RODO: Jak uzyskać dostęp do swoich danych osobowych? – wzór wniosku
Realizacja praw osób, których dane dotyczą zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych RODO).
Prawo dostępu do danych i otrzymania kopii danych – art. 15 RODO
Zgodnie z ogólnym rozporządzeniem o ochronie danych (RODO) administrator danych jest zobowiązany do legalnego przetwarzania danych osobowych oraz do realizacji praw osób, których dane dotyczą. Nie tylko musi prawa te realizować, ale również wykazać, że je wypełnia.
Nie sposób odnieść się do spełniania praw osób, w tym na podstawie art. 15 RODO bez wyjaśnienia na jakich podstawach prawnych w ogóle przetwarzanie można oprzeć.
Z punktu widzenia zgodności przetwarzania z prawem niezwykle ważne jest prawidłowe określenie przez administratora podstawy przetwarzania danych osobowych. Nie zawsze niezbędna jest zgoda osoby, by móc przetwarzać jej dane. Jeśli administrator posiada podstawę prawną do przetwarzania wynikającą wprost z przepisów, np. wystawia fakturę osobie fizycznej, wysyła towar pocztą, to wymaganie zgody na przetwarzanie danych w tym celu jest niezasadne. Częstym błędem administratorów jest stosowanie metody „zgoda na wszelki wypadek”. O zgodę można prosić tylko w przypadku, kiedy nie zachodzą inne przesłanki zezwalające na przetwarzanie danych.
Mówiąc o zgodzie należy mieć na uwadze, że godnie z RODO musi ona spełniać pewne cechy, aby była skuteczna. Zgoda to dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba fizyczna, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych. W przypadku ewentualnych sporów, co do tego czy zgoda została przez osobę fizyczną udzielona i czy można ją uznać za skuteczną, to administrator danych musi udowodnić, że tak właśnie było.
Należy również pamiętać, że jeżeli administrator pobiera od nas zgodę w celu przetwarzania naszych danych dla różnych celów powinien pobrać odrębną zgodę dla każdego z tych celów. Brak zgody lub zebranie nieważnych zgód może oznaczać odpowiedzialność finansową administratora – nawet 20 mln euro kary lub 4% całkowitego rocznego światowego obrotu firmy z poprzedniego roku obrotowego.
O podstawach prawnych przetwarzania danych administrator powinien poinformować osobą fizyczną w momencie spełniania tzw. obowiązku informacyjnego, a więc w momencie pobierania od niego danych. Obowiązek ten został nałożony przez administratorów danych w art. 13 RODO, w którym, oprócz podstaw przetwarzania danych administrator musi podać jeszcze inne informacje związane z przetwarzaniem przez siebie danych. Należą do nich m.in.:
- dane administratora, jego dane kontaktowe,
- dane inspektora ochrony danych (jeżeli został powołany),
- cele przetwarzania danych,
- czas przetwarzania danych,
- informacje o odbiorcach danych,
- informacje o prawie wniesienia skargi do organu nadzorczego i inne.
Podstawy prawne przetwarzania danych osób fizycznych wymienione są w art. 6 ust. 1 RODO i, oprócz zgody pobieranej np. w celu wysyłania newslettera, wskazują następujące sytuacje, które uprawniają administratora danych do przetwarzania danych:
- kiedy administrator wykonuje umowę lub czynności poprzedzające zawarcie tej umowy, a przetwarzanie danych osoby będącej stroną umowy jest niezbędne, np. konieczne jest pobranie imienia i nazwiska oraz adresu w celu wysyłki zakupionego towaru,
- kiedy przepisy prawa zobowiązują administratora do przetwarzania danych osobowych, np. przepisy prawa podatkowego nakazują przechowywanie faktur i dokumentów, które mogą zawierać dane osobowe,
- kiedy przetwarzanie danych jest niezbędne do ochrony interesów osoby, której dane dotyczą lub innej osoby fizycznej, np. kiedy przez przypadek znajdziemy się w posiadaniu dokumentów osoby fizycznej, możemy się z nią bez przeszkód skontaktować – chronimy jej interesy,
- kiedy przetwarzanie danych jest niezbędne do wykonywania zadań publicznych, np. urzędy nie muszą pytać osób o zgodę na przetwarzanie danych, wydając decyzje przyznające prawo do zasiłku,
- kiedy uzasadniony interes administratora danych osobowych wymaga przetwarzania danych i nie narusza to praw osób fizycznych do prywatności, np. monitoring na parkingu strzeżonym.
Mówiąc o podstawach przetwarzania danych osobowych należy wspomnieć o podziale tych danych w unijnym rozporządzeniu (RODO) na dane zwykłe oraz szczególne kategorie danych, do których zaliczają się:
- pochodzenie rasowe lub etniczne,
- poglądy polityczne,
- przekonania religijne lub światopoglądowe,
- przynależność do związków zawodowych,
- dane genetyczne, dane biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej,
- dane dotyczące zdrowia, seksualności lub orientacji seksualnej.
Co do zasady unijne rozporządzenia o ochronie danych osobowych zabrania przetwarzania wymienionych wyżej szczególnych kategorii danych. Art. 9 ust. 2 RODO wskazuje jednak wyjątki, które na takie przetwarzanie zezwalają.
Osoba fizyczna musi mieć zatem świadomość, że szczególne kategorie jej danych mogą być przetwarzane w następujących sytuacjach:
- gdy wyraziła zgodę na przetwarzanie takich danych,
- gdy przetwarzanie związane jest z realizacją przepisów prawa pracy, dotyczących zabezpieczenia społecznego i ochrony socjalnej, np. pracodawca nie potrzebuje zgody pracownika na przetwarzanie danych zawartych w elektronicznych drukach L4,
- gdy przetwarzanie związane jest z ochroną interesów osoby fizycznej (istotnych dla życia, np. zdrowotnych, majątkowych),
- gdy przetwarzanie dotyczy wykonywania działalności o celach politycznych, światopoglądowych, religijnych czy związkowych, np. partia polityczna nie musi prosić jej członków o zgodę na przetwarzanie szczególnej kategorii danych, jaką są poglądy polityczne,
- gdy dane upublicznia osoba, której te dane dotyczą – jeśli ktoś ogłosi np. na portalu społecznościowym swoją orientację seksualną albo chorobę, na którą cierpi,
- gdy przetwarzanie dotyczy ochrony roszczeń, sprawowania wymiaru sprawiedliwości przez sądy, np. sąd nie pyta o zgodę na przetwarzanie danych przestępców,
- gdy przetwarzanie związane jest z realizacją zadań z zakresu profilaktyki zdrowotnej i medycyny pracy, diagnozy medycznej, oceny zdolności do pracy,
- gdy przetwarzanie odbywa się w interesie publicznym w dziedzinie zdrowia publicznego, np. działania organów państwowych czy jednostek medycznych zapobiegające epidemiom,
- gdy przetwarzanie danych dotyczy archiwizacji danych w interesie publicznym, np. organy państwowe, uczelnie czy szpitale nie pytają o zgodę, chcąc zarchiwizować dokumenty zawierające dane osobowe szczególnych kategorii,
- gdy przetwarzanie danych odbywa się w celach naukowych, historycznych lub statystycznych – osoby piszące prace naukowe nie muszą pytać o zgodę na przetwarzanie dokumentacji zawierającej szczególne kategorie danych pod warunkiem, że zebrane dane przedstawione będą w tej pracy w sposób zanonimizowany, np. „50 osób w mieście X zachorowało na ospę”.
Osoba, której dane są przetwarzane przez administratora lub procesora, na mocy ogólnego rozporządzenia o ochronie danych (RODO) zyskała wiele nowych praw. Artykuł 15 RODO uprawnia taką osobę (tzw. podmiot danych) m.in. do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli tak, to jest uprawniona do uzyskania dostępu do nich oraz takich informacji, jak np.:
- cele przetwarzania,
- kategorie przetwarzanych danych osobowych,
- informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione,
- planowany okres przechowywania danych osobowych (w miarę możliwości),
- informacje o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania,
- informacje o prawie wniesienia skargi do organu nadzorczego,
- jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą – wszelkie dostępne informacje o ich źródle,
- informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu.
W jaki sposób mogę dowiedzieć się czy moje dane są przetwarzane, jakie są to dane, jak długo będą przechowywane itd?
Każda osoba fizyczna, której dane są przetwarzane ma prawo wiedzieć, jakie dane podlegają przetwarzaniu, jak długo, komu się je udostępnia itd. Może w związku z tym zadać administratorowi pytanie dotyczące tej kwestii. Forma takiego pytania w zasadzie nie ma znaczenia, można poprosić o udzielenie odpowiedzi drogą mailową, telefonicznie, listownie. Administratorzy danych odpowiadają zazwyczaj drogą tożsamą z tą, jaką pytanie zostało zadane.
Treść żądania o dostęp do danych, czy uzyskania kopii nie jest ani przez RODO, ani przez inne przepisy narzucona. Należy skierować pytanie tak, aby nie było wątpliwości do kogo jest kierowane i sformułować tak, aby administrator wiedział czego dotyczy.
W obliczu sytuacji, w których administrator, na podstawie wysłanego przez nas zapytania, nie będzie miał stuprocentowej pewności, co do naszej tożsamości, należy liczyć się z tym, że zada nam dodatkowe pytanie pozwalające mu na ustalenie naszej tożsamości. Pamiętajmy, że takie działania służą ochronie nas i naszych danych osobowych i wskazują na stosowanie przez administratora środków ochrony danych.
Wzór wniosku o dostęp do danych znajdziesz tutaj - klik.
Zapoznaj się z treścią ustawy: Artykuł 15 RODO. Prawo dostępu przysługujące osobie, której dane dotyczą
1. Osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz następujących informacji:
a) cele przetwarzania;
b) kategorie odnośnych danych osobowych;
c) informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych;
d) w miarę możliwości planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
e) informacje o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania;
f) informacje o prawie wniesienia skargi do organu nadzorczego;
g) jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą – wszelkie dostępne informacje o ich źródle;
h) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
2. Jeżeli dane osobowe są przekazywane do państwa trzeciego lub organizacji międzynarodowej, osoba, której dane dotyczą, ma prawo zostać poinformowana o odpowiednich zabezpieczeniach, o których mowa w art. 46, związanych z przekazaniem.
3. Administrator dostarcza osobie, której dane dotyczą, kopię danych osobowych podlegających przetwarzaniu. Za wszelkie kolejne kopie, o które zwróci się osoba, której dane dotyczą, administrator może pobrać opłatę w rozsądnej wysokości wynikającej z kosztów administracyjnych. Jeżeli osoba, której dane dotyczą, zwraca się o kopię drogą elektroniczną i jeżeli nie zaznaczy inaczej, informacji udziela się powszechnie stosowaną drogą elektroniczną.
4. Prawo do uzyskania kopii, o której mowa w ust. 3, nie może niekorzystnie wpływać na prawa i wolności innych.