Nowe wymogi dotyczące spełnienia obowiązku informacyjnego wobec osoby, której dane dotyczą

2

Nowe wymogi dotyczące spełnienia obowiązku informacyjnego wobec osoby, której dane dotyczą

RODO (Rozporządzenie Parlamentu Europejskiego i Rady 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE) stawia dużo bardziej restrykcyjne wymagania dotyczące wypełnienia obowiązku informacyjnego wobec osoby, której dane dotyczą. Oprócz oczywistego i znanego wszystkim administratorom katalogu informacji, jakie należy podać osobie, której dane dotyczą (m.in.: dane i adres administratora danych, cele przetwarzania, informacje o odbiorcach lub kategoriach odbiorców, przysługujące prawa, itd.) od 25 maja 2018 r. do wiadomości podawane będą zaktualizowane kategorie informacji.

Obowiązek informacyjny zostanie poszerzony o zupełnie nowe informacje, tj.:

– dane kontaktowe inspektora ochrony danych (jeżeli będzie wyznaczony przez administratora lub podmiot przetwarzający);

– okres, przez który dane osobowe będą przetwarzane, a jeżeli nie będzie można go z góry określić, trzeba będzie przekazać informację dotycząca kryteriów ustalania okresu przetwarzania danych;

– o możliwości przenoszenia danych (zupełne novum wprowadzone przez RODO);

– o prawie do cofnięcia zgody w każdym możliwym momencie (oczywiście tylko w sytuacji, gdy podstawą do przetwarzania danych osobowych będzie zgoda osoby);

– o możliwości skorzystania z prawa do wniesienia skargi do organu nadzorczego;

– o ustawowym lub umownym wymogu podania danych osobowych;

– o profilowaniu lub jakiejkolwiek innej formie zautomatyzowanego przetwarzania danych osobowych (w tym zasadach, znaczeniu i przewidywanych konsekwencjach).

Pełnego obowiązku informacyjnego należy dopełnić podczas pozyskiwania danych osobowych od osoby, które one dotyczą. Forma nie została jednoznacznie określona, ale ze względów dowodowych należałoby uznać za właściwe stosowanie formy pisemnej. Udzielenie informacji można dokumentować na dowolnym nośniku (papierowym lub elektronicznym, np. poprzez zamieszczenie stosownej treści na stronie internetowej), bądź np. nagraniu na automatycznej sekretarce).

Natomiast w przypadku zbierania danych osobowych z innych źródeł niż osoba, której dane dotyczą, w art. 14 ust 3 RODO został wyraźnie określony termin wypełnienia obowiązku informacyjnego. Administrator danych ma obowiązek w rozsądnym terminie, przy pierwszej komunikacji lub przy pierwszym ujawnieniu danych odbiorcy, w każdym razie nie później niż w ciągu miesiąca, poinformować osobę, o tym, że zbiera jej dane.