Obowiązek informacyjny administratora danych osobowych według RODO

Unijne rozporządzenie dotyczące danych osobowych (RODO) wprowadza wiele zmian w zakresie obowiązków administratorów związanych z przetwarzaniem danych osobowych (dalej "Danych"). Również obowiązek informacyjny administratora ulegnie rozszerzeniu.

Obowiązek informacyjny administratora w chwili zbierania Danych

Już w chwili pozyskiwania Danych od osoby, której te Dane dotyczą, administrator jest zobowiązany do podania w szczególności następujących informacji:

1. swojej tożsamości oraz swoich danych kontaktowych, ewentualnie danych kontaktowych swojego przedstawiciela;
2. celów przetwarzania Danych;
3. podstawy prawnej przetwarzania Danych;
4. prawnie uzasadnionych interesów realizowanych przez administratora (jeżeli dotyczy);
5. informacji o odbiorcach Danych lub o kategoriach odbiorców;
6. informacje o zamiarze przekazania Danych do Państwa trzeciego lub organizacji międzynarodowej;
7. informacji o możliwościach uzyskania kopii Danych lub o miejscu udostępniania Danych;
8. innych informacji niezbędnych do zapewnienia rzetelności i przejrzystości przetwarzania;
9. informacji o inspektorze ochrony danych (jeżeli został powołany);
10. terminie usunięcia Danych lub zasadach ustalania tych terminów;
11. o profilowaniu;

W porównaniu do obecnego zakresu obowiązku informacyjnego administratorów w RODO poszerzono ten katalog o informacje wymienione w punktach 9-11. 

Obowiązek informacyjny administratora na wniosek 

Obok obowiązku udzielenia stosownych informacji przez administratora w chwili zbierania Danych bezpośrednio od osoby, której te Dane dotyczą, administrator jest również obowiązany do udzielania informacji takiej osobie na jej wniosek.

Osoba, której Dane dotyczą, ma prawo nieodpłatnie uzyskiwać informacje czy jej Dane są przetwarzane, a jeżeli tak, to ponadto ma prawo do uzyskania dostępu do tych danych, jak i do następujących informacji:

1. cel przetwarzania Danych;
2. informacje o odbiorcach lub kategoriach odbiorców, którym Dane zostały lub zostaną ujawnione;
3. planowanym okresie przetwarzania danych (o ile można go podać);
4. informacje o prawach przysługujących osobie, której Dane dotyczą (w szczególności prawo do poprawienia, usunięcia, ograniczenia przetwarzania Danych, wniesienia sprzeciwu do organu nadzorującego);
5. informacje o zautomatyzowanym podejmowania decyzji w oparciu o zebrane Dane i jego konsekwencjach;
6. informacje o źródle Danych;

Osoba której Dane dotyczą ma prawo do wielokrotnego zgłaszania wniosku o udzielenie ww. informacji, pod warunkiem, że te zgłoszenia następują w racjonalnych odstępach czasu.

Administrator jest zobowiązany do udzielenia ww. informacji wnioskodawcy bez zbędnej zwłoki, najpóźniej w terminie 1 miesiąca od otrzymania wniosku.

Z uwagi na skomplikowany charakter wniosku, jak i duża ilość wniosków ww. termin może zostać przedłużony o kolejne dwa miesiące. W takim przypadku administrator musi jednakże, w terminie 1 miesiąca od otrzymania wniosku, poinformować wnioskodawcę o przyczynach opóźnienia.

Jednocześnie, w przypadku uzasadnionej wątpliwości administratora dotyczącej tożsamości wnioskodawcy, administrator może żądać od wnioskodawcy dodatkowych informacji, w celu potwierdzenia jego tożsamości.

Jeżeli wniosek o udzieleni informacji jest nieuzasadniony lub nadmierny (zbyt częsty), to administrator może odmówić podjęcia działań (na administratorze spoczywa ciężar dowodowy dotyczący braku uzasadnienia lub nadmierności wniosku). O decyzji dotyczącej niepodjęcia działań względem wniosku administrator musi poinformować wnioskodawcę niezwłocznie, nie później niż w terminie 1 miesiąca od otrzymania wniosku. Administrator musi przy ty podać przyczyny niepodjęcia działań oraz wskazać na możliwość wniesienia skargi do odpowiedniego organu nadzoru. 

W świetle powyższych regulacji, mając na uwadze termin, w jakim należy udzielić wnioskodawcy stosownych informacji, szczególnie podmioty, przetwarzające duże ilości Danych (w tym Danych pracowników oraz klientów) powinny przygotować odpowiednią infrastrukturę techniczną i informatyczną, która umożliwi im szybkie oraz łatwe wygenerowanie informacji dotyczących przetwarzanych Danych i przekazanie ich osobom, których Dane dotyczą.