Zgodnie z art. 24 ust. 1 ustawy o ochronie danych osobowych administrator danych zobowiązany jest spełnić obowiązek informacyjny wobec osób, których dane przetwarza. Zobowiązany jest on poinformować tę osobę o:
- Adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna – o miejscu swojego zamieszkania oraz imieniu i nazwisku.
- Celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych.
- Prawie dostępu do treści swoich danych oraz ich poprawiania.
- Dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.
Od maja 2018 r. oprócz informacji wymienionych powyżej, Rozporządzenie unijne o ochronie danych osobowych (GDPR) nakłada na administratora danych nowe wymagania dot. obowiązku informacyjnego wobec osób, których dane przetwarza. Zgodnie z art. 13 Rozporządzenia w momencie zbierania danych od osoby administrator danych będzie zobowiązany do podania także następujących informacji:
- Danych kontaktowych Inspektora Ochrony Danych (obecnie ABI), jeśli został powołany.
- Podstawie prawnej zbierania danych.
- Wyjaśnienie usprawiedliwionego celu, jeśli na jego podstawie odbywa się przetwarzanie.
- Zamiarze przekazania danych do państwa trzeciego lub organizacji międzynarodowej, wskazanie podstawy transferu i sposobu wglądu w dokumenty będące podstawą transferu.
- Okresie przechowywania jej danych (lub kryteria jego ustalania).
- Prawie do cofnięcia wyrażonej przez nią zgody.
- Prawie do wniesienia skargi do organu nadzorczego (GIODO).
- Profilowaniu i automatycznych decyzjach.
