Obowiązki wynikają z realizacji praw osób, których dane dotyczą
- Obowiązki informacyjne (Art.25 p.1)
- Obowiązki związane z określonymi żądaniami osób, których dane dotyczą
Art. 24 ust. 1 ustawy o ochronie danych osobowych
W przypadku zbierania danych osobowych od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę o:
- adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku,
- celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych,
- prawie dostępu do treści swoich danych oraz ich poprawiania,
- dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.
Przykładowa klauzula informacyjna
Zgodnie z art. 24 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz. U. z 2015 r. poz. 2135, 2281, z 2016 r. poz. 195, 677. ) informuję, iż:
- administratorem Pani/Pana danych osobowych jest ABC Sp. z o.o. z siedzibą w Krakowie, ul Słoneczna 15, zwana dalej Spółką,
- Pani/Pana dane osobowe przetwarzane będą w celu marketingu produktów i usług Spółki i nie będą udostępniane innym odbiorcom,
- posiada Pani/Pan prawo dostępu do treści swoich danych oraz ich poprawiania,
- podanie Spółce danych osobowych jest dobrowolne.
Art. 25 ust. 1 ustawy o ochronie danych osobowych
W przypadku zbierania danych osobowych nie od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę, bezpośrednio po utrwaleniu zebranych danych, o:
- adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku,
- celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych,
- źródle danych,
- prawie dostępu do treści swoich danych oraz ich poprawiania,
- o uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 8 – prawo do sprzeciwu lub żądanie zaprzestania przetwarzania danych osobowych
Przykład:
- administratorem Pani/Pana danych osobowych jest ABC Sp. z o.o. z siedzibą w Krakowie, ul. Słoneczna 15, zwana dalej Spółką,
- Pani/Pana dane osobowe przetwarzane będą w celu marketingu produktów i usług Spółki i nie będą udostępniane innym odbiorcom,
- Spółka pozyskała Pani/Pana dane osobowe od XYZ Sp. z o.o. z siedzibą w Warszawie, ul. Polna 100,
- posiada Pani/Pan prawo dostępu do treści swoich danych oraz ich poprawiania,
- na podstawie art. 32 ust. 1 pkt 7 ustawy o ochronie danych osobowych przysługuje Pani/Panu prawo wniesienia pisemnego, umotywowanego żądania zaprzestania przetwarzania Pani/Pana danych ze względu na Pani/Pana szczególną sytuację, jak również – na podstawie art. 32 ust. 1 pkt 8 ustawy o ochronie danych osobowych ma Pani/Pan prawo wniesienia sprzeciwu wobec przetwarzania Pani/Pana danych w celach marketingowych lub wobec przekazywania ich innemu administratorowi danych.
Art. 32 ust. 1 ustawy o ochronie danych osobowych
Każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo do:
- uzyskania wyczerpującej informacji, czy taki zbiór istnieje, oraz do ustalenia administratora danych, adresu jego siedziby i pełnej nazwy, a w przypadku gdy administratorem danych jest osoba fizyczna - jej miejsca zamieszkania oraz imienia i nazwiska,
- uzyskania informacji o celu, zakresie i sposobie przetwarzania danych zawartych w takim zbiorze,
- uzyskania informacji, od kiedy przetwarza się w zbiorze dane jej dotyczące, oraz podania w powszechnie zrozumiałej formie treści tych danych,
- uzyskania informacji o źródle, z którego pochodzą dane jej dotyczące, chyba że administrator danych jest zobowiązany do zachowania w tym zakresie tajemnicy państwowej, służbowej lub zawodowej,
- uzyskania informacji o sposobie udostępniania danych, a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym dane te są udostępniane,
- uzyskania informacji o przesłankach podjęcia rozstrzygnięcia, o którym mowa w art. 26a ust. 2;
- żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są już zbędne do realizacji celu, dla którego zostały zebrane;
- wniesienia, w przypadkach wymienionych w art. 23 ust. 1 pkt 4 i 5, pisemnego, umotywowanego żądania zaprzestania przetwarzania jej danych ze względu na jej szczególną sytuację;
- wniesienia sprzeciwu wobec przetwarzania jej danych w przypadkach, wymienionych w art. 23 ust. 1 pkt 4 i 5, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych;
- wniesienia do administratora danych żądania ponownego, indywidualnego rozpatrzenia sprawy rozstrzygniętej z naruszeniem art. 26a ust. 1.
Art. 33 ustawy o ochronie danych osobowych
- Na wniosek osoby, której dane dotyczą, administrator danych jest obowiązany, w terminie 30 dni, poinformować o przysługujących jej prawach oraz udzielić, odnośnie do jej danych osobowych, informacji, o których mowa w art. 32 ust. 1 pkt 1–5a.
- Na wniosek osoby, której dane dotyczą, informacji, o których mowa w ust. 1, udziela się na piśmie.