W związku z tym, że coraz częściej docierają do nas sygnały o nadużywaniu praw wynikających z RODO, a które przysługują osobom których dane dotyczą, dzisiejszy wpis poświęcam najważniejszym informacjom dotyczącym tych praw, a także sposobów w jaki należy reagować na ewentualne żądania.
Przede wszystkim musimy pamiętać, że na spełnienie żądań osób których dane dotyczą jest określony czas. Żądania osób których dane dotyczą powinniśmy spełniać niezwłocznie, przynajmniej w ciągu 1 miesiąca od wpłynięcia takiego żądania. Jeżeli nie możemy tego uczynić, to w czasie wspomnianego 1 miesiąca powinniśmy przynajmniej poinformować o podjętych działaniach w związku z żądaniem. W takim przypadku zyskujemy dodatkowy czas na spełnienie żądania lub ustosunkowanie się do niego. Dodatkowy czas nie może przekroczyć kolejnych 2 miesięcy.
Zgodnie z przepisami RODO każda osoba, której dane osobowe przetwarzamy jako Administrator Danych Osobowych ma następujące prawa
Prawo do bycia informowaną o przetwarzaniu danych osobowych, o którym mowa w art. 12 RODO
Jako administrator jesteśmy zobowiązani do przekazania osobom, których dane dotyczą określone w RODO informacje. Najważniejsze to informacje o swoich danych, danych kontaktowych IOD, celach oraz podstawach prawnych przetwarzania danych osobowych, odbiorcach lub kategoriach odbiorców danych osobowych, o ile istnieją, czy o okresie przez który dane będą przetwarzane lub o kryteriach ustalania tego okresu. Obowiązek ten należy spełnić już w momencie pozyskiwania danych (czyli np. podczas pierwszego kontaktu z klientem), a jeżeli danych nie uzyskujemy od od osoby, której dane dotyczą, lecz z innego źródła – w rozsądnym terminie, zależnie od okoliczności; Administrator może zaniechać podawania tych informacji, jeśli osoba której dane dotyczą, już nimi dysponuje.
Dostępu do swoich danych osobowych, o którym mowa w art. 15 RODO.
Osoby których dane dotyczą mają prawo uzyskać do nich wgląd i dostęp. Nie oznacza to jednak, że mogą mieć one prawo dostępu do wszystkich naszych dokumentów. Nie musimy udostępniać dokumentów, na których ich dane widnieją, jeżeli jednocześnie zawierają one informacje poufne. Mają oni jednak prawo do informacji jakie ich dane i w jakim celu przetwarzamy oraz prawo do uzyskania kopii swoich danych osobowych. Pierwsza kopia powinna być wydawana bezpłatnie, a za każdą kolejną, zgodnie z przepisami RODO, można pobierać odpowiednią opłatę. Opłata powinna odpowiadać kosztom sporządzenia kopii.
Poprawiania, uzupełniania, uaktualniania, sprostowania danych osobowych, o których mowa w art. 16 RODO.
Jeżeli dane osobowe uległy zmianie, jako ich Administrator musimy zostać o tym poinformowani. Musimy bowiem posiadać dane zgodne ze stanem rzeczywistym oraz aktualne. Również w sytuacji, gdy nie nastąpiła żadna zmiana danych osobowych, ale z jakichkolwiek innych względów dane te są nieprawidłowe lub zostały zapisane w sposób niepoprawny (np. na skutek omyłki pisarskiej), jako Administrator powinniśmy zostać o tym poinformowani. Co bardzo istotne Administrator danych nie musi sam wychodzić z taką inicjatywą w stosunku do osób których dane dotyczą.
Usunięcia danych (prawo do bycia zapomnianym), o którym mowa w art. 17 RODO.
Innymi słowy osoby których dane dotyczą mają prawo żądania „skasowania” danych posiadanych przez Administratora danych osobowych. Dodatkowo mają prawo do wystąpienia do Administratora, aby poinformował innych administratorów, którym przekazał dane o konieczności ich usunięcia. Możliwym jest żądanie usunięcia danych osobowych przede wszystkim, gdy:
• cel, do których dane osobowe zostały pobrane, został osiągnięty.
• Podstawą przetwarzania danych osobowych była wyłącznie zgoda, która następnie została cofnięta i nie ma innych podstaw prawnych do dalszego przetwarzania danych osobowych.
• Osoby których dane dotyczą wnieśli sprzeciw w oparciu o art. 21 RODO i uważają, że Administrator danych osobowych nie ma żadnych nadrzędnych podstaw prawnych pozwalających na dalsze przetwarzanie danych osobowych.
• Dane osobowe były przetwarzane niezgodnie z prawem tzn. w celach niezgodnych z prawem lub bez jakiejkolwiek podstawy do przetwarzania danych osobowych. Należy pamiętać, że w takim przypadku osoby których dane dotyczą muszą mieć podstawę do swojego żądania.
• Konieczność usunięcia danych osobowych wynika z przepisów prawa.
• Dane osobowe dotyczą osoby małoletniej i zostały zebrane w związku ze świadczeniem usług społeczeństwa informacyjnego.
Ograniczenia przetwarzania, o którym mowa w art. 18 RODO.
Osoby których dane dotyczą mogą się zgłosić do Administratora z żądaniem ograniczenia przetwarzania danych osobowych. Żądanie może polegać na tym, że do czasu wyjaśnienia sprawy Administrator przetwarza dane w niezbędnym zakresie, przede wszystkim np. tylko przechowywać dane osobowe, jeżeli:
• osoby których dane dotyczą kwestionują prawidłowość swoich danych osobowych, lub
• uważają, że Administrator danych osobowych przetwarza dane bez podstawy prawnej, ale jednocześnie nie chcą, aby dane te były usuwane, lub
• złożyli sprzeciw od przetwarzania danych osobowych, o którym mowa w dalszej części, lub
• dane osobowe są potrzebne do ustalenia, dochodzenia lub obrony roszczeń np. przed sądem.
Przenoszenia danych, o którym mowa w art. 20 RODO.
Osoby których dane dotyczą mają prawo uzyskania swoich danych w formacie np. umożliwiającym odczyt tych danych na komputerze oraz prawo do przesłania tych danych w takim formacie do innego administratora. Prawo to przysługuje jedynie wówczas, gdy podstawą przetwarzania danych była zgoda (np. na subskrypcję newslettera) lub dane te były przetwarzane w sposób automatyczny.
Wniesienia sprzeciwu od przetwarzania danych osobowych, o czym mowa w art. 21 RODO.
Osoby których dane dotyczą mają prawo wnieść sprzeciw, jeżeli nie zgadzają się one na przetwarzanie danych ich dotyczących które dotychczas Administrator przetwarzał w uzasadnionych celach zgodnych z przepisami prawa. W szczególności prawo do sprzeciwu przysługuje wobec przetwarzania danych osobowych dla potrzeb marketingu bezpośredniego (np. subskrypcja newslettera).
Niepodlegania profilowaniu, o którym mowa w art. 22 w zw. z art. 4 pkt 4 RODO.
Osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa. Administrator musi umożliwić osobie której dane dotyczą możliwość “wyłączenia” wobec niej profilowania, jeżeli takowe wobec niej stosuje. Wyjątek od zasady, o której mowa w poprzednim zdaniu, występuje tylko wtedy kiedy profilowanie jest konieczne do zawarcia umowy lub jest dozwolone według przepisów powszechnie obowiązujących.
Wniesienia skargi do organu nadzorczego (tj. do Prezesa Urzędu Ochrony Danych Osobowych), o którym mowa w art. 77 RODO.
Jeżeli osoby których dane dotyczą uznają że Administrator danych przetwarza dane osobowe niezgodnie z prawem lub w jakikolwiek sposób narusza uprawnienia wynikające z powszechnie obowiązujących przepisów prawa z zakresu ochrony danych osobowych, mogą wnieść skargę do Prezesa Urzędu Ochrony Danych Osobowych.
Jakub Szajdziński
Partner Zarządzający
ENSIS Kancelaria Prawna
Cioczek & Szajdziński Spółka jawna
Jeżeli potrzebujesz pomocy w zakresie ochrony danych osobowych, skontaktuj się ze mną: ensiskancelaria.com/jakub-szajdzinski
Jeżeli chcesz pozostawać na bieżąco z nowymi przepisami zapraszamy do dołączenia do naszej grupy na Facebook