Procedura spełnienia obowiązku informacyjnego
1. Spełnienie obowiązku informacyjnego jest jednym z najważniejszych zobowiązań Administratora danych, ze względu na interes osoby, której dane są przetwarzane.
2. Obowiązek informacyjny należy spełnić w przypadkach gdy:
- zgodnie z art. 13 RODO osoba, której dane dotyczą, samodzielnie przekazuje Administratorowi dane osobowe (np. wypełniając formularz, wniosek itd.),
- zgodnie z art. 14 RODO Administrator pozyskał dane osobowe nie bezpośrednio od osoby, której dane dotyczą (np. pozyskanie danych z CIDG, KRS, GUS, pozyskanie danych dot. członków rodzin podanych przez pracowników).
3. Obowiązku informacyjnego dopełnia każdorazowo upoważniony przez Administratora danych pracownik- bezpośrednio podczas zbierania danych od osoby, której dane dotyczą. Osoba, której dane dotyczą poświadcza własnoręcznym podpisem, iż zapoznała się z klauzulą informacyjną.
4. Obowiązku informacyjnego dopełnia każdorazowo upoważniony przez Administratora danych pracownik- pośrednio podczas pozyskiwania danych ze źródeł publicznie dostępnych oraz podczas pozyskiwania danych od osób trzecich. Wtedy wówczas należy przesłać e-maila lub list pocztą tradycyjną z klauzulą informacyjną lub odesłaniem do strony WWW, na której znajduje się pełna treść klauzuli, załączenie klauzuli informacyjnej do pierwszej wiadomości e-mailowej lub do listu przesłanego pocztą tradycyjną.
5. Obowiązku informacyjnego dopełnia każdorazowo upoważniony przez Administratora danych pracownik, który zawarł w imieniu Administratora danych umowę cywilnoprawną ze spółką prawa handlowego. Upoważniony przez Administratora danych pracownik powinien dopełnić obowiązku informacyjnego wobec wszystkich członków zarządu spółki prawa handlowego poprzez e-maila, poczty tradycyjnej z klauzulą informacyjną lub odesłaniem do strony WWW, na której znajduje się pełna treść klauzuli.
6. Jeżeli dane osobowe pozyskujemy bezpośrednio od osoby, której one dotyczą, prawidłowo sformułowany obowiązek informacyjny, stosownie do art. 13 RODO, powinien zawierać:
- tożsamość i dane kontaktowe administratora (ewentualnie jego przedstawiciela),
- dane kontaktowe inspektora ochrony danych (jeżeli został powołany),
- cele przetwarzania danych osobowych oraz podstawę prawną przetwarzania,
- wyjaśnienie prawnie uzasadnionego interesu realizowanego przez administratora lub przez stronę trzecią (jeżeli podstawą przetwarzania danych jest art. 6 ust. 1 lit. f RODO),
- listę odbiorców danych osobowych lub ich kategorie (jeżeli przetwarzane dane osobowe będą przekazywane np. do podmiotów przetwarzających dane lub innych administratorów danych),
- informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz informację o sposobach uzyskania kopii tych zabezpieczeń lub o miejscu ich udostępnienia;
- okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe – kryteria ustalania tego okresu,
- informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania albo o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych,
- informacje o prawie do cofnięcia zgody (jeżeli stanowiła ona podstawę prawną przetwarzania danych),
- informacje o prawie wniesienia skargi do organu nadzorczego,
- informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym albo warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych,
- informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, z uwzględnieniem informacji o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
7. Jeżeli podstawą realizacji obowiązku informacyjnego będzie art. 14 RODO, oprócz wyżej wymienionych informacji administrator jest zobowiązany podać:
- kategorie danych, które przetwarza,
- źródło pozyskania danych.
8. Przepisy RODO przewidują sytuację, w których realizowanie obowiązku informacyjnego może zostać wyłączone. Przykładem może być taki stan rzecz (wskazany w art. 13 ust. 4 RODO), gdy administrator przetwarza dane osoby, które pozyskał bezpośrednio od niej, i osoba ta dysponuje już wszelkimi informacjami z art. 13 ust. 1, 2 i 3 RODO, wymienionymi w niniejszym artykule w części „Treść obowiązku informacyjnego”.
W przypadku zaś pośredniego pozyskiwania danych osobowych, zgodnie z art. 14 ust. 5 RODO, administrator może nie realizować obowiązku przekazywana informacji na temat przetwarzania danych osobowych, jeżeli:
- osoba, której dane dotyczą, dysponuje już informacjami w zakresie przetwarzania jej danych osobowych przez administratora,
- udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku; w szczególności w przypadku przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, z zastrzeżeniem warunków i zabezpieczeń, o których mowa w art. 89 ust. 1 RODO,
- pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą,
- dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy.
9. Za pomoc merytoryczną potrzebną upoważnionemu pracownikowi do przygotowania klauzuli informacyjnej odpowiada IOD.