Obok nakazu informowania osób, których dane dotyczą, podczas zbierania danych bezpośrednio od nich, administrator ma także obowiązek informowania ich w sytuacji, gdy dane pochodzą z innego źródła.
Zasada ta wynika z art. 14. Wskazuje on, że jeśli danych osobowych nie pozyskano bezpośrednio od podmiotu danych, administrator musi osobie, której dane dotyczą, podać następujące informacje:
- swoją tożsamość i dane kontaktowe oraz dane przedstawiciela;
- dane inspektora ochrony danych;
- cele oraz podstawę przetwarzania;
- kategorie danych osobowych;
- informacje o odbiorcach lub ich kategoriach;
- informacje o zamierzeniu przekazania danych do państwa trzeciego lub organizacji międzynarodowej.
Poza obowiązkowymi informacjami wskazanymi wyżej, jeśli jest to niezbędne dla zapewnienia rzetelności i przejrzystości przetwarzania (a możemy założyć, że zawsze będzie), administrator musi także poinformować o:
- okresie przechowywania danych lub kryteriach jego ustalania;
- prawnie uzasadnionych interesach, jeśli przetwarza dane na podstawie art. 6 ust. 1 lit. f;
- prawach osób, których dane dotyczą;
- prawie cofnięcia zgody, jeśli przetwarzamy na jej podstawie;
- prawie wniesienia skargi do organu nadzorczego;
- źródle pochodzenia danych osobowych;
- zautomatyzowanym podejmowaniu decyzji (w tym o profilowaniu) – oraz znaczeniu i konsekwencjach takiego przetwarzania.
Administrator powinien wykonać obowiązek informacyjny w rozsądnym terminie po uzyskaniu danych, najpóźniej 1 miesiąca, biorąc pod uwagę konkretne okoliczności przetwarzania. Jeśli dane mają posłużyć do komunikacji z osobą, której dotyczą – najpóźniej przy pierwszym kontakcie lub ujawnieniu trzeba udzielić stosownych informacji.
Podobnie jak w przypadku art. 13, przy zmianie celu przetwarzania administrator ma obowiązek poinformować o wszystkich okolicznościach wskazanych w grupie drugiej oraz dodatkowo wskazać nowy cel przetwarzania,
Powyższych zasad nie stosuje się w zakresie, w jakim:
- podmiot danych już te informacje posiada;
- udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku (ale nie zwalnia do administratora z ochrony praw osób, których dane przetwarza);
- pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą;
- dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy.
Michał Wysocki
Bibliografia:
- E. Bielak-Jomaa, D. Lubasz (red.), RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, Wolters Kluwer Polska, 2017;
- P. Litwiński (red.), Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, C.H. Beck, 2018