Prowadząc przedsiębiorstwo należy pamiętać o tym, że wobec każdego z naszych klientów, będącego osobą fizyczną, powinniśmy spełnić tzw. obowiązek informacyjny. Spełnienie obowiązku informacyjnego polega na przekazaniu osobom, których dane dotyczą, w sposób kompleksowy, informacji na temat przetwarzania ich danych osobowych w naszym przedsiębiorstwie.
Trzeba również wskazać iż nowe regulacje europejskie w znaczny sposób rozszerzają katalog informacji obligatoryjnych jakie przedsiębiorca zobowiązany jest udzielić klientowi.
Zakres informacji jakie administrator obowiązany jest udostępnić został określony w art. 13 i 14 RODO. Zgodnie z wskazanymi przepisami zakres przekazywanych informacji powinien obejmować następujące dane:
- informacje o osobie administratora,
- informacje o przedstawicielu administratora (jeżeli takiego posiada),
- dane inspektora ochrony danych (jeżeli taki istnieje),
- cel pozyskiwania i przetwarzania danych,
- podstawa prawna przetwarzania danych,
- okres przez jaki będą przetrzymywane dane ( o ile jest to możliwe do określenia),
- informacje w zakresie praw osób, których dane dotyczą,
- dane podmiotu przetwarzającego,
- informacje o profilowaniu,
- informacje o zamiarze (o ile taki zamiar jest) przekazywania danych do UE lub EOG,
- informację o tym, czy podanie informacji ustawowych jest wymogiem ustawowym, umownym lub warunkiem zawarcia umowy,
- informację o tym czy podmiot danych jest zobowiązany do ich podania w tym konsekwencje, jakie kategorie danych osobowych się przetwarza oraz
źródło pochodzenia danych osobowych.
W tym miejscu należy wskazać iż przepisy RODO nie przewidują szczególnej formy spełnienia obowiązku informacyjnego. Ważnym jedynie jest to, aby komunikat ten był sporządzony jasno i przejrzyście. W praktyce przyjęło się jednak, iż takie informacje zawiera się w polityce prywatności zamieszczonej na stronie internetowej administratora.