Obowiązki wynikają z realizacji praw osób, których dane dotyczą

• Obowiązki informacyjne (Art.25 p.1)
• Obowiązki związane z określonymi żądaniami osób, których dane dotyczą

Art. 24 ust. 1 ustawy o ochronie danych osobowych

W przypadku zbierania danych osobowych od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę o:

1. adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem  danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku,
2. celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych,
3. prawie dostępu do treści swoich danych oraz ich poprawiania,
4. dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.

Przykładowa klauzula informacyjna

Zgodnie z art. 24 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz. U. z 2015 r. poz. 2135, 2281, z 2016 r. poz. 195, 677. ) informuję, iż:

1. administratorem Pani/Pana danych osobowych jest ABC Sp. z o.o. z siedzibą w Krakowie, ul Słoneczna 15, zwana dalej Spółką,
2. Pani/Pana dane osobowe przetwarzane będą w celu marketingu produktów i usług Spółki i nie będą udostępniane innym odbiorcom,
3. posiada Pani/Pan prawo dostępu do treści swoich danych oraz ich poprawiania,
4. podanie Spółce danych osobowych jest dobrowolne.

Art. 25 ust. 1 ustawy o ochronie danych osobowych

W przypadku zbierania danych osobowych nie od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę, bezpośrednio po utrwaleniu zebranych danych, o:

1. adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku,
2. celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych,
3. źródle danych,
4. prawie dostępu do treści swoich danych oraz ich poprawiania,
5. o uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 8 – prawo do sprzeciwu lub żądanie zaprzestania przetwarzania danych osobowych

Przykład:

1. administratorem Pani/Pana danych osobowych jest ABC Sp. z o.o. z siedzibą w Krakowie, ul. Słoneczna 15, zwana dalej Spółką,
2. Pani/Pana dane osobowe przetwarzane będą w celu marketingu produktów i usług Spółki i nie będą udostępniane innym odbiorcom,
3. Spółka pozyskała Pani/Pana dane osobowe od XYZ Sp. z o.o. z siedzibą w Warszawie, ul. Polna 100,
4. posiada Pani/Pan prawo dostępu do treści swoich danych oraz ich poprawiania,
5. na podstawie art. 32 ust. 1 pkt 7 ustawy o ochronie danych osobowych przysługuje Pani/Panu prawo wniesienia pisemnego, umotywowanego żądania zaprzestania przetwarzania Pani/Pana danych ze względu na Pani/Pana szczególną sytuację, jak również – na podstawie art. 32 ust. 1 pkt 8 ustawy o ochronie danych osobowych ma Pani/Pan prawo wniesienia sprzeciwu wobec przetwarzania Pani/Pana danych w celach marketingowych lub wobec przekazywania ich innemu administratorowi danych.

Art. 32 ust. 1 ustawy o ochronie danych osobowych

Każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo do:

1. uzyskania wyczerpującej informacji, czy taki zbiór istnieje, oraz do ustalenia administratora danych, adresu jego siedziby i pełnej nazwy, a w przypadku gdy administratorem danych jest osoba fizyczna - jej miejsca zamieszkania oraz imienia i nazwiska,
2. uzyskania informacji o celu, zakresie i sposobie przetwarzania danych zawartych w takim zbiorze,
3. uzyskania informacji, od kiedy przetwarza się w zbiorze dane jej dotyczące, oraz podania w powszechnie zrozumiałej formie treści tych danych,
4. uzyskania informacji o źródle, z którego pochodzą dane jej dotyczące, chyba że administrator danych jest zobowiązany do zachowania w tym zakresie tajemnicy państwowej, służbowej lub zawodowej,
5. uzyskania informacji o sposobie udostępniania danych, a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym dane te są udostępniane,
6. uzyskania informacji o przesłankach podjęcia rozstrzygnięcia, o którym mowa w art. 26a ust. 2;
7. żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są już zbędne do realizacji celu, dla którego zostały zebrane;
8. wniesienia, w przypadkach wymienionych w art. 23 ust. 1 pkt 4 i 5, pisemnego, umotywowanego żądania zaprzestania przetwarzania jej danych ze względu na jej szczególną sytuację;
9. wniesienia sprzeciwu wobec przetwarzania jej danych w przypadkach, wymienionych w art. 23 ust. 1 pkt 4 i 5, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych;
10. wniesienia do administratora danych żądania ponownego, indywidualnego rozpatrzenia sprawy rozstrzygniętej z naruszeniem art. 26a ust. 1.

Art. 33 ustawy o ochronie danych osobowych

1. Na wniosek osoby, której dane dotyczą, administrator danych jest obowiązany, w terminie 30 dni, poinformować o przysługujących jej prawach oraz udzielić, odnośnie do jej danych osobowych, informacji, o których mowa w art. 32 ust. 1 pkt 1–5a.
2. Na wniosek osoby, której dane dotyczą, informacji, o których mowa w ust. 1, udziela się na piśmie.