Kadry i płace

RODO: obowiązki informacyjne

Lista informacji, jakie zgodnie z RODO trzeba przekazać osobie:
- przy pobieraniu danych od osoby
- po otrzymaniu danych osoby z innego źródła
- lub po otrzymaniu żądania usunięcia, sprostowania i podobnych

Administrator musi poinformować osobę o jej prawach i innych aspektach – RODO określa precyzyjnie obowiązkowy zakres informacji. Informacje te muszą być komunikowane w czytelnej i zwięzłej formie. Mogą być sygnalizowane elektronicznie – np. jako wyraźny zapis na stronie internetowej.

Nie ma obowiązku potwierdzania otrzymania informacji, jednak administrator musi w razie potrzeby udowodnić, że przestawił wymagane informacje w czytelnej formie.

Kiedy należy przekazać Informacje dla osoby:
- przy otrzymywaniu ich od osoby: wraz z pobieraniem tych danych

- przy otrzymaniu ich z innego źródła: najpóźniej przy pierwszym kontakcie lub przed przekazaniem innemu odbiorcy lub w terminie 1 miesiąca od otrzymania (motyw 61)

- Informacji dla osoby nie trzeba przekazywać  (art. 14 u. 5,  motyw 62):
     - jeśli osoba już dysponuje takimi informacjami
     - lub gdy poinformowanie wiąże się z niewspółmiernie dużym wysiłkiem
     - lub gdy pozyskanie danych wynika z przepisów prawa

Obowiązkowe informacje administratora przeznaczone dla osoby obejmują:

  • dane administratora wraz z kontaktem
  • kontakt do IDO (inspektora danych osobowych) jeśli został powołany. Wyznaczenie IDO (wcześniejsza nazwa ABI) jest obowiązkowe [art. 37 – 39, motyw 97]:
    - przy monitorowaniu zachowania się osób na dużą skalę
    - przy przetwarzaniu danych wrażliwych na dużą skalę
    - lub gdy administratorem jest podmiot publiczny
  • cel przetwarzania i podstawa prawna. Jeśli zamierzamy wykorzystać te same dane w innym celu, potrzebna jest ponowna informacja
  • jeśli przetwarzanie prowadzimy na podstawie „prawnie uzasadnionego interesu administratora”, trzeba szczegółowo podać ten „interes”
  • okres przetwarzania lub kryteria ustalania tego okresu – danych nie można przetwarzać „bezterminowo”.
  • odbiorcy danych lub kategorie odbiorców
  • zamiar przekazania danych poza granicę UE
  • wzmianka o zabezpieczeniach
  • wzmianka o sposobie udostępnienia danych osobie na jej życzenie
  • informacja o profilowaniu lub innym automatycznym podejmowaniu decyzji
  • prawo dostępu do swoich danych, sprostowania, usunięcia („bycia zapomnianym”), ograniczenia przetwarzania, sprzeciwu wobec przetwarzania, do przenoszenia danych, do skargi do PUODO (Prezes Urzędu Ochrony Danych Osobowych, wcześniej GIODO) oraz do cofnięcia zgody osoby (jeśli przetwarzanie na podstawie zgody).
        - w tym prawo do sprzeciwu – określone jasno i odrębnie od innych (art. 21)
        - prawo do sprzeciwu dotyczy przetwarzania w ogóle lub marketingu bezpośredniego lub profilowania
        - prawo do cofnięcia zgody osoby oznacza, że przetwarzanie wcześniejsze pozostaje zgodne z prawem
       - zgłoszenie „ograniczenia przetwarzania” oznacza w praktyce, że dane można przechowywać, lecz nie można wykorzystywać ich w żaden inny sposób
       - przy żądaniu usunięcia danych musimy je usunąć oraz przekazać żądanie wszystkim odbiorcom, którzy otrzymali od nas te dane. Można nie usuwać danych jeśli wynika to z obowiązku prawnego lub ma na celu dochodzenie lub obronę roszczeń [motyw 65]
  • gdy dane nie pochodzą bezpośrednio od osoby, trzeba poinformować o źródle danych oraz o zakresie (kategoriach) danych
  • gdy pobieramy dane od osoby, trzeba poinformować, czy podanie danych jest obowiązkowe i jakie są konsekwencje ich niepodania. Przy tym podanie danych nie może być obowiązkowe, jeśli bez nich możliwa jest realizacja świadczenia  [motyw 60]

 

Ponadto trzeba przekazać osobie informacje:

  • o zrealizowaniu żądania sprostowania, usunięcia lub podobnych: po wykonaniu żądania 
  • o odbiorcach, którym przekazaliśmy dane osoby: na życzenie osoby
  • musimy też podać pełny zakres posiadanych danych osoby: na życzenie osoby, po sprawdzeniu jej tożsamości. Informacje przekazujemy niezwłocznie, najpóźniej w terminie 1 miesiąca, bezpłatnie. Można wprowadzić odpłatność tylko w razie uporczywych żądań.

W razie wystąpienia naruszenia zasad ochrony danych:

  • trzeba zgłosić to do PUODO – niezwłocznie, najpóźniej w ciągu 72 godzin od stwierdzenia naruszenia. W treści art. 33 RODO podana jest konkretna treść zgłoszenia.
  • zawiadomienie osoby o naruszeniu ochrony danych jest obowiązkowe tylko jeśli oznacza ono wysokie ryzyko dla praw lub wolności osoby. W razie problemu dotyczącego dużej liczby osób można zawiadomić za pomocą publicznego komunikatu. [Art. 34, motywy 86 – 88]

Oprac. Krzysztof Piasecki, TIK-SOFT Sp. z o.o.

na podstawie oficjalnego tekstu RODO

Zastrzeżenie: opracowanie jest wyciągiem z przepisów RODO i nie zastępuje zapoznania się z pełną wersją przepisów.

13.04.2018

© 2024 TIK-SOFT SP. Z O.O. All Rights Reserved.
projekt i wykonanie: webmania.pl