Obok nakazu informowania osób, których dane dotyczą, podczas zbierania danych bezpośrednio od nich, administrator ma także obowiązek informowania ich w sytuacji, gdy dane pochodzą z innego źródła.

Zasada ta wynika z art. 14. Wskazuje on, że jeśli danych osobowych nie pozyskano bezpośrednio od podmiotu danych, administrator musi osobie, której dane dotyczą, podać następujące informacje:

1. swoją tożsamość i dane kontaktowe oraz dane przedstawiciela;
2. dane inspektora ochrony danych;
3. cele oraz podstawę przetwarzania;
4. kategorie danych osobowych;
5. informacje o odbiorcach lub ich kategoriach;
6. informacje o zamierzeniu przekazania danych do państwa trzeciego lub organizacji międzynarodowej.

Poza obowiązkowymi informacjami wskazanymi wyżej, jeśli jest to niezbędne dla zapewnienia rzetelności i przejrzystości przetwarzania (a możemy założyć, że zawsze będzie), administrator musi także poinformować o:

1. okresie przechowywania danych lub kryteriach jego ustalania;
2. prawnie uzasadnionych interesach, jeśli przetwarza dane na podstawie art. 6 ust. 1 lit. f;
3. prawach osób, których dane dotyczą;
4. prawie cofnięcia zgody, jeśli przetwarzamy na jej podstawie;
5. prawie wniesienia skargi do organu nadzorczego;
6. źródle pochodzenia danych osobowych;
7. zautomatyzowanym podejmowaniu decyzji (w tym o profilowaniu) – oraz znaczeniu i konsekwencjach takiego przetwarzania.

Administrator powinien wykonać obowiązek informacyjny w rozsądnym terminie po uzyskaniu danych, najpóźniej 1 miesiąca, biorąc pod uwagę konkretne okoliczności przetwarzania. Jeśli dane mają posłużyć do komunikacji z osobą, której dotyczą – najpóźniej przy pierwszym kontakcie lub ujawnieniu trzeba udzielić stosownych informacji.

Podobnie jak w przypadku art. 13, przy zmianie celu przetwarzania administrator ma obowiązek poinformować o wszystkich okolicznościach wskazanych w grupie drugiej oraz dodatkowo wskazać nowy cel przetwarzania,

Powyższych zasad nie stosuje się w zakresie, w jakim:

1. podmiot danych już te informacje posiada;
2. udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku (ale nie zwalnia do administratora z ochrony praw osób, których dane przetwarza);
3. pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą;
4. dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy.

Michał Wysocki

Bibliografia:

1. E. Bielak-Jomaa, D. Lubasz (red.), RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, Wolters Kluwer Polska, 2017;
2. P. Litwiński (red.), Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, C.H. Beck, 2018