Informacje o RODO

RODO - Unijne Rozporządzenie o Ochronie Danych sobowych kładzie szczególny nacisk na to, aby osoby, których dane są przetwarzane, miały większy dostęp do informacji na temat podejmowanych przez administratora działań. Osoby mają też mieć większą kontrolę nad danymi, które przekazują administratorowi.

Prawa osób, których dane dotyczą:

1. Prawo dostępu do danych

Prawo to zostało uregulowane w art. 15 RODO – osoby, których dane dotyczą mają możliwość uzyskania od administratora informacji, czy ich dane są przetwarzane i w jakim zakresie. Składają wniosek bez uzasadnienia. Wniosek może być pisemny, elektroniczny bądź pytanie ustne. Administrator zobowiązany jest dokonać kontroli tożsamości osoby składającej wniosek, by upewnić się, że dane zostaną przekazane właściwej osobie. Dodatkowo osoba taka może żądać od administratora uzyskania dostępu do tych danych oraz - jeśli zajdzie taka potrzeba - uzyskania ich kopii. Kopia ta powinna zostać wydana bezpłatnie za pierwszym razem, przy kolejnych prośbach może zostać nałożona na wnioskującego rozsądna opłata, wynikająca np. z kosztów administracyjnych.

Administrator bez zbędnej zwłoki lub w terminie miesiąca od otrzymania żądania - powinien udzielić osobie, której dane dotyczą, informacji o działaniach podjętych w związku z żądaniem. W razie potrzeby termin ten można przedłużyć o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań. W terminie miesiąca od otrzymania żądania administrator informuje osobę, której dane dotyczą, o takim przedłużeniu terminu, z podaniem przyczyn opóźnienia.
Uzyskanie informacji o spełnieniu żądania podmiotu danych kończy postępowanie w tym zakresie.
Uzyskanie informacji o niespełnieniu żądania uprawnia podmiot danych do wniesienia skargi do organu nadzorczego zgodnie z art. 77 RODO.

2. Prawo do sprostowania danych

Artykuł 16 RODO dotyczy prawa do poprawiania danych osoby, której one dotyczą. Jeśli są one nieprawidłowe lub niekompletne osoba może żądać od administratora ich sprostowania.

Dane osobowe powinny być prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane.
Administrator bez zbędnej zwłoki - a w każdym razie w terminie miesiąca od otrzymania żądania - powinien udzielić osobie, której dane dotyczą, informacji o działaniach podjętych w związku z żądaniem. W razie potrzeby termin ten można przedłużyć o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań. W terminie miesiąca od otrzymania żądania administrator informuje osobę, której dane dotyczą, o takim przedłużeniu terminu, z podaniem przyczyn opóźnienia.

Uzyskanie informacji o spełnieniu żądania podmiotu danych kończy postępowanie w tym zakresie.
Uzyskanie informacji o niespełnieniu żądania uprawnia podmiot danych do wniesienia skargi do organu nadzorczego zgodnie z art. 77 RODO

3. Prawo do bycia zapomnianym

Osoby, których dane są przetwarzane mają prawo do ich usunięcia - zwane również „prawem do bycia zapomnianym”, opisane w artykule 17 RODO. W przypadku wystąpienia ewidentnych okoliczności osoba może żądać od administratora usunięcia niektórych danych na swój temat, bądź całego ich zbioru. Proces usuwania powinien być przeprowadzony bez zbędnej zwłoki.

Jeżeli osoba, której dane dotyczą:
– stwierdzi, że dane nie są już potrzebne do celów, w których zostały zgromadzone,
– stwierdzi, że dane osobowe były przetwarzane niezgodnie z prawem,
- cofnęła zgodę, na której opiera się przetwarzanie, i nie ma innej podstawy prawnej przetwarzania,
-  stwierdzi, że dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego
– wnosi sprzeciw wobec przetwarzania jej danych,
– stwierdzi, że dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego, któremu podlega administrator,

Istnieją również sytuacje, które sprawiają, że osoby, których dane dotyczą nie mogą skorzystać z prawa do usunięcia danych osobowych. Mowa tu o przypadkach, kiedy przetwarzanie jest niezbędne:

  • w celu korzystania z prawa do wolności wypowiedzi i informacji;
  • do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
  • w celu profilaktyki zdrowotnej (np. medycyna pracy, czy zapewnienie opieki zdrowotnej) ;
  • do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych;
  • do ustalenia, dochodzenia lub obrony roszczeń.

Administrator bez zbędnej zwłoki - a w każdym razie w terminie miesiąca od otrzymania żądania - powinien udzielić osobie, której dane dotyczą, informacji o działaniach podjętych w związku z żądaniem. W razie potrzeby termin ten można przedłużyć o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań. W terminie miesiąca od otrzymania żądania administrator informuje osobę, której dane dotyczą, o takim przedłużeniu terminu, z podaniem przyczyn opóźnienia.

Uzyskanie informacji o spełnieniu żądania podmiotu danych kończy postępowanie w tym zakresie.
Uzyskanie informacji o niespełnieniu żądania uprawnia podmiot danych do wniesienia skargi do organu nadzorczego zgodnie z art. 77 RODO

4. Prawo do ograniczenia przetwarzania danych

RODO przewiduje także możliwość wniesienia o ograniczenie przetwarzania danych. Okoliczności, w jakich osoba, której dane dotyczą może z tego prawa skorzystać wymienione są w art. 18 RODO:

  • kiedy zgromadzone dane są nieprawidłowe - ograniczenie ich przetwarzania następuje do momentu, kiedy zostaną one poprawione;
  • w momencie, kiedy nie ma podstawy prawnej do przetwarzania danych;
  • kiedy nie są one potrzebne administratorowi danych osobowych, jednak potrzebuje ich osoba, do której one należą;
  • w przypadku kiedy osoba, której dane dotyczą zgłosiła sprzeciw wobec przetwarzania danych - ograniczenie obowiązuje do momentu ustalenia, czy sprzeciw ten jest podstawny.

Przepisy RODO przewidują uprawnienie osoby, której dane dotyczą, do żądania od administratora ograniczenia ich przetwarzania. Jeżeli osoba, której dane dotyczą, kwestionuje prawidłowość danych, może zwrócić się do administratora z żądaniem ograniczenia przetwarzania danych - na okres pozwalający administratorowi sprawdzić prawidłowość tych danych.

Administrator bez zbędnej zwłoki - a w każdym razie w terminie miesiąca od otrzymania żądania - powinien udzielić osobie, której dane dotyczą, informacji o działaniach podjętych w związku z żądaniem. W razie potrzeby termin ten można przedłużyć o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań. W terminie miesiąca od otrzymania żądania administrator informuje osobę, której dane dotyczą, o takim przedłużeniu terminu, z podaniem przyczyn opóźnienia.

Uzyskanie informacji o spełnieniu żądania podmiotu danych kończy postępowanie w tym zakresie.
Uzyskanie informacji o niespełnieniu żądania uprawnia podmiot danych do wniesienia skargi do organu nadzorczego zgodnie z art. 77 r.o.d.o.

5. Prawo do przenoszenia danych

W artykule 20 RODO wprowadzone zostało kolejne prawo osób, których dane dotyczą - prawo do ich przenoszenia pomiędzy różnymi podmiotami (administratorami). Jeśli prośba taka zostanie wystosowana, administrator ma obowiązek przekazać osobie komplet zgromadzonych danych na jej temat w formie, która będzie możliwa do odczytania. Osoba, której dane dotyczą może później bez przeszkód przekazać te informacje innemu administratorowi.

Osoba, której dane dotyczą, może zwrócić się do administratora z wnioskiem o przeniesienie danych osobowych, jeżeli zamierza zmienić dostawcę usług. Przetwarzanie odbywa się w sposób zautomatyzowany, jeżeli czynności, które są wykonywane w ramach procesów przetwarzania, realizowane są przez systemy informatyczne lub inne mechanizmy pozwalające na automatyzację (wykonywanie czynności przez maszynę samoczynnie, bez każdorazowego działania człowieka). Dla możności skorzystania z prawa do przenoszenia danych prawodawca unijny wymaga łącznego spełnienia przesłanek dotyczących: podstawy przetwarzania (zgoda lub umowa) oraz sposobu przetwarzania (zautomatyzowany).

Administrator bez zbędnej zwłoki - a w każdym razie w terminie miesiąca od otrzymania żądania - powinien udzielić osobie, której dane dotyczą, informacji o działaniach podjętych w związku z żądaniem. W razie potrzeby termin ten można przedłużyć o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań. W terminie miesiąca od otrzymania żądania administrator informuje osobę, której dane dotyczą, o takim przedłużeniu terminu, z podaniem przyczyn opóźnienia.

Uzyskanie informacji o spełnieniu żądania podmiotu danych kończy postępowanie w tym zakresie.
Uzyskanie informacji o niespełnieniu żądania uprawnia podmiot danych do wniesienia skargi do organu nadzorczego zgodnie z art. 77 r.o.d.o.

6. Prawo do sprzeciwu oraz do niepodleganiu decyzji opartych na zautomatyzowanym przetwarzaniu

Na podstawie przepisu znajdującego się w artykule 21 RODO, osoby, których dane dotyczą mają prawo nie zgodzić się na to, aby ich dane były wykorzystywane do celów „podejmowania decyzji opartych na zautomatyzowanym przetwarzaniu”” – np. profilowania, które powodują skutek prawny dla osoby. Administrator w takim przypadku nie ma prawa do przetwarzania danych, pod warunkiem, że nie będą istniały inne ważne podstawy prawne do przetwarzania danych osobowych.

Wyjątek stanowi sytuacja, kiedy to przeprowadzenie profilowania jest wymagane w celu prawidłowego zawarcia bądź wykonania umowy – wtedy osoba, której dane dotyczą nie ma prawa do sprzeciwu wobec takiego przetwarzania

Jeżeli osoba, której dane dotyczą, sprzeciwia się przetwarzaniu danych na swój temat, może wnieść do administratora sprzeciw. Sprzeciw nie przysługuje jednak w przypadku, gdy osoba wyraziła zgodę na przetwarzanie danych. Jeżeli osoba nie chce, aby administrator dalej przetwarzał jej dane, powinna cofnąć zgodę (choć skutek może być taki sam, to z punktu widzenia prawnego sprzeciw i odwołanie zgody to konstrukcje odmienne). Sprzeciw nie przysługuje również w przypadku, gdy:

– podstawą przetwarzania danych osobowych jest konieczność realizacji umowy (art. 6 ust. 1 lit. b r.o.d.o.);

– przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (art. 6 ust. 1 lit. c r.o.d.o.);

– przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej (art. 6 ust. 1 lit. d r.o.d.o.).

Administrator bez zbędnej zwłoki - a w każdym razie w terminie miesiąca od otrzymania żądania - powinien udzielić osobie, której dane dotyczą, informacji o działaniach podjętych w związku z żądaniem. W razie potrzeby termin ten można przedłużyć o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań. W terminie miesiąca od otrzymania żądania administrator informuje osobę, której dane dotyczą, o takim przedłużeniu terminu, z podaniem przyczyn opóźnienia.

Uzyskanie informacji o spełnieniu żądania podmiotu danych kończy postępowanie w tym zakresie.
Uzyskanie informacji o niespełnieniu żądania uprawnia podmiot danych do wniesienia skargi do organu nadzorczego zgodnie z art. 77 r.o.d.o.