Realizacja obowiązku informacyjnego, czyli zawiadomienie o przetwarzaniu danych należy zawsze, kiedy zbieramy dane osobowe. Administratorzy danych muszą przestrzegać zasad przepisów RODO. Jednym z najważniejszych zadań administratora jest spełnienie tzw. obowiązku informacyjnego, czyli powiadomieniu osób, których dane dotyczą, że jest się w posiadaniu informacji o nich i co w związku z tym wynika. Tylko osoba odpowiednio poinformowana na temat przetwarzania informacji o niej może świadomie podejmować decyzje w związku z operacjami dokonywanymi na informacjach na jej temat.

Realizacja obowiązku polega na przedstawieniu osobie, której dane dotyczą wszelkich informacji wymaganych przepisami unijnego rozporządzenia o ochronie danych osobowych. Należy pamiętać, że na administratorze danych ciąży obowiązek przekazania informacji w zrozumiały, zwięzły i przejrzysty sposób. Trzeba wziąć pod uwagę, kto jest odbiorcą tej informacji. Administrator musi być w stanie wykazać przed organem nadzorczym – Prezesem Urzędu Ochrony Danych Osobowych (PUODO), że spełnił wobec osób, których dane przetwarza obowiązek informacyjny (art. 5 ust. 1 lit a RODO).

Nota o przetwarzaniu danych osobowych powinna zostać przedstawiona jasnym i prostym językiem, tak, żeby każdy, kogo dane dotyczą, był w stanie ją zrozumieć. W zależności od tego, skąd administrator pozyskał dane osobowe noty informacyjne będą nieco się różniły, jeśli chodzi o przekazanie informacji. Źródła pozyskania danych osobowych mogą być różne:

Administrator pozyskuje dane osobowe bezpośrednio od osoby, której dane dotyczą, np.

  • Osoba, której dane dotyczą sama przekazała administratorowi informacje o sobie, np. wypełniając formularz kontaktowy na stronie internetowej administratora danych.
  • Administrator pozyskał dane odo osoby, której dane dotyczą, np. poprzez zamontowanie monitoringu wizyjnego.

Administrator pozyskuje dane osobowe nie bezpośrednio od osoby, której dane dotyczą, np.

  • pozyskanie danych od zewnętrznego administratora danych (np. udostępnienie danych osobowych przez kontrahenta, partnera biznesowego.
  • Pozyskanie danych osobowych ze źródeł publicznie dostępnych (np. z CEIDG, KRS).
  • Pozyskanie danych osobowych od innych osób, np. dane członków rodziny podane przez pracownika.