RODO podkreśla prawo do przejrzystego i jasnego komunikowania o zasadach przetwarzania danych.
Poza tym podmiot danych może w każdej chwili żądać wyczerpujących informacji na temat przetwarzania swoich danych, ich sprostowania, usunięcia, zaprzestania przetwarzania, przeniesienia lub ograniczenia przetwarzania.
Administrator danych ma obowiązek w momencie pozyskiwania danych wypełnić obowiązek informacyjny wynikający z przepisów o ochronie danych osobowych wobec każdej osoby, której dane pozyskał.
Oznacza to, że obowiązek informacyjny należy wykonać zarówno wtedy, gdy pozyskujemy zgodę na przetwarzanie danych, ale także gdy dane są przetwarzane na podstawie innych przesłanek, np. przepisów prawa, dla dobra publicznego, czy zostały udostępnione ADO. Obowiązek informacyjny można wypełnić poprzez umieszczenie odpowiednich informacji bezpośrednio w treści zgody na przetwarzanie danych, w regulaminie usługi, czy poprzez wysłanie maila. Należy to zrobić tak, aby być w stanie udowodnić, że faktycznie został wypełniony.
Przepisy RODO rozszerzają zakres danych, o których należy poinformować osobę, której dane dotyczą, w trakcie zbierania jej danych.
RODO rozszerza zakres danych, które ADO podawał do tej pory, o:
- dane kontaktowe ADO oraz Inspektora Ochrony Danych (jeżeli został powołany)
- gdy przetwarzanie odbywa się na mocy przepisu prawa, należy wskazać ten przepis
- gdy przetwarzanie odbywa się na podstawie prawnie uzasadnionego interesu ADO lub strony trzeciej, należy go wskazać
- gdy przetwarzanie odbywa się na podstawie zgody podmiotu danych o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem
- gdy dane zostały pozyskane nie bezpośrednio od podmiotu danych, źródło pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych
- informacje o zamiarze przekazywania danych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję Europejską odpowiedniego stopnia ochrony. W przypadku przekazania do państwa nie gwarantującego odpowiedniego poziomu ochrony należy podać informację o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych
- okresie, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu
- prawie do żądania od ADO dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych
- prawie wniesienia skargi do organu nadzorczego
- zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą