Jak wykazać realizację obowiązku informacyjnego

Zgodnie z art. 13 i 14 RODO administrator danych jest zobowiązany do przekazania osobom, których dane dotyczą, szeregu informacji. Zakres danych, które mają być przekazane, zależy od tego, czy dane zbierane są bezpośrednio od osoby, której dane dotyczą (art. 13 RODO), czy też administrator danych pozyskał je z innych źródeł (art. 14 RODO).

W pierwszym przypadku administrator danych jest zobowiązany do przekazania koniecznych informacji podczas ich pozyskiwania. Oznacza to, że administrator danych powinien prześledzić proces pozyskiwania danych osobowych od osób, których dane dotyczą i ustalić moment, w którym te dane są zbierane. Jednocześnie administrator danych powinien ustalić, jak w jego przypadku powinny zostać przekazane informacje, o których mowa w art. 13 RODO.

W drugim przypadku administrator danych powinien przekazać informacje, o których mowa w art. 14 RODO, w rozsądnym terminie po pozyskaniu danych osobowych, najpóźniej w ciągu miesiąca, mając na uwadze konkretne okoliczności przetwarzania danych osobowych. Nato­miast jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą, przedmiotowe informacje powinny być przekazane najpóźniej przy pierwszej takiej komunikacji z tą osobą. W przypadku gdy administrator planuje ujawnić dane osobowe innemu odbiorcy, powinien przekazać przedmiotowe informacje osobie, której dane dotyczą, najpóźniej przy ich pierwszym ujawnieniu.
 

Ważne!

Zakres informacji przekazywanych osobie, której dane dotyczą, w ramach obowiązku informacyjnego zależy od źródła pozyskania danych (czy dane osobowe były pozyskane od osoby, której dotyczą, czy z innych źródeł).

W zależności od źródła pozyskania danych inny też jest moment, w którym należy przekazać osobie, której dane dotyczą, informacje wymagane w art. 13 i 14 RODO.

Administrator danych powinien zatem w pierwszej kolejności ustalić, jaki rodzaj danych pozyskuje z konkretnych źródeł, aby zdecydować, w którym przypadku powinien przekazać informacje wynikające z art. 13 RODO, a w którym te, które wynikają z art. 14 RODO.


Najczęstszym sposobem przekazania powyższych informacji stosowanym przez administratorów danych są klauzule informacyjne. Treść klauzul powinna być dostosowana do konkretnego procesu przetwarzania danych osobowych oraz źródeł pozyskania danych. Istotne jest natomiast to, że administrator musi być w stanie wykazać, że osoby, których dane dotyczą, w odpowiednim czasie otrzymały stosowną klauzulę informacyjną.

Administrator danych powinien przede wszystkim ustalić stosowne procedury przekazania klauzul informacyjnych, zwłaszcza jeśli dane osobowe są pozyskiwane stacjonarnie od osób, których dane dotyczą, np. poprzez wy­pełnienie papierowego formularza. Osoby te nie muszą podpisywać oświadczenia, że zapoznały się z klauzulą informacyjną, ale administrator powinien być w stanie wykazać, że osoby te rzeczywiście miały możliwość zapoznania się z nią.
 

Wskazówka!

Przekazanie klauzuli informacyjnej może w takich sytuacjach polegać np. na wywieszeniu jej w recepcji, w okienku, gdzie przyjmowani są interesanci. Osoba, której dane dotyczą, może dostać wydruk klauzuli informacyjnej (trzeba...

Dalsza część jest dostępna dla użytkowników z wykupionym planem