Jak zrealizować obowiązek informacyjny w podmiocie publicznym?

Woman writing on a sheet of paper while sitting at the office

Obowiązek informacyjny obejmuje również instytucje publiczne. Podmiot publiczny musi zatem przekazać klauzulę informacyjną osobie, której dane przetwarza. Sprawdź, jak zrealizować obowiązek informacyjny w podmiocie publicznym.

Jakie informacje podajemy podmiotowi danych?

Jeżeli jednostka publiczna przetwarza dane osobowe konkretnej osoby, wówczas staje się administratorem jej danych. Wobec tego, tak jak na każdym innym administratorze, na podmiocie publicznym ciąży obowiązek informacyjny względem tej osoby. Administrator powinien więc przekazać podmiotowi danych następujące informacje:

  1. swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
  2. gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
  3. cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania;
  4. jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f RODO – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;
  5. informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
  6. gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi RODO, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych (art. 13 RODO).

Przetwarzanie, o którym mowa w lit. f powyższego wyliczenia to przetwarzanie niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

Jak stosować RODO w sektorze publicznym? Sprawdź tutaj>>

Prawo do cofnięcia zgody – nie w każdym przypadku

To jednak nie wszystko. Zadaniem administratora jest przekazanie podmiotowi danych innych informacji niezbędnych do zapewnienia rzetelności i przejrzystości przetwarzania, a mianowicie:

  1. okresu, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteriów ustalania tego okresu;
  2. informacji o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
  3. jeżeli przetwarzanie odbywa się za zgodą podmiotu danych – informacji o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
  4. informacji o prawie wniesienia skargi do organu nadzorczego;
  5. informacji, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
  6. informacji o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu oraz – przynajmniej w tych przypadkach – istotnych informacji o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę na przetwarzanie danych i powinna zostać o tym poinformowana, zanim wyrazi zgodę. Oczywiście nie dotyczy to przypadku, gdy jednostka publiczna przetwarza dane osobowe nie na podstawie zgody podmiotu danych.

Podstawa prawna:

l Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE.L nr 119, str. 1) – art. 6, art. 13.

___

Autor: Marcin Sarna – Portal Ochrona Danych Osobowych

Komentarze