Jakie informacje musi zawierać klauzula informacyjna w zależności od źródła, z którego administrator pozyskał dane osobowe:
Informacje, kiedy administrator pozyskał dane osobowe, od osoby, której dane dotyczą (art. 13 RODO):
- Tożsamość administratora danych i dane kontaktowe.
- Dane kontaktowe inspektora ochrony danych (jeśli został powołany).
- Cel przetwarzania danych osobowych.
- Podstawę prawną przetwarzania danych osobowych (wskazanie przepisu prawa, który pozwala na posiadanie danych osobowych).
- Jeśli dane przetwarzane są na podstawie prawnie uzasadnionych interesów administratora danych lub strony trzeciej, to trzeba wymienić te interesy.
- Informacja o odbiorcach danych osobowych lub o kategoriach odbiorców – jeżeli istnieją (organizacje, którym powierzamy lub udostępniamy dane osobowe, np. biuro rachunkowe.
- Gdy ma to zastosowanie - informację czy dane osobowe będą przekazywane do państwa trzeciego lub organizacji międzynarodowej.
- Jeżeli dochodzi do tzw. zautomatyzowanego podejmowania decyzji lub profilowania należy poinformować o tym fakcie oraz podać istotne informacje o zasadach automatycznego podejmowania decyzji, a także o znaczeniu przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
- Okres przetwarzania danych osobowych lub sposób obliczenia tego okresu.
- Informację o prawach osób, których dane dotyczą (prawo dostępu do danych i otrzymania ich kopii, prawo do sprostowania, usunięcia lub ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec przetwarzania, prawo do przenoszenia danych.
- Informację o prawie do wycofania zgody osoby, której dane dotyczą (jeżeli dane przetwarzane są na podstawie zgody na przetwarzanie danych osobowych) Należy powiadomić o prawie do cofnięcia zgody w każdym momencie oraz o tym, że cofnięcie zgody nie ma wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem.
- Informację o prawnie wniesienia skargi na działania związane z przetwarzaniem danych osobowych do Prezesa Urzędu Ochrony Danych Osobowych (PUODO)
Informacje, kiedy administrator pozyskał dane z innego źródła (art. 14 RODO)
Oprócz informacji wymienionych powyżej dodatkowo należy podać:
- Nazwy podmiotów, od których pozyskaliśmy dane lub poinformować, że pochodzą one ze źródeł publicznie dostępnych.
- Kategorie danych, które przetwarzamy, np. dane korespondencyjne itp.