Zasady realizacji obowiązku informowania o danych osobowych

Prawo do informacji

Każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych przetwarzanych przez administratora danych osobowych.

Art. 33 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2014 r. poz. 1182) nakłada na administratora danych osobowych obowiązek udzielenia, na wniosek osoby, której dane dotyczą, informacji o przysługujących jej prawach oraz udzielić , odnośnie do jej danych osobowych, informacji o których mowa w art. 32 ust. 1 pkt 1 - 5a, tj.:

  • 1) czy taki zbiór istnieje, oraz do ustalenia administratora danych, adresu jego siedziby i pełnej nazwy, a w przypadku gdy administratorem danych jest osoba fizyczna - jej miejsca zamieszkania oraz imienia i nazwiska;
  • 2) uzyskania informacji o celu, zakresie i sposobie przetwarzania danych zawartych w takim zbiorze;
  • 3) uzyskania informacji, od kiedy przetwarza się w zbiorze dane jej dotyczące, oraz podania w powszechnie zrozumiałej formie treści tych danych;
  • 4) uzyskania informacji o źródle, z którego pochodzą dane jej dotyczące, chyba że administrator danych jest zobowiązany do zachowania w tym zakresie w tajemnicy informacji niejawnych lub zachowania tajemnicy zawodowej;
  • 5) uzyskania informacji o sposobie udostępniania danych, a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym dane te są udostępniane;
  • 5a) uzyskania informacji o przesłankach podjęcia rozstrzygnięcia, o którym mowa w art. 26a ust. 2;

(tj. jakie przesłanki przesądziły o podjęciu rozstrzygnięcia wyłącznie w wyniku operacji na danych osobowych prowadzonych w systemie informatycznym).

W celu uzyskania w/w informacji osoba zainteresowana powinna wystąpić do administratora danych osobowych z wnioskiem. Administrator danych osobowych udziela informacji w terminie 30 dni. Jeśli osoba o to wnioskuje, informacji udziela się na piśmie.

Odmowa udzielenia informacji

Administrator może odmówić udzielenia żądanych informacji wyłącznie wtedy, gdy spowodowałoby to:

  1. ujawnienie wiadomości zawierających informacje niejawne;
  2. zagrożenie dla obronności lub bezpieczeństwa państwa, życia i zdrowia ludzi lub bezpieczeństwa i porządku publicznego;
  3. zagrożenie dla podstawowego interesu gospodarczego lub finansowego państwa;
  4. istotne naruszenie dóbr osobistych osób, których dane dotyczą, lub innych osób.