Procedura realizacji obowiązków informacyjnych przy pozyskiwaniu danych osobowych

Procedura jest jedynie propozycją zapisów. Przedstawione wytyczne powinny być dostosowane do struktury firmy i wykonywanych operacji przetwarzania danych.

Pierwotny obowiązek informacyjny (art. 13 RODO)

Podczas pozyskiwania danych osobowych administrator podaje wszystkie następujące informacje:

  • swoją tożsamość i dane kontaktowe,
  • dane kontaktowe inspektora ochrony danych,
  • cele przetwarzania danych osobowych oraz podstawę prawną przetwarzania,
  • jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią,
  • informacje o odbiorcach danych osobowych lub o kate­goriach odbiorców, jeżeli istnieją,
  • informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej,
  • informacje o odpowiednich zabezpieczeniach,
  • informacje o możliwościach uzyskania kopii danych i miejscu udostępnienia danych,
  • okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe – kryteria ustalania tego okresu,
  • informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych,
  • jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a lub art. 9 ust. 2 lit. a – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem,
  • informacje o prawie wniesienia skargi do organu nadzorczego,
  • informacje, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych.

Wtórny obowiązek informacyjny (art. 14 RODO)

Jeżeli danych osobowych nie pozyskano od osoby, której one dotyczą, administrator podaje osobie, której dane dotyczą, następujące informacje:

  • swoją tożsamość i dane kontaktowe oraz tożsamość i dane kontaktowe swojego przedstawiciela,
  • dane kontaktowe inspektora ochrony danych,
  • cele przetwarzania, do których mają posłużyć dane osobowe, oraz podstawę prawną przetwarzania,
  • kategorie odnośnych danych osobowych,
  • informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją,
  • informacje o zamiarze przekazania danych osobowych odbiorcy w państwie trzecim lub organizacji między­narodowej,
  • informacje o odpowiednich zabezpieczeniach,
  • okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe – kryteria ustalania tego okresu,
  • jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f – prawnie uzasadnione interesy realizowane
  • przez administratora lub przez stronę trzecią,
  • informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych,
  • jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a lub art. 9 ust. 2 lit. a – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem,
  • informacje o prawie wniesienia skargi do organu nadzorczego,
  • informacje o źródle pochodzenia danych osobowych oraz czy pochodzą one ze źródeł publicznie dostępnych.

Prawa informacyjne podmiotów danych (motyw 59 RODO)

Administrator przewiduje procedury ułatwiające osobie, której dane dotyczą, wykonywanie praw przysługujących jej na mocy RODO, w tym mechanizmy żądania informacji i gdy ma to zastosowanie – bezpłatnego uzyskiwania, w szczególności dostępu do danych osobowych i ich sprostowania lub usunięcia oraz możliwości wykonywania prawa do sprzeciwu.
Administrator zapewnia możliwość wnoszenia odnoś­nych żądań także drogą elektroniczną, w szczególności gdy dane osobowe są przetwarzane drogą elektroniczną. Administrator udzieli odpowiedzi na żądania osób, których dane dotyczą, bez zbędnej zwłoki – najpóźniej w terminie miesiąca, a w przypadku niespełnienia takiego żądania – poda tego przyczyny.
Osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz następujących informacji:

  • celach przetwarzania,
  • kategoriach odnośnych danych osobowych,
  • odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych,
  • w miarę możliwości planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe – kryteria ustalania tego okresu,
  • prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania,
  • prawie wniesienia skargi do organu nadzorczego,
  • jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą – wszelkie dostępne informacje o ich źródle,
  • zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsek­wencjach takiego przetwarzania dla osoby, której dane dotyczą.

Administrator dostarcza osobie, której dane dotyczą, kopię danych osobowych podlegających przetwarzaniu.
Za wszelkie kolejne kopie, o które zwróci się osoba, której dane dotyczą, administrator pobierze opłatę w wysokości wynikającej z kosztów administracyjnych. Jeżeli osoba, której dane dotyczą, zwraca się o kopię drogą elektroniczną i jeżeli nie zaznaczy inaczej, informacji udziela się powszechnie stosowaną drogą elektroniczną.
Prawo do uzyskania kopii nie może niekorzystnie wpływać na prawa i wolności innych osób.