LexDigital

RODO: Jak uzyskać dostęp do swoich danych osobowych? – wzór wniosku

Realizacja praw osób, których dane dotyczą zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych RODO).

RODO: Jak uzyskać dostęp do swoich danych osobowych? – wzór wniosku

Prawo dostępu do danych i otrzymania kopii danych – art. 15 RODO

Zgodnie z ogólnym rozporządzeniem o ochronie danych (RODO) administrator danych jest zobowiązany do legalnego przetwarzania danych osobowych oraz do realizacji praw osób, których dane dotyczą. Nie tylko musi prawa te realizować, ale również wykazać, że je wypełnia. 

Nie sposób odnieść się do spełniania praw osób, w tym na podstawie art. 15 RODO bez wyjaśnienia na jakich podstawach prawnych w ogóle przetwarzanie można oprzeć.

Z punktu widzenia zgodności przetwarzania z prawem niezwykle ważne jest prawidłowe określenie przez administratora podstawy przetwarzania danych osobowych. Nie zawsze niezbędna jest zgoda osoby, by móc przetwarzać jej dane. Jeśli administrator posiada podstawę prawną do przetwarzania wynikającą wprost z przepisów, np. wystawia fakturę osobie fizycznej, wysyła towar pocztą, to wymaganie zgody na przetwarzanie danych w tym celu jest niezasadne. Częstym błędem administratorów jest stosowanie metody „zgoda na wszelki wypadek”. O zgodę można prosić tylko w przypadku, kiedy nie zachodzą inne przesłanki zezwalające na przetwarzanie danych. 

Mówiąc o zgodzie należy mieć na uwadze, że godnie z RODO musi ona spełniać pewne cechy, aby była skuteczna. Zgoda to dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba fizyczna, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych. W przypadku ewentualnych sporów, co do tego czy zgoda została przez osobę fizyczną udzielona i czy można ją uznać za skuteczną, to administrator danych musi udowodnić, że tak właśnie było.

Należy również pamiętać, że jeżeli administrator pobiera od nas zgodę w celu przetwarzania naszych danych dla różnych celów powinien pobrać odrębną zgodę dla każdego z tych celów. Brak zgody lub zebranie nieważnych zgód może oznaczać odpowiedzialność finansową administratora – nawet 20 mln euro kary lub 4% całkowitego rocznego światowego obrotu firmy z poprzedniego roku obrotowego.

O podstawach prawnych przetwarzania danych administrator powinien poinformować osobą fizyczną w momencie spełniania tzw. obowiązku informacyjnego, a więc w momencie pobierania od niego danych. Obowiązek ten został nałożony przez administratorów danych w art. 13 RODO, w którym, oprócz podstaw przetwarzania danych administrator musi podać jeszcze inne informacje związane z przetwarzaniem przez siebie danych. Należą do nich m.in.:

  • dane administratora, jego dane kontaktowe,
  • dane inspektora ochrony danych (jeżeli został powołany),
  • cele przetwarzania danych,
  • czas przetwarzania danych,
  • informacje o odbiorcach danych,
  • informacje o prawie wniesienia skargi do organu nadzorczego i inne.

Podstawy prawne przetwarzania danych osób fizycznych wymienione są w art. 6 ust. 1 RODO i, oprócz zgody pobieranej np. w celu wysyłania newslettera, wskazują następujące sytuacje, które uprawniają administratora danych do przetwarzania danych: 

- kiedy administrator wykonuje umowę lub czynności poprzedzające zawarcie tej umowy, a przetwarzanie danych osoby będącej stroną umowy jest niezbędne, np. konieczne jest pobranie imienia i nazwiska oraz adresu w celu wysyłki zakupionego towaru,

- kiedy przepisy prawa zobowiązują administratora do przetwarzania danych osobowych, np. przepisy prawa podatkowego nakazują przechowywanie faktur i dokumentów, które mogą zawierać dane osobowe,

- kiedy przetwarzanie danych jest niezbędne do ochrony interesów osoby, której dane dotyczą lub innej osoby fizycznej, np. kiedy przez przypadek znajdziemy się w posiadaniu dokumentów osoby fizycznej, możemy się z nią bez przeszkód skontaktować – chronimy jej interesy,

- kiedy przetwarzanie danych jest niezbędne do wykonywania zadań publicznych, np. urzędy nie muszą pytać osób o zgodę na przetwarzanie danych, wydając decyzje przyznające prawo do zasiłku,

- kiedy uzasadniony interes administratora danych osobowych wymaga przetwarzania danych i nie narusza to praw osób fizycznych do prywatności, np. monitoring na parkingu strzeżonym.

Mówiąc o podstawach przetwarzania danych osobowych należy wspomnieć o podziale tych danych w unijnym rozporządzeniu (RODO) na dane zwykłe oraz szczególne kategorie danych, do których zaliczają się: 

  • pochodzenie rasowe lub etniczne, 
  • poglądy polityczne,
  • przekonania religijne lub światopoglądowe,
  • przynależność do związków zawodowych,
  • dane genetyczne, dane biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej,
  • dane dotyczące zdrowia, seksualności lub orientacji seksualnej.

Co do zasady unijne rozporządzenia o ochronie danych osobowych zabrania przetwarzania wymienionych wyżej szczególnych kategorii danych. Art. 9 ust. 2 RODO wskazuje jednak wyjątki, które na takie przetwarzanie zezwalają. 

Osoba fizyczna musi mieć zatem świadomość, że szczególne kategorie jej danych mogą być przetwarzane w następujących sytuacjach:

  • gdy wyraziła zgodę na przetwarzanie takich danych, 
  • gdy przetwarzanie związane jest z realizacją przepisów prawa pracy, dotyczących zabezpieczenia społecznego i ochrony socjalnej, np. pracodawca nie potrzebuje zgody pracownika na przetwarzanie danych zawartych w elektronicznych drukach L4,
  • gdy przetwarzanie związane jest z ochroną interesów osoby fizycznej (istotnych dla życia, np. zdrowotnych, majątkowych),
  • gdy przetwarzanie dotyczy wykonywania działalności o celach politycznych, światopoglądowych, religijnych czy związkowych, np. partia polityczna nie musi prosić jej członków o zgodę na przetwarzanie szczególnej kategorii danych, jaką są poglądy polityczne,
  • gdy dane upublicznia osoba, której te dane dotyczą – jeśli ktoś ogłosi np. na portalu społecznościowym swoją orientację seksualną albo chorobę, na którą cierpi,
  • gdy przetwarzanie dotyczy ochrony roszczeń, sprawowania wymiaru sprawiedliwości przez sądy, np. sąd nie pyta o zgodę na przetwarzanie danych przestępców,
  • gdy przetwarzanie związane jest z realizacją zadań z zakresu profilaktyki zdrowotnej i medycyny pracy, diagnozy medycznej, oceny zdolności do pracy,
  • gdy przetwarzanie odbywa się w interesie publicznym w dziedzinie zdrowia publicznego, np. działania organów państwowych czy jednostek medycznych zapobiegające epidemiom,
  • gdy przetwarzanie danych dotyczy archiwizacji danych w interesie publicznym, np. organy państwowe, uczelnie czy szpitale nie pytają o zgodę, chcąc zarchiwizować dokumenty zawierające dane osobowe szczególnych kategorii,
  • gdy przetwarzanie danych odbywa się w celach naukowych, historycznych lub statystycznych – osoby piszące prace naukowe nie muszą pytać o zgodę na przetwarzanie dokumentacji zawierającej szczególne kategorie danych pod warunkiem, że zebrane dane przedstawione będą w tej pracy w sposób zanonimizowany, np. „50 osób w mieście X zachorowało na ospę”.

 

Osoba, której dane są przetwarzane przez administratora lub procesora, na mocy ogólnego rozporządzenia o ochronie danych (RODO) zyskała wiele nowych praw. Artykuł 15 RODO uprawnia taką osobę (tzw. podmiot danych) m.in. do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli tak, to jest uprawniona do uzyskania dostępu do nich oraz takich informacji, jak np.:

  • cele przetwarzania,
  • kategorie przetwarzanych danych osobowych,
  • informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione,
  • planowany okres przechowywania danych osobowych (w miarę możliwości),
  • informacje o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania,
  • informacje o prawie wniesienia skargi do organu nadzorczego,
  • jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą – wszelkie dostępne informacje o ich źródle,
  • informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu.


W jaki sposób mogę dowiedzieć się czy moje dane są przetwarzane, jakie są to dane, jak długo będą przechowywane itd?

Każda osoba fizyczna, której dane są przetwarzane ma prawo wiedzieć, jakie dane podlegają przetwarzaniu, jak długo, komu się je udostępnia itd. Może w związku z tym zadać administratorowi pytanie dotyczące tej kwestii. Forma takiego pytania w zasadzie nie ma znaczenia, można poprosić o udzielenie odpowiedzi drogą mailową, telefonicznie, listownie. Administratorzy danych odpowiadają zazwyczaj drogą tożsamą z tą, jaką pytanie zostało zadane.

Treść żądania o dostęp do danych, czy uzyskania kopii nie jest ani przez RODO, ani przez inne przepisy narzucona. Należy skierować pytanie tak, aby nie było wątpliwości do kogo jest kierowane i sformułować tak, aby administrator wiedział czego dotyczy.

W obliczu sytuacji, w których administrator, na podstawie wysłanego przez nas zapytania, nie będzie miał stuprocentowej pewności, co do naszej tożsamości, należy liczyć się z tym, że zada nam dodatkowe pytanie pozwalające mu na ustalenie naszej tożsamości. Pamiętajmy, że takie działania służą ochronie nas i naszych danych osobowych i wskazują na stosowanie przez administratora środków ochrony danych.

                                                         

                                                              


Wzór wniosku o dostęp do danych znajdziesz tutaj - klik.

 

Polecane

Czy compliance officer może być inspektorem ochrony danych?

Czy compliance officer może być inspektorem ochrony danych?

25 maja 2020 roku miną 2 lata odkąd obowiązują wymogi ogólnego rozporządzenia o ochronie danych osobowych (RODO). Funkcja Inspektora Ochrony Danych (IOD) oraz jego zadania zostały dość jasno określone w rozporządzeniu i wydaje się, że po 24 miesiącach funkcjonowania RODO wszystko powinno być jasne. Skąd zatem tyle wątpliwości dotyczących łączenia stanowiska IOD z innymi obowiązkami? I czy możliwe jest łączenie funkcji IOD ze stanowiskiem compliance officera?

Popularne

Wdrożenie – dostosowanie organizacji do określonych wytycznych

Wdrożenie – dostosowanie organizacji do określonych wytycznych

Wdrożenie zasad to jeden z najważniejszych, ale i najtrudniejszych etapów koniecznych do przeprowadzenia na drodze do uzyskania zgodności z wybranymi standardami czy przepisami prawa. Ustanowione zasady musząbyćdostosowane do specyfiki organizacji, a ich wprowadzanie powinno być odpowiednio zaplanowane i musi uwzględniać wiele aspektów począwszy od ustalenia niezbędnych zasobów, a kończąc na zbudowaniu świadomości pracowników.

Konsultacje i wsparcie merytoryczne zespołu specjalistów

Konsultacje i wsparcie merytoryczne zespołu specjalistów

Każdywdrożony system jest żywy i ewoluuje wraz z rozwojem przedsiębiorstwa, wprowadzaniem kolejnych zmian w procesach czy wykorzystywanych narzędziach. Zmianom ulegająrównież wytyczne w stosunku do których wprowadzane były zmiany. Bardzo często pewne sytuacje osobom na co dzień nie zajmującymsiętematyką ochrony danych czy szeroko rozumianego bezpieczeństwa informacji sprawiają trudności, w szczególności,że wiele przepisów jest bardzo ogólnych, trudnych

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

Biofarm Fibar Group Apart Wykop.pl PhytoPharm Veolia Cuf-podatki Netguru GetHero Tesgas GPD Agency Golden Submarine Pixers Pearson UEP

Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.