jak spełnić obowiązek informacyjny

Jak zrealizować obowiązek informacyjny RODO – 4 wytyczne dla administratora danych osobowych

Art. 13 i 14 RODO wskazują, jakie informacje należy przekazać osobom, których dotyczą przetwarzane dane osobowe. Nie precyzuje jednak sposobów przekazania tej informacji. Niemniej z RODO wynikają 4 wytyczne, według których należy spełnić obowiązek informacyjny wobec podmiotów danych:

1. obowiązek przekazania informacji kompletnych - administratorzy danych nie są uprawnieni do zawężenia zakresu informacji, o których mowa w art. 13 RODO (bądź art. 14 RODO), mogą natomiast go rozszerzyć,

2. obowiązek przekazania informacji w konkretnym momencie – wymagane informacje należy przekazać w momencie pozyskiwania danych osobowych od osoby, której dotyczą (w przypadku, gdy są one zbierane bezpośrednio od tej osoby – zgodnie z art. 13 ust. 1 RODO) albo w terminach przewidzianych w art. 14 ust. 3 RODO (w przypadku zbierania danych z innych źródeł),

3. jednokrotność przekazywania informacji – obowiązek informacyjny co do zasady realizowany jest jednokrotnie (w przypadku zmiany informacji przekazuje się je jedynie w takim zakresie, w którym uległy zmianie),

4. rozliczalność - administrator zobowiązany jest do przestrzegania przepisów RODO oraz musi być w stanie wykazać ich przestrzeganie (dlatego należy przekazać klauzulę informacyjną RODO w taki sposób, by administrator był w stanie wykazać, że to zrobił).

Ogólnie rzecz ujmując, obowiązek informacyjny powinien zostać spełniony:

• z niezbędnym zakresem informacji,

• w odpowiednim czasie w związku ze zbieraniem danych osobowych,

• w sposób zapewniający potwierdzenie jej udostępnienia osobie, której dane dotyczą.

Administrator musi zapewnić możliwość zapoznania się z treścią informacji. Natomiast samo zapoznanie się leży już w interesie adresata. To, co zrobi z klauzulą adresat, zależy od jego wyboru.