LexDigital

RODO: Jak uzyskać dostęp do swoich danych osobowych? – wzór wniosku

Realizacja praw osób, których dane dotyczą zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych RODO).

RODO: Jak uzyskać dostęp do swoich danych osobowych? – wzór wniosku

Prawo dostępu do danych i otrzymania kopii danych – art. 15 RODO

Zgodnie z ogólnym rozporządzeniem o ochronie danych (RODO) administrator danych jest zobowiązany do legalnego przetwarzania danych osobowych oraz do realizacji praw osób, których dane dotyczą. Nie tylko musi prawa te realizować, ale również wykazać, że je wypełnia. 

Nie sposób odnieść się do spełniania praw osób, w tym na podstawie art. 15 RODO bez wyjaśnienia na jakich podstawach prawnych w ogóle przetwarzanie można oprzeć.

Z punktu widzenia zgodności przetwarzania z prawem niezwykle ważne jest prawidłowe określenie przez administratora podstawy przetwarzania danych osobowych. Nie zawsze niezbędna jest zgoda osoby, by móc przetwarzać jej dane. Jeśli administrator posiada podstawę prawną do przetwarzania wynikającą wprost z przepisów, np. wystawia fakturę osobie fizycznej, wysyła towar pocztą, to wymaganie zgody na przetwarzanie danych w tym celu jest niezasadne. Częstym błędem administratorów jest stosowanie metody „zgoda na wszelki wypadek”. O zgodę można prosić tylko w przypadku, kiedy nie zachodzą inne przesłanki zezwalające na przetwarzanie danych. 

Mówiąc o zgodzie należy mieć na uwadze, że godnie z RODO musi ona spełniać pewne cechy, aby była skuteczna. Zgoda to dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba fizyczna, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych. W przypadku ewentualnych sporów, co do tego czy zgoda została przez osobę fizyczną udzielona i czy można ją uznać za skuteczną, to administrator danych musi udowodnić, że tak właśnie było.

Należy również pamiętać, że jeżeli administrator pobiera od nas zgodę w celu przetwarzania naszych danych dla różnych celów powinien pobrać odrębną zgodę dla każdego z tych celów. Brak zgody lub zebranie nieważnych zgód może oznaczać odpowiedzialność finansową administratora – nawet 20 mln euro kary lub 4% całkowitego rocznego światowego obrotu firmy z poprzedniego roku obrotowego.

O podstawach prawnych przetwarzania danych administrator powinien poinformować osobą fizyczną w momencie spełniania tzw. obowiązku informacyjnego, a więc w momencie pobierania od niego danych. Obowiązek ten został nałożony przez administratorów danych w art. 13 RODO, w którym, oprócz podstaw przetwarzania danych administrator musi podać jeszcze inne informacje związane z przetwarzaniem przez siebie danych. Należą do nich m.in.:

  • dane administratora, jego dane kontaktowe,
  • dane inspektora ochrony danych (jeżeli został powołany),
  • cele przetwarzania danych,
  • czas przetwarzania danych,
  • informacje o odbiorcach danych,
  • informacje o prawie wniesienia skargi do organu nadzorczego i inne.

Podstawy prawne przetwarzania danych osób fizycznych wymienione są w art. 6 ust. 1 RODO i, oprócz zgody pobieranej np. w celu wysyłania newslettera, wskazują następujące sytuacje, które uprawniają administratora danych do przetwarzania danych: 

- kiedy administrator wykonuje umowę lub czynności poprzedzające zawarcie tej umowy, a przetwarzanie danych osoby będącej stroną umowy jest niezbędne, np. konieczne jest pobranie imienia i nazwiska oraz adresu w celu wysyłki zakupionego towaru,

- kiedy przepisy prawa zobowiązują administratora do przetwarzania danych osobowych, np. przepisy prawa podatkowego nakazują przechowywanie faktur i dokumentów, które mogą zawierać dane osobowe,

- kiedy przetwarzanie danych jest niezbędne do ochrony interesów osoby, której dane dotyczą lub innej osoby fizycznej, np. kiedy przez przypadek znajdziemy się w posiadaniu dokumentów osoby fizycznej, możemy się z nią bez przeszkód skontaktować – chronimy jej interesy,

- kiedy przetwarzanie danych jest niezbędne do wykonywania zadań publicznych, np. urzędy nie muszą pytać osób o zgodę na przetwarzanie danych, wydając decyzje przyznające prawo do zasiłku,

- kiedy uzasadniony interes administratora danych osobowych wymaga przetwarzania danych i nie narusza to praw osób fizycznych do prywatności, np. monitoring na parkingu strzeżonym.

Mówiąc o podstawach przetwarzania danych osobowych należy wspomnieć o podziale tych danych w unijnym rozporządzeniu (RODO) na dane zwykłe oraz szczególne kategorie danych, do których zaliczają się: 

  • pochodzenie rasowe lub etniczne, 
  • poglądy polityczne,
  • przekonania religijne lub światopoglądowe,
  • przynależność do związków zawodowych,
  • dane genetyczne, dane biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej,
  • dane dotyczące zdrowia, seksualności lub orientacji seksualnej.

Co do zasady unijne rozporządzenia o ochronie danych osobowych zabrania przetwarzania wymienionych wyżej szczególnych kategorii danych. Art. 9 ust. 2 RODO wskazuje jednak wyjątki, które na takie przetwarzanie zezwalają. 

Osoba fizyczna musi mieć zatem świadomość, że szczególne kategorie jej danych mogą być przetwarzane w następujących sytuacjach:

  • gdy wyraziła zgodę na przetwarzanie takich danych, 
  • gdy przetwarzanie związane jest z realizacją przepisów prawa pracy, dotyczących zabezpieczenia społecznego i ochrony socjalnej, np. pracodawca nie potrzebuje zgody pracownika na przetwarzanie danych zawartych w elektronicznych drukach L4,
  • gdy przetwarzanie związane jest z ochroną interesów osoby fizycznej (istotnych dla życia, np. zdrowotnych, majątkowych),
  • gdy przetwarzanie dotyczy wykonywania działalności o celach politycznych, światopoglądowych, religijnych czy związkowych, np. partia polityczna nie musi prosić jej członków o zgodę na przetwarzanie szczególnej kategorii danych, jaką są poglądy polityczne,
  • gdy dane upublicznia osoba, której te dane dotyczą – jeśli ktoś ogłosi np. na portalu społecznościowym swoją orientację seksualną albo chorobę, na którą cierpi,
  • gdy przetwarzanie dotyczy ochrony roszczeń, sprawowania wymiaru sprawiedliwości przez sądy, np. sąd nie pyta o zgodę na przetwarzanie danych przestępców,
  • gdy przetwarzanie związane jest z realizacją zadań z zakresu profilaktyki zdrowotnej i medycyny pracy, diagnozy medycznej, oceny zdolności do pracy,
  • gdy przetwarzanie odbywa się w interesie publicznym w dziedzinie zdrowia publicznego, np. działania organów państwowych czy jednostek medycznych zapobiegające epidemiom,
  • gdy przetwarzanie danych dotyczy archiwizacji danych w interesie publicznym, np. organy państwowe, uczelnie czy szpitale nie pytają o zgodę, chcąc zarchiwizować dokumenty zawierające dane osobowe szczególnych kategorii,
  • gdy przetwarzanie danych odbywa się w celach naukowych, historycznych lub statystycznych – osoby piszące prace naukowe nie muszą pytać o zgodę na przetwarzanie dokumentacji zawierającej szczególne kategorie danych pod warunkiem, że zebrane dane przedstawione będą w tej pracy w sposób zanonimizowany, np. „50 osób w mieście X zachorowało na ospę”.

 

Osoba, której dane są przetwarzane przez administratora lub procesora, na mocy ogólnego rozporządzenia o ochronie danych (RODO) zyskała wiele nowych praw. Artykuł 15 RODO uprawnia taką osobę (tzw. podmiot danych) m.in. do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli tak, to jest uprawniona do uzyskania dostępu do nich oraz takich informacji, jak np.:

  • cele przetwarzania,
  • kategorie przetwarzanych danych osobowych,
  • informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione,
  • planowany okres przechowywania danych osobowych (w miarę możliwości),
  • informacje o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania,
  • informacje o prawie wniesienia skargi do organu nadzorczego,
  • jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą – wszelkie dostępne informacje o ich źródle,
  • informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu.


W jaki sposób mogę dowiedzieć się czy moje dane są przetwarzane, jakie są to dane, jak długo będą przechowywane itd?

Każda osoba fizyczna, której dane są przetwarzane ma prawo wiedzieć, jakie dane podlegają przetwarzaniu, jak długo, komu się je udostępnia itd. Może w związku z tym zadać administratorowi pytanie dotyczące tej kwestii. Forma takiego pytania w zasadzie nie ma znaczenia, można poprosić o udzielenie odpowiedzi drogą mailową, telefonicznie, listownie. Administratorzy danych odpowiadają zazwyczaj drogą tożsamą z tą, jaką pytanie zostało zadane.

Treść żądania o dostęp do danych, czy uzyskania kopii nie jest ani przez RODO, ani przez inne przepisy narzucona. Należy skierować pytanie tak, aby nie było wątpliwości do kogo jest kierowane i sformułować tak, aby administrator wiedział czego dotyczy.

W obliczu sytuacji, w których administrator, na podstawie wysłanego przez nas zapytania, nie będzie miał stuprocentowej pewności, co do naszej tożsamości, należy liczyć się z tym, że zada nam dodatkowe pytanie pozwalające mu na ustalenie naszej tożsamości. Pamiętajmy, że takie działania służą ochronie nas i naszych danych osobowych i wskazują na stosowanie przez administratora środków ochrony danych.

                                                         

                                                              


Wzór wniosku o dostęp do danych znajdziesz tutaj: [link]

 

Polecane

Administrator systemów informatycznych. Rola w systemie

Administrator systemów informatycznych. Rola w systemie

W przepisach RODO próżno szukać regulacji dotyczącej Administratorów Systemów Informatycznych (ASI). Funkcja ASI występuje jednak w wielu przedsiębiorstwach i nie jest równoznaczna ani Administratorom Danych Osobowych ani Administratorom Bezpieczeństwa Informacji (czy też Inspektorom Ochrony Danych). Kim więc są ASI i jaką rolę pełnią w systemie ochrony danych osobowych?

Analiza i szacowanie ryzyka w RODO

Analiza i szacowanie ryzyka w RODO

Dyrektywa wymaga nie tylko stosowania procesu zarządzania ryzykiem zgodnego z RODO jako jednego z elementów ochrony danych osobowych, ale wprowadziła podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter ciągłego procesu.

Aplikacja dla Inspektora Ochrony Danych Osobowych

Aplikacja dla Inspektora Ochrony Danych Osobowych

Każdy kto podejmował się wdrożenie RODO w organizacji, nie zważywszy na jej skalę, wie jak dużym wyzwaniem jest zarządzanie dokumentacją. Wersjonowanie dokumentów, ich dystrybucja do wszystkich zainteresowanych, a także zbieranie informacji w efektywny sposób są niezwykle istotnym elementem sprawnie przeprowadzonego wdrożenia.

Popularne

Szkolenie RODO w przedsiębiorstwie - praktyczne aspekty

Szkolenie RODO w przedsiębiorstwie - praktyczne aspekty

Od 25 maja 2018 roku zaczną obowiązywać przepisy rozporządzenia o ochronie danych osobowych. Od tego dnia, każda organizacja będzie miałą obowiązek funkcjonować w ramach nowych procedur. Ilość zmian, które wprowadza RODO wymusza stworzenie zupełnie nowego systemu prawnego, na który trzeba odpowiednio przygotować swoją organizację oraz wszystkich jej pracowników.

Bezpłatne szkolenie z RODO

Bezpłatne szkolenie z RODO

Wiedząc jak ważną rolę w procesie przygotowawczym do wprowadzenia rozporządzenia o ochronie danych osobowych stanowi wiedza, pragniemy się z Państwem z nią podzielić, podczas bezpłatnego szkolenia RODO.

Chcesz wdrożyć RODO? Nie czekaj!

Wspieramy przedsiębiorców

Nasi konsultanci rozpoczęli wdrożenia RODO już wiele miesięcy przed 25 maja 2018 roku. Jako jedni z pierwszych opracowaliśmy procedury dotyczące nowych przepisów i wdrożyliśmy je w życie. Nowe przepisy, jeśli są rzeczywiście przestrzegane, w żaden sposób nie utrudniają prowadzenia działalności Twojej firmy.

Napisz do nas

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych katarzyna.muszynska@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363) przy ul. Grodziskiej 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych – Katarzyny Muszyńskiej na adres katarzyna.muszynska@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomośćwysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treścimarketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodnośćz prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz równieżprawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

Biofarm Fibar Group Apart Wykop.pl PhytoPharm Veolia Cuf-podatki Netguru GetHero Tesgas GPD Agency Golden Submarine Pixers

Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.