Prawo do bycia poinformowanym w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą
Autor: Tomasz Socha
poniedziałek, 17 September 2018 20:27
Administrator jest zobowiązany podać osobie, której dane osobowe uzyskał z innych źródeł niż ta osoba następujące informacje (ust. 1):
- swoją tożsamość i dane kontaktowe oraz swojego przedstawiciela – jeśli ma to zastosowanie); dane kontaktowe inspektora ochrony danych – jeśli ma to zastosowanie; cel przetwarzania danych osobowych i podstawę prawną;
- kategorie przetwarzanych danych osobowych;
- informacje o odbiorcach lub kategoriach odbiorców – jeśli istnieją;
- informacje o przekazaniu danych osobowych do państwa trzeciego lub organizacji międzynarodowej, stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony oraz informacje os zabezpieczeniach w szczególnych przypadkach – jeśli zachodzi takie przekazanie; oraz dla zachowania rzetelności i przejrzystości:
- okres przechowywania danych lub kryteria ustania tego okresu;
- prawnie uzasadniony interes administratora lub osób trzecich – jeśli podstawą przetwarzania jest art. 6 ust. 1 lit. f) r.o.d.o.; informacje o prawach do: dostępu do danych osobowych osoby, której dane dotyczą, ich sprostowania, usunięcia i przenoszenia oraz o prawach do sprzeciwu wobec przetwarzania i ograniczeniu przetwarzania;
- informacje o prawie do cofnięcia zgody – jeśli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit a)r.o.d.o.;
- informacje o prawie wniesienia skargi do organu nadzorczego;
- źródło pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych;
- informacje o zautomatyzowanym podejmowaniu decyzji i istotnych zasadach ich podejmowania, znaczeniu i przewidywanych konsekwencjach dla osoby, której dane dotyczą.
Administrator jest zwolniony z realizacji powyższych obowiązków jeśli:
- osoba, której dane dotyczą posiada już takie informacje (np. administrator, który przekazał dane wypełnił już obowiązek informacyjny, także odnośnie celów i odbiorców);
- nie ma możliwości przekazać tych informacji lub wymagałoby to niewspółmiernie dużego wysiłku;
- pozyskiwanie lub ujawnianie danych jest wyraźnie uregulowane prawem Unii lub państwa członkowskiego oraz administrator przewiduje odpowiednie środki ochrony interesów osoby, której dane dotyczą; dane są poufne, co wynika z obowiązku zachowania tajemnicy zawodowej;
- uniemożliwi lub utrudni to prawidłowe wykonanie zadania publicznego, a interes lub prawa i wolności osoby, której dane dotyczą nie są nadrzędne w stosunku do interesu wynikającego z realizacji zadania publicznego (art. 5 ust. 1 pkt. 1 r.o.d.o.);
- naruszy ochronę informacji niejawnych (art. 5 ust. 1 pkt. 2 r.o.d.o.).