Obok nakazu informowania osób, których dane dotyczą, podczas zbierania danych bezpośrednio od nich, administrator ma także obowiązek informowania ich w sytuacji, gdy dane pochodzą z innego źródła.

Zasada ta wynika z art. 14. Wskazuje on, że jeśli danych osobowych nie pozyskano bezpośrednio od podmiotu danych, administrator musi osobie, której dane dotyczą, podać następujące informacje:

  1. swoją tożsamość i dane kontaktowe oraz dane przedstawiciela;
  2. dane inspektora ochrony danych;
  3. cele oraz podstawę przetwarzania;
  4. kategorie danych osobowych;
  5. informacje o odbiorcach lub ich kategoriach;
  6. informacje o zamierzeniu przekazania danych do państwa trzeciego lub organizacji międzynarodowej.

Poza obowiązkowymi informacjami wskazanymi wyżej, jeśli jest to niezbędne dla zapewnienia rzetelności i przejrzystości przetwarzania (a możemy założyć, że zawsze będzie), administrator musi także poinformować o:

  1. okresie przechowywania danych lub kryteriach jego ustalania;
  2. prawnie uzasadnionych interesach, jeśli przetwarza dane na podstawie art. 6 ust. 1 lit. f;
  3. prawach osób, których dane dotyczą;
  4. prawie cofnięcia zgody, jeśli przetwarzamy na jej podstawie;
  5. prawie wniesienia skargi do organu nadzorczego;
  6. źródle pochodzenia danych osobowych;
  7. zautomatyzowanym podejmowaniu decyzji (w tym o profilowaniu) – oraz znaczeniu i konsekwencjach takiego przetwarzania.

Administrator powinien wykonać obowiązek informacyjny w rozsądnym terminie po uzyskaniu danych, najpóźniej 1 miesiąca, biorąc pod uwagę konkretne okoliczności przetwarzania. Jeśli dane mają posłużyć do komunikacji z osobą, której dotyczą – najpóźniej przy pierwszym kontakcie lub ujawnieniu trzeba udzielić stosownych informacji.

Podobnie jak w przypadku art. 13, przy zmianie celu przetwarzania administrator ma obowiązek poinformować o wszystkich okolicznościach wskazanych w grupie drugiej oraz dodatkowo wskazać nowy cel przetwarzania,

Powyższych zasad nie stosuje się w zakresie, w jakim:

  1. podmiot danych już te informacje posiada;
  2. udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku (ale nie zwalnia do administratora z ochrony praw osób, których dane przetwarza);
  3. pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą;
  4. dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy.

Michał Wysocki

Bibliografia:

  1. E. Bielak-Jomaa, D. Lubasz (red.), RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, Wolters Kluwer Polska, 2017;
  2. P. Litwiński (red.), Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, C.H. Beck, 2018