Prawo do bycia poinformowanym w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą

Administrator jest zobowiązany podać osobie, której dane osobowe uzyskał z innych źródeł niż ta osoba następujące informacje (ust. 1):

• swoją tożsamość i dane kontaktowe oraz swojego przedstawiciela – jeśli ma to zastosowanie); dane kontaktowe inspektora ochrony danych – jeśli ma to zastosowanie; cel przetwarzania danych osobowych i podstawę prawną;
• kategorie przetwarzanych danych osobowych;
•  informacje o odbiorcach lub kategoriach odbiorców – jeśli istnieją;
• informacje o przekazaniu danych osobowych do państwa trzeciego lub organizacji międzynarodowej, stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony oraz informacje os zabezpieczeniach w szczególnych przypadkach – jeśli zachodzi takie przekazanie; oraz dla zachowania rzetelności i przejrzystości:
• okres przechowywania danych lub kryteria ustania tego okresu;
• prawnie uzasadniony interes administratora lub osób trzecich – jeśli podstawą przetwarzania jest art. 6 ust. 1 lit. f) r.o.d.o.; informacje o prawach do: dostępu do danych osobowych osoby, której dane dotyczą, ich sprostowania, usunięcia i przenoszenia oraz o prawach do sprzeciwu wobec przetwarzania i ograniczeniu przetwarzania;
• informacje o prawie do cofnięcia zgody – jeśli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit a)r.o.d.o.;
• informacje o prawie wniesienia skargi do organu nadzorczego;
• źródło pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych;
• informacje o zautomatyzowanym podejmowaniu decyzji i istotnych zasadach ich podejmowania, znaczeniu i przewidywanych konsekwencjach dla osoby, której dane dotyczą.

 Administrator jest zwolniony z realizacji powyższych obowiązków jeśli:

• osoba, której dane dotyczą posiada już takie informacje (np. administrator, który przekazał dane wypełnił już obowiązek informacyjny, także odnośnie celów i odbiorców);
• nie ma możliwości przekazać tych informacji lub wymagałoby to niewspółmiernie dużego wysiłku;
• pozyskiwanie lub ujawnianie danych jest wyraźnie uregulowane prawem Unii lub państwa członkowskiego oraz administrator przewiduje odpowiednie środki ochrony interesów osoby, której dane dotyczą; dane są poufne, co wynika z obowiązku zachowania tajemnicy zawodowej;
• uniemożliwi lub utrudni to prawidłowe wykonanie zadania publicznego, a interes lub prawa i wolności osoby, której dane dotyczą nie są nadrzędne w stosunku do interesu wynikającego z realizacji zadania publicznego (art. 5 ust. 1 pkt. 1 r.o.d.o.);
• naruszy ochronę informacji niejawnych (art. 5 ust. 1 pkt. 2 r.o.d.o.).