Zasady przejrzystości nie można rozpatrywać niezależnie od innych zasad przetwarzania danych osobowych, jest ona bowiem nierozerwalnie związana z zasadami rzetelności oraz rozliczalności, a także zależna od pozostałych zasad. Warto przypomnieć, że zasady dotyczące przetwarzania danych osobowych zostały określone w art. 5 rozporządzenia RODO. Zgodnie z jego brzmieniem dane osobowe muszą być:
- przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą (zgodność z prawem, rzetelność i przejrzystość),
- zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami (ograniczenie celu),
- adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane (minimalizacja danych),
- prawidłowe i w razie potrzeby uaktualniane (prawidłowość),
- przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy niż jest to niezbędne do celów, w których dane te są przetwarzane (ograniczenie przechowywania),
- przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (integralność i poufność).
Administrator jest nie tylko odpowiedzialny za przestrzeganie tych zasad, ale też musi być w stanie wykazać ich przestrzeganie (rozliczalność). Z kolei osoba, której dane są przetwarzane, musi mieć możliwość zweryfikowania, czy przetwarzanie odbywa się zgodnie z powyższymi zasadami. Taką możliwość daje odpowiednia klauzula informacyjna przygotowana przez administratora.
Zakres informacji
Stosowanie zasady przejrzystości wiąże się z koniecznością poinformowania osoby, której dane są przetwarzane, o zakresie i sposobie ich wykorzystywania oraz przysługujących jej prawach. Zgodnie z art. 13 RODO w klauzuli informacyjnej powinny znaleźć się w szczególności następujące informacje:
- tożsamość i dane kontaktowe administratora,
- dane kontaktowe inspektora ochrony danych (gdy został powołany),
- cele i podstawa prawna przetwarzania danych,
- prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią (jeśli wskazano to jako podstawę przetwarzania danych),
- informacja o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją,
- informacja o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej (gdy ma to zastosowanie), okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu,
- informacja o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych,
- jeżeli przetwarzanie odbywa się na podstawie zgody – informacja o prawie do cofnięcia zgody w do...