Obowiązek informacyjny i zgoda na przetwarzanie danych osobowych
Zgodnie z przepisami RODO /art. 12-15/ administrator danych osobowych musi poinformować osobę, której dane osobowe dotyczą, że prowadzi działania związane z przetwarzaniem jej danych osobowych i jaki jest ich cel.
RODO w tym zakresie określa dwie możliwości pozyskiwania danych osobowych:
-
bezpośrednio od osoby, której dane dotyczą,
-
pośrednio poprzez inny podmiot.
Jeśli administrator gromadzi dane osobowe bezpośrednio od osoby, której dotyczą musi ją również poinformować o tym czy ma obowiązek je podać oraz o konsekwencjach, jeśli tego nie zrobi. W przypadku zbierania danych osobowych bezpośrednio obowiązek informacyjny należy spełnić w momencie ich pozyskiwania. W drugim przypadku obowiązek informacyjny należy spełnić w „rozsądnym” terminie po ich uzyskaniu /najpóźniej w ciągu miesiąca/ lub przy pierwszej komunikacji z osobą, której dane dotyczą.
Administrator danych osobowych nie będzie musiał realizować obowiązku informacyjnego w następujących przypadkach:
-
osoba, której dane osobowe dotyczą zna już te informacje,
-
przekazanie informacji jest niemożliwe lub wymagałoby niewspółmiernie wysokiego wysiłku,
-
pozyskiwanie określonych danych osobowych jest uregulowane w prawie unijnym lub krajowym.
Ważnym elementem realizacji obowiązku informacyjnego jest poinformowanie osoby, której dane osobowe dotyczą o tzw. zautomatyzowanym podejmowaniu decyzji wobec osób, których dane osobowe dotyczą, czyli przede wszystkim o profilowaniu. Profilowanie to szczególny rodzaj przetwarzania danych osobowych, który odbywa się w sposób automatyczny i ma na celu ocenę osoby fizycznej lub przewidywanie jej zachowania np. automatyczny dobór reklam na stronie internetowej w oparciu o jej aktywność w Internecie.
Odrębnym obowiązkiem informacyjnym, który ciąży na administratorze jest poinformowanie osoby, której dane osobowe dotyczą o zdarzeniu naruszenia ochrony danych osobowych, jeżeli to naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności tej osoby np. wypływ danych bankowych, kradzież danych o stanie zdrowia.
Oto przykładowe wzory klauzul informacyjnych:
Wzór klauzuli informacyjnej stosowanej po rozpoczęciu stosowania RODO – w przypadku zbierania danych od osoby, której dane dotyczą
Informuję, że:
-
administratorem Pani/Pana danych osobowych jest GANC Adam Smierzchalski z siedzibą w Poznaniu przy ul. Szamarzewskiego 63/1, 60-568 zwany dalej Administratorem; Administrator prowadzi operacje przetwarzania Pani/Pana danych osobowych:
-
imię i nazwisko
-
np. adres zamieszkania
-
np. e-mail
Inspektorem danych osobowych u Administratora jest Adam Smierzchalski e-mail: adamsmierzchalski@gmail.com
2. Pani/Pana dane osobowe przetwarzane będą w celu marketingowym i nie będą udostępniane innym odbiorcom
3. podstawą przetwarzania Pani/Pana danych osobowych jest ………,
4. podanie danych jest niezbędne do zawarcia umowy, w przypadku niepodania danych niemożliwe jest zawarcie umowy,
5. posiada Pani/Pan prawo do:
-
żądania od Administratora dostępu do swoich danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych,
-
wniesienia sprzeciwu wobec takiego przetwarzania,
-
przenoszenia danych,
-
wniesienia skargi do organu nadzorczego,
-
cofnięcia zgody na przetwarzanie danych osobowych.
6. Pani/Pana dane osobowe nie podlegają zautomatyzowanemu podejmowaniu decyzji, w tym profilowaniu,
7. Pani/Pana dane osobowe będą przechowywane przez ……… /podać okres czasu np. 3 lata lub opisowo – okres trwania akcji promocyjnej/
*/ jeśli dotyczy