LexDigital

Osoba fizyczna – bohater RODO z szeregiem praw

Osoby fizyczne – czyli niepodważalni bohaterowie RODO – bohaterowie, ponieważ nie powinno ulegać wątpliwościom, że to właśnie ochrona ich danych osobowych była i jest głównym celem wszechobecnego RODO, czyli ogólnego rozporządzenia o ochronie danych osobowych.

Osoba fizyczna – bohater RODO z szeregiem praw

Zarówno jako przedsiębiorca przetwarzający dane osobowe, jak i podmiot takiego właśnie przetwarzania kluczowym jest poznanie praw i mechanizmów ich spełniania przez podmiot, który administruje tymi danymi. 

Polski organ nadzorczy, którym jest Urząd Ochrony Danych Osobowych zwrócił w swojej najnowszej publikacji uwagę na wagę problemu spełniania przez administratorów praw osób, a także coraz częstsze uniki informowania w pełni o możliwościach skorzystania z praw.

Zostało wskazane, że bardzo wiele napływających do Urzędu skarg dotyczy niezapewnienia osobom, których dane są przetwarzane odpowiednio przejrzystego kanału komunikacji wskazanego jako droga do realizacji praw osób, których dane dotyczą. Celem, który przyświeca administratorom, stosującym powyższe niecne sposoby zdezorientowania podmiotów danych jest uniknięcie odpowiedzialności za realizację skierowanych żądań. Niemniej jednak należy już na początku zaznaczyć, że uciekanie się do tego typu działań powoduje naruszenie fundamentalnych zasad RODO. Cytując jeden z motywów RODO: Należy przewidzieć procedury ułatwiające osobie, której dane dotyczą, wykonywanie praw przysługujących jej na mocy niniejszego rozporządzenia, w tym mechanizmy żądania – i gdy ma to zastosowanie bezpłatnego uzyskiwania – w szczególności dostępu do danych osobowych i ich sprostowania lub usunięcia oraz możliwości wykonywania prawa do sprzeciwu. Administrator powinien zapewnić możliwość wnoszenia odnośnych żądań także drogą elektroniczną, w szczególności, gdy dane osobowe są przetwarzane drogą elektroniczną. Administrator powinien być zobowiązany udzielić odpowiedzi na żądania osób, których dane dotyczą bez zbędnej zwłoki – najpóźniej w terminie miesiąca, a jeżeli nie zamierza spełnić takiego żądania – podać tego przyczyny.  

Żaden wniosek osoby o spełnienie przysługującego prawa nie może pozostać bez odpowiedzi – niezależnie czy jest ona pozytywna czy też negatywna. Każdy wniosek musi zostać opatrzony odpowiedzią Administratora danych osobowych wraz z wyjaśnieniem swojej decyzji.  

Możliwe konsekwencje dla niespełnienia żądania osoby, której dane dotyczą

Z uwagi na fakt, że świadomość konieczności ochrony danych osobowych zaczyna wzrastać, coraz więcej osób wie, jak poradzić sobie w sytuacji, gdy Administrator danych uporczywie odmawia wykonania żądania bez przyczyny lub unika udzielenia jakiejkolwiek odpowiedzi. 

Do Urzędów ochrony danych spływa coraz więcej skarg związanych z nieprzestrzeganiem przyjętych przepisów. Niewątpliwie spora część odnosi się do zaniechania przez Administratorów danych osobowych spełnienia wniosków osób o realizację praw wynikających z przepisów RODO. 

Na ten moment nie posiadamy informacji, aby nasz rodzimy organ nadzorczy nałożył karę na administratora, związaną z niespełnianiem praw osób. Znane są, jednakże wysokości sankcji nałożonych w innych krajach Unii Europejskiej, a pamiętać należy, że skoro przepisy są jednakowe dla wszystkich krajów członkowskich, to wysokość kar administracyjnych będzie również proporcjonalna za dane naruszenie. Dla przykładu węgierski odpowiednik Urzędu Ochrony Danych Osobowych ukarał grzywną w wysokości 1900 E, administratora, który nie spełnił żądania o dostęp do danych osobowych podmiotu, których dotyczyły dane (artykuł 15 RODO). Zaniechanie wynikające z tego samego artykułu kosztowało cypryjski szpital 5000 E, gdyż po złożeniu przez pacjenta wniosku o dostęp do swoich danych medycznych, administrator szpitala nie był w stanie spełnić żądania z powodu braku możliwości zidentyfikowania/zlokalizowania rzeczowej dokumentacji. Wymienione kwoty dotyczą naruszeń związanych z pojedynczą osobą – nietrudno wyobrazić sobie jak bardzo wzrosłyby w sytuacji naruszenia związanego z większą ilością osób. A należy zaznaczyć, że prawa osób, to tylko 8 z 99 artykułów RODO, na podstawie których organ nadzorczy może ukarać administratora danych osobowych. 

Wnioski o spełnienie praw osób przysługujących na kanwie przepisów RODO 

W tekście powyżej szczegółowo omówiona została odpowiedzialność administratora, który przetwarza dane osobowe oraz konsekwencje jakie niosą za sobą zaniechania. 

W poniższej części przyjrzymy się szczegółowo artykułom 15-18, 20-21 RODO, które to odnoszą się do praw osób, których dane dotyczą oraz przedstawimy szczegóły, o których warto pamiętać po otrzymaniu wniosku od podmiotu danych osobowych.

Artykuł 15 – Prawo dostępu przysługujące osobie, której dane dotyczą

Każdy podmiot danych ma możliwość uzyskania od administratora informacji potwierdzającej przetwarzanie danych osobowych oraz szeregu informacji związanych ze szczegółami przetwarzania tj.:

  • celach przetwarzania, do których administrator danych osobowych wykorzystuje rzeczowe dane, 
  • kategorie danych osobowych np. imię i nazwisko oraz adres, dane kontaktowe w postaci numeru telefonu oraz maila, 
  • informacje o odbiorcach, którym zostały lub zostaną ujawnione dane osobowe,
  • o okresie przez który administrator danych będzie przechowywał dane osobowe,
  • o przysługujących podmiotowi danych prawach.

Korzystając z prawa dostępu do danych podmiot danych zapewnia sobie niejako kontrolę nad swoimi danymi osobowymi, dlatego też informacje przekazane po otrzymaniu takiego wniosku powinny być bardziej szczegółowe niż te zawarte w obowiązku informacyjnym. 

Administrator mógłby odmówić spełnienia prawa dostępu tylko w przypadku, gdy podmiot danych żądałby podania informacji, które przekraczają zakres wskazany w artykule odnoszącym się do ww. prawa tj. art. 15 RODO.

Artykuł 15 ust. 3 – Prawo do otrzymania kopii danych

W momencie otrzymania potwierdzenia przetwarzania danych osobowych oraz uzyskania szczegółowych informacji wskazanych powyżej, osoba, której dane dotyczą ma prawo otrzymać kopię swoich danych osobowych. 

Zrealizowanie tego prawa wymaga od administratora szczegółowej weryfikacji osoby występującej z wnioskiem oraz opracowanie właściwego trybu postpowania w zależności od szczegółowości kierowanego wniosku. 

Pierwsza kopia danych jest zawsze bezpłatna, natomiast w sytuacji wniosków o kolejna kopię danych może zostać pobrana opłata w rozsądnej wysokości, wynikająca z kosztów administracyjnych. Zainteresowany musi zostać poinformowany o wysokości takich kosztów oraz sposobie ich uiszczenia.

Artykuł 16 – Prawo do sprostowania danych

Na podstawie tego artykułu osoba, której dane są przetwarzane ma prawo zarówno do sprostowania nieprawidłowych danych, jak i uzupełnienia danych niekompletnych.

Administrator oczywiście może odmówić sprostowania danych osobowych, w sytuacji, gdy podmiot danych twierdzi, że administrator przetwarza nieprawidłową informację np. o zdolności kredytowej.

Wniosek o sprostowanie danych nie powinien być natomiast spełniony, w sytuacji, gdy przekracza zakres, wobec którego administrator nie ma podstawy lub celu przetwarzania. 

Artykuł 17 – Prawo do usunięcia danych („prawo do bycia zapomianym”)

Prawo to musi zostać spełnione przez administratora bez zbędnej zwłoki, w sytuacji, gdy nie posiada on już żadnej ważnej przesłanki do legalnego przetwarzania danych osobowych. 

Ważną informacją dla administratora danych osobowych jest zastosowanie się do wniosku, tylko i wyłącznie dla danych, wobec których wygasła podstawa prawna przetwarzania. W odniesieniu do danych, które przetwarzane są na ważnej podstawie prawnej, wniosek ten nie obowiązuje.

Artykuł 18 – Prawo do ograniczenia przetwarzania

Jest to niejako prawo „wynikowe” wobec innych praw. 

Podmiot danych może skorzystać z prawa w sytuacji, gdy:

  • podważa prawidłowość przetwarzania,
  • istnienie ważnej podstawy prawnej, 
  • administrator nie potrzebuje już rzeczowych danych osobowych, ale są one niezbędne podmiotowi danych do obrony roszczeń lub ich dochodzenia,
  • osoba, której dane są przetwarzane wniosła sprzeciw wobec przetwarzania.

Administrator przed ograniczeniem przetwarzania jest zobowiązany do poinformowania podmiotu danych z odpowiednim wyprzedzeniem o takim zamiarze, aby zapewnić podmiotowi danych możliwość działań dążących do zabezpieczenia swoich interesów.

Artykuł 20 – Prawo do przenoszenia danych

Na wstępie należy zaznaczyć, że prawo to przysługuje wyłącznie w sytuacjach, gdy dane osobowe przetwarzane są na podstawie dobrowolnie wyrażonej zgody lub na podstawie zawartej z administratorem umowy w sposób zautomatyzowany. Jeśli administrator przetwarzając dane osobowe spełnia powyższe warunki, wówczas zobowiązany jest na wniosek osoby do przeniesienia (w powszechnie używanym formacie, nadającym się do odczytu maszynowego) danych do innego administratora danych osobowych, wskazanego we wniosku osoby.

Prawu podlegają wszystkie dane dostarczone przez podmiot danych, także przekazane przez określone zachowanie, natomiast nie podlegają dane opracowane przez administratora.

Przed udostępnieniem danych osobowych podmiotu, administrator zobowiązany jest do dokonania jego szczegółowej weryfikacji.

Artykuł 21 – Prawo do sprzeciwu

W sytuacji, gdy administrator danych osobowych przetwarza dane w oparciu o swój prawnie uzasadniony interes – wówczas może spodziewać się otrzymania wniosku o sprzeciw wobec takiego przetwarzania. 

Administrator nie powinien odnosić się do wniosku w trybie natychmiastowym, a dopiero po weryfikacji czy nadrzędne są prawnie uzasadnione interesy administratora czy prawa i wolności osoby. 

W sytuacji, gdy prawa osoby mają pierwszeństwo nad interesem administratora wówczas wniosek musi zostać zrealizowany. Inaczej jest w sytuacji, gdy po analizie dokonanej przez administratora to jego interesy okażą się nadrzędne, wówczas może on odmówić wypełnienia takiego wniosku. 

Prawo do wniesienia skargi do organu nadzorczego

W przeciwieństwie do praw wymienionych powyżej, skarga kierowana jest wprost do Prezesa Urzędu Ochrony Danych Osobowych, a nie do administratora. 

Administrator danych osobowych jest w tym przypadku „tematem” prawa.

Polecane

Administrator systemów informatycznych. Rola w systemie

Administrator systemów informatycznych. Rola w systemie

W przepisach RODO próżno szukać regulacji dotyczącej Administratorów Systemów Informatycznych (ASI). Funkcja ASI występuje jednak w wielu przedsiębiorstwach i nie jest równoznaczna ani Administratorom Danych Osobowych ani Administratorom Bezpieczeństwa Informacji (czy też Inspektorom Ochrony Danych). Kim więc są ASI i jaką rolę pełnią w systemie ochrony danych osobowych?

Analiza i szacowanie ryzyka w RODO

Analiza i szacowanie ryzyka w RODO

Dyrektywa wymaga nie tylko stosowania procesu zarządzania ryzykiem zgodnego z RODO jako jednego z elementów ochrony danych osobowych, ale wprowadziła podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter ciągłego procesu.

Aplikacja dla Inspektora Ochrony Danych Osobowych

Aplikacja dla Inspektora Ochrony Danych Osobowych

Każdy kto podejmował się wdrożenie RODO w organizacji, nie zważywszy na jej skalę, wie jak dużym wyzwaniem jest zarządzanie dokumentacją. Wersjonowanie dokumentów, ich dystrybucja do wszystkich zainteresowanych, a także zbieranie informacji w efektywny sposób są niezwykle istotnym elementem sprawnie przeprowadzonego wdrożenia.

Popularne

Szkolenie RODO w przedsiębiorstwie - praktyczne aspekty

Szkolenie RODO w przedsiębiorstwie - praktyczne aspekty

Od 25 maja 2018 roku zaczną obowiązywać przepisy rozporządzenia o ochronie danych osobowych. Od tego dnia, każda organizacja będzie miałą obowiązek funkcjonować w ramach nowych procedur. Ilość zmian, które wprowadza RODO wymusza stworzenie zupełnie nowego systemu prawnego, na który trzeba odpowiednio przygotować swoją organizację oraz wszystkich jej pracowników.

Bezpłatne szkolenie z RODO

Bezpłatne szkolenie z RODO

Wiedząc jak ważną rolę w procesie przygotowawczym do wprowadzenia rozporządzenia o ochronie danych osobowych stanowi wiedza, pragniemy się z Państwem z nią podzielić, podczas bezpłatnego szkolenia RODO.

Chcesz wdrożyć RODO? Nie czekaj!

Wspieramy przedsiębiorców

Nasi konsultanci rozpoczęli wdrożenia RODO już wiele miesięcy przed 25 maja 2018 roku. Jako jedni z pierwszych opracowaliśmy procedury dotyczące nowych przepisów i wdrożyliśmy je w życie. Nowe przepisy, jeśli są rzeczywiście przestrzegane, w żaden sposób nie utrudniają prowadzenia działalności Twojej firmy.

Napisz do nas

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych katarzyna.muszynska@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363) przy ul. Grodziskiej 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych – Katarzyny Muszyńskiej na adres katarzyna.muszynska@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomośćwysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treścimarketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodnośćz prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz równieżprawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

Biofarm Fibar Group Apart Wykop.pl PhytoPharm Veolia Cuf-podatki Netguru GetHero Tesgas GPD Agency Golden Submarine Pixers

Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.