Procedury
Status: Aktualna
Wersja od: 25 maja 2018 r.
Autor:

Realizacja obowiązku informacyjnego przy gromadzeniu danych osobowych

Realizacja obowiązku informacyjnego przy gromadzeniu danych osobowych

Realizacja obowiązku informacyjnego przy gromadzeniu danych osobowych

Jednym z podstawowych obowiązków administratora jest informowanie osoby, której dane dotyczą (podmiotu danych), o przetwarzaniu jej danych. Obowiązkowi informacyjnemu po stronie administratora odpowiada uprawnienie do uzyskani informacji przyznane podmiotowi danych. Jest ono niezwykle istotne, gdyż umożliwia uzyskanie wiedzy na temat przetwarzania danych i stwarza możliwość realizacji pozostałych uprawnień, w tym reagowania w sytuacji, gdy dane osobowe są przetwarzane niezgodnie z prawem. Przepisy art. 13 i 14 r.o.d.o. określają zakres informacji, które mają być przekazane podmiotowi danych, oraz przypadki, w których obowiązek informacyjny został przez prawodawcę unijnego wyłączony. W przepisie art. 13 r.o.d.o. został uregulowany obowiązek informacyjny nałożony na administratora uzyskującego dane osobowe od osoby, której te dane dotyczą, natomiast w art. 14 r.o.d.o. został ukształtowany obowiązek informacyjny ciążący na administratorze pozyskującym dane osobowe z innych źródeł.

Oprócz informowania przy gromadzeniu danych, na administratorze ciąży także obowiązek informowania osoby, której dane dotyczą, na jej żądanie w ramach realizacji uprawnienia dostępu do danych (art. 15 r.o.d.o.). Wskazane powyżej przepisy stanowią odpowiedniki z nieobowiązującej już ustawy o ochronie danych osobowych z 1997 r. art. 24, art. 25 i art. 33 u.o.d.o.1997

Krok: zaistnienie potrzeby zebrania danych osobowych

Administrator gromadzi dane osobowe dla realizacji różnych celów (np. dla zawarcia i wykonania umowy; dla wypełnienia obowiązku prawnego; dla wykonania zadań realizowanych w interesie publicznym itp.). Gdy administrator ma potrzebę zebrania danych, powinien sprawdzić, czy przetwarzanie danych jest prawnie dopuszczalne, a więc czy zachodzi jedna z przesłanek określonych w art. 6 ust. 1 r.o.d.o., art. 9 ust. 2 r.o.d.o. lub w art. 10 r.o.d.o. Po stwierdzeniu dopuszczalności przetwarzania danych administrator może przystąpić do zbierania danych.

Krok: od kogo dane osobowe mają być zebrane?

Prawodawca unijny wyróżnił dwa rodzaje źródeł pozyskiwania danych: od osoby, której dane dotyczą, bądź z innych źródeł (w sposób inny niż od osoby, której dane dotyczą) i uzależnił zakres obowiązku informacyjnego od tego, z którego z tych źródeł dane są zbierane.