak­że o pra­wie do prze­no­sze­nia da­nych;
9. o pra­wie do cof­nię­cia zgo­dy (je­śli da­ne prze­twa­rza się na pod­sta­wie zgo­dy) w do­wol­nym mo­men­cie bez wpły­wu na zgod­ność z pra­wem prze­twa­rzania, któ­re­go do­ko­na­no na pod­sta­wie zgo­dy przed jej cof­nię­ciem;
10. pra­wie wnie­sie­nia skar­gi do or­ga­nu nad­zor­cze­go;
11. wy­mo­gu usta­wo­wym lub umow­nym lub wa­run­kiem za­war­cia umo­wy oraz czy oso­ba, któ­rej da­ne do­ty­czą, jest zo­bo­wią­za­na do ich po­da­nia i ja­kie są ewen­tu­al­ne kon­se­kwen­cje niepo­da­nia da­nych;
12. zauto­ma­ty­zo­wa­nym po­dej­mo­wa­niu de­cy­zji, w tym o pro­fi­lo­wa­niu, o któ­rym mo­wa w art. 22 ust. 1 i 4 oraz – przy­naj­mniej w tych przy­pad­kach – istot­ne in­for­ma­cje o za­sa­dach ich podejmo­wania, a tak­że o zna­cze­niu i prze­wi­dy­wa­nych kon­se­kwen­cjach ta­kie­go prze­twa­rza­nia dla oso­by, któ­rej da­ne do­ty­czą.
13. pla­no­wa­nym prze­twa­rza­niu w in­nym ce­lu ich prze­twa­rza­nia.