LexDigital

Osoba fizyczna – bohater RODO z szeregiem praw

Osoby fizyczne – czyli niepodważalni bohaterowie RODO – bohaterowie, ponieważ nie powinno ulegać wątpliwościom, że to właśnie ochrona ich danych osobowych była i jest głównym celem wszechobecnego RODO, czyli ogólnego rozporządzenia o ochronie danych osobowych.

Osoba fizyczna – bohater RODO z szeregiem praw

Zarówno jako przedsiębiorca przetwarzający dane osobowe, jak i podmiot takiego właśnie przetwarzania kluczowym jest poznanie praw i mechanizmów ich spełniania przez podmiot, który administruje tymi danymi. 

Polski organ nadzorczy, którym jest Urząd Ochrony Danych Osobowych zwrócił w swojej najnowszej publikacji uwagę na wagę problemu spełniania przez administratorów praw osób, a także coraz częstsze uniki informowania w pełni o możliwościach skorzystania z praw.

Zostało wskazane, że bardzo wiele napływających do Urzędu skarg dotyczy niezapewnienia osobom, których dane są przetwarzane odpowiednio przejrzystego kanału komunikacji wskazanego jako droga do realizacji praw osób, których dane dotyczą. Celem, który przyświeca administratorom, stosującym powyższe niecne sposoby zdezorientowania podmiotów danych jest uniknięcie odpowiedzialności za realizację skierowanych żądań. Niemniej jednak należy już na początku zaznaczyć, że uciekanie się do tego typu działań powoduje naruszenie fundamentalnych zasad RODO. Cytując jeden z motywów RODO: Należy przewidzieć procedury ułatwiające osobie, której dane dotyczą, wykonywanie praw przysługujących jej na mocy niniejszego rozporządzenia, w tym mechanizmy żądania – i gdy ma to zastosowanie bezpłatnego uzyskiwania – w szczególności dostępu do danych osobowych i ich sprostowania lub usunięcia oraz możliwości wykonywania prawa do sprzeciwu. Administrator powinien zapewnić możliwość wnoszenia odnośnych żądań także drogą elektroniczną, w szczególności, gdy dane osobowe są przetwarzane drogą elektroniczną. Administrator powinien być zobowiązany udzielić odpowiedzi na żądania osób, których dane dotyczą bez zbędnej zwłoki – najpóźniej w terminie miesiąca, a jeżeli nie zamierza spełnić takiego żądania – podać tego przyczyny.  

Żaden wniosek osoby o spełnienie przysługującego prawa nie może pozostać bez odpowiedzi – niezależnie czy jest ona pozytywna czy też negatywna. Każdy wniosek musi zostać opatrzony odpowiedzią Administratora danych osobowych wraz z wyjaśnieniem swojej decyzji.  

Możliwe konsekwencje dla niespełnienia żądania osoby, której dane dotyczą

Z uwagi na fakt, że świadomość konieczności ochrony danych osobowych zaczyna wzrastać, coraz więcej osób wie, jak poradzić sobie w sytuacji, gdy Administrator danych uporczywie odmawia wykonania żądania bez przyczyny lub unika udzielenia jakiejkolwiek odpowiedzi. 

Do Urzędów ochrony danych spływa coraz więcej skarg związanych z nieprzestrzeganiem przyjętych przepisów. Niewątpliwie spora część odnosi się do zaniechania przez Administratorów danych osobowych spełnienia wniosków osób o realizację praw wynikających z przepisów RODO. 

Na ten moment nie posiadamy informacji, aby nasz rodzimy organ nadzorczy nałożył karę na administratora, związaną z niespełnianiem praw osób. Znane są, jednakże wysokości sankcji nałożonych w innych krajach Unii Europejskiej, a pamiętać należy, że skoro przepisy są jednakowe dla wszystkich krajów członkowskich, to wysokość kar administracyjnych będzie również proporcjonalna za dane naruszenie. Dla przykładu węgierski odpowiednik Urzędu Ochrony Danych Osobowych ukarał grzywną w wysokości 1900 E, administratora, który nie spełnił żądania o dostęp do danych osobowych podmiotu, których dotyczyły dane (artykuł 15 RODO). Zaniechanie wynikające z tego samego artykułu kosztowało cypryjski szpital 5000 E, gdyż po złożeniu przez pacjenta wniosku o dostęp do swoich danych medycznych, administrator szpitala nie był w stanie spełnić żądania z powodu braku możliwości zidentyfikowania/zlokalizowania rzeczowej dokumentacji. Wymienione kwoty dotyczą naruszeń związanych z pojedynczą osobą – nietrudno wyobrazić sobie jak bardzo wzrosłyby w sytuacji naruszenia związanego z większą ilością osób. A należy zaznaczyć, że prawa osób, to tylko 8 z 99 artykułów RODO, na podstawie których organ nadzorczy może ukarać administratora danych osobowych. 

Wnioski o spełnienie praw osób przysługujących na kanwie przepisów RODO 

W tekście powyżej szczegółowo omówiona została odpowiedzialność administratora, który przetwarza dane osobowe oraz konsekwencje jakie niosą za sobą zaniechania. 

W poniższej części przyjrzymy się szczegółowo artykułom 15-18, 20-21 RODO, które to odnoszą się do praw osób, których dane dotyczą oraz przedstawimy szczegóły, o których warto pamiętać po otrzymaniu wniosku od podmiotu danych osobowych.

Artykuł 15 – Prawo dostępu przysługujące osobie, której dane dotyczą

Każdy podmiot danych ma możliwość uzyskania od administratora informacji potwierdzającej przetwarzanie danych osobowych oraz szeregu informacji związanych ze szczegółami przetwarzania tj.:

  • celach przetwarzania, do których administrator danych osobowych wykorzystuje rzeczowe dane, 
  • kategorie danych osobowych np. imię i nazwisko oraz adres, dane kontaktowe w postaci numeru telefonu oraz maila, 
  • informacje o odbiorcach, którym zostały lub zostaną ujawnione dane osobowe,
  • o okresie przez który administrator danych będzie przechowywał dane osobowe,
  • o przysługujących podmiotowi danych prawach.

Korzystając z prawa dostępu do danych podmiot danych zapewnia sobie niejako kontrolę nad swoimi danymi osobowymi, dlatego też informacje przekazane po otrzymaniu takiego wniosku powinny być bardziej szczegółowe niż te zawarte w obowiązku informacyjnym. 

Administrator mógłby odmówić spełnienia prawa dostępu tylko w przypadku, gdy podmiot danych żądałby podania informacji, które przekraczają zakres wskazany w artykule odnoszącym się do ww. prawa tj. art. 15 RODO.

Artykuł 15 ust. 3 – Prawo do otrzymania kopii danych

W momencie otrzymania potwierdzenia przetwarzania danych osobowych oraz uzyskania szczegółowych informacji wskazanych powyżej, osoba, której dane dotyczą ma prawo otrzymać kopię swoich danych osobowych. 

Zrealizowanie tego prawa wymaga od administratora szczegółowej weryfikacji osoby występującej z wnioskiem oraz opracowanie właściwego trybu postpowania w zależności od szczegółowości kierowanego wniosku. 

Pierwsza kopia danych jest zawsze bezpłatna, natomiast w sytuacji wniosków o kolejna kopię danych może zostać pobrana opłata w rozsądnej wysokości, wynikająca z kosztów administracyjnych. Zainteresowany musi zostać poinformowany o wysokości takich kosztów oraz sposobie ich uiszczenia.

Artykuł 16 – Prawo do sprostowania danych

Na podstawie tego artykułu osoba, której dane są przetwarzane ma prawo zarówno do sprostowania nieprawidłowych danych, jak i uzupełnienia danych niekompletnych.

Administrator oczywiście może odmówić sprostowania danych osobowych, w sytuacji, gdy podmiot danych twierdzi, że administrator przetwarza nieprawidłową informację np. o zdolności kredytowej.

Wniosek o sprostowanie danych nie powinien być natomiast spełniony, w sytuacji, gdy przekracza zakres, wobec którego administrator nie ma podstawy lub celu przetwarzania. 

Artykuł 17 – Prawo do usunięcia danych („prawo do bycia zapomianym”)

Prawo to musi zostać spełnione przez administratora bez zbędnej zwłoki, w sytuacji, gdy nie posiada on już żadnej ważnej przesłanki do legalnego przetwarzania danych osobowych. 

Ważną informacją dla administratora danych osobowych jest zastosowanie się do wniosku, tylko i wyłącznie dla danych, wobec których wygasła podstawa prawna przetwarzania. W odniesieniu do danych, które przetwarzane są na ważnej podstawie prawnej, wniosek ten nie obowiązuje.

Artykuł 18 – Prawo do ograniczenia przetwarzania

Jest to niejako prawo „wynikowe” wobec innych praw. 

Podmiot danych może skorzystać z prawa w sytuacji, gdy:

  • podważa prawidłowość przetwarzania,
  • istnienie ważnej podstawy prawnej, 
  • administrator nie potrzebuje już rzeczowych danych osobowych, ale są one niezbędne podmiotowi danych do obrony roszczeń lub ich dochodzenia,
  • osoba, której dane są przetwarzane wniosła sprzeciw wobec przetwarzania.

Administrator przed ograniczeniem przetwarzania jest zobowiązany do poinformowania podmiotu danych z odpowiednim wyprzedzeniem o takim zamiarze, aby zapewnić podmiotowi danych możliwość działań dążących do zabezpieczenia swoich interesów.

Artykuł 20 – Prawo do przenoszenia danych

Na wstępie należy zaznaczyć, że prawo to przysługuje wyłącznie w sytuacjach, gdy dane osobowe przetwarzane są na podstawie dobrowolnie wyrażonej zgody lub na podstawie zawartej z administratorem umowy w sposób zautomatyzowany. Jeśli administrator przetwarzając dane osobowe spełnia powyższe warunki, wówczas zobowiązany jest na wniosek osoby do przeniesienia (w powszechnie używanym formacie, nadającym się do odczytu maszynowego) danych do innego administratora danych osobowych, wskazanego we wniosku osoby.

Prawu podlegają wszystkie dane dostarczone przez podmiot danych, także przekazane przez określone zachowanie, natomiast nie podlegają dane opracowane przez administratora.

Przed udostępnieniem danych osobowych podmiotu, administrator zobowiązany jest do dokonania jego szczegółowej weryfikacji.

Artykuł 21 – Prawo do sprzeciwu

W sytuacji, gdy administrator danych osobowych przetwarza dane w oparciu o swój prawnie uzasadniony interes – wówczas może spodziewać się otrzymania wniosku o sprzeciw wobec takiego przetwarzania. 

Administrator nie powinien odnosić się do wniosku w trybie natychmiastowym, a dopiero po weryfikacji czy nadrzędne są prawnie uzasadnione interesy administratora czy prawa i wolności osoby. 

W sytuacji, gdy prawa osoby mają pierwszeństwo nad interesem administratora wówczas wniosek musi zostać zrealizowany. Inaczej jest w sytuacji, gdy po analizie dokonanej przez administratora to jego interesy okażą się nadrzędne, wówczas może on odmówić wypełnienia takiego wniosku. 

Prawo do wniesienia skargi do organu nadzorczego

W przeciwieństwie do praw wymienionych powyżej, skarga kierowana jest wprost do Prezesa Urzędu Ochrony Danych Osobowych, a nie do administratora. 

Administrator danych osobowych jest w tym przypadku „tematem” prawa.

Polecane

4 lata RODO

4 lata RODO

25 maja minęła czwarta rocznica stosowania RODO. To dobry moment na “update” co do aktualnych wyzwań w obszarze ochrony danych osobowych. Wraz z Zespołem LexDigital przygotowaliśmy dla Was krótki materiał! Życzymy wszystkiego bezpiecznego z okazji RODO-urodzin!

Testy penetracyjne w perspektywie RODO

Testy penetracyjne w perspektywie RODO

​Przy analizie zgodności naszej organizacji z rozporządzeniem RODO warto zwrócić uwagę na techniczne środki bezpieczeństwa przetwarzania danych osobowych. W erze technologii nie powinniśmy bagatelizować zagrożeń wynikających z użytkowania skomplikowanych systemów informatycznych i na bieżąco testować podatność naszych wewnętrznych i zewnętrznych systemów. Skutecznym narzędziem umożliwiającym zdiagnozowanie luk i błędów są testy penetracyjne nazwane również pentestami.

DPIA (Data Protection Impact Assessment) - Ocena skutków dla ochrony danych

DPIA (Data Protection Impact Assessment) - Ocena skutków dla ochrony danych

Kiedy administrator danych ma obowiązek przeprowadzenia oceny skutków dla ochrony danych? Jaka jest rola Inspektora ochrony danych w procesie wykonywania oceny skutków dla ochrony danych? Wytyczne Urzędu Ochrony Danych Osobowych w zakresie rodzajów operacji przetwarzania danych wymagających DPIA? W jaki sposób należy przeprowadzić DPIA?

Popularne

Wdrożenie ISO

Wdrożenie ISO

Uzyskanie certyfikatu zgodności z wytycznymi międzynarodowych norm ISO 9001, ISO/IEC 27001 czy ISO 22301 jest dowodem stosowania przez wybraną organizację wysokich standardów zarządzania oraz troski o bezpieczeństwo informacji czy ochronę danych. Pozwala m.in. na efektywne wykorzystywanie zasobów, wyeliminowanie lub ograniczanie sytuacji kryzysowych, optymalizację przebiegu procesów, umacnianie kontaktów z klientami, czy podnoszenie jakości świadczonych usług i produkowanych wyrobów.

Kontakt z UODO

Kontakt z UODO

W każdej organizacji przetwarzającej znaczące ilości danych osobowych kontakt z organem nadzorczym jest nieunikniony. Utrzymywanie odpowiednich relacji, wysokiego poziomu merytorycznego korespondencji oraz spełnianie wymogów proceduralnych ma bezpośredni wpływ na wynik spraw i postępowań. Profesjonalna komunikacja może często skrócić czas potrzebny na podjęcie decyzji przez Urząd, pomaga uchronić się od kar i problemów prawnych.

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

Biofarm Fibar Group Apart Wykop.pl PhytoPharm Veolia Cuf-podatki Netguru GetHero Tesgas GPD Agency Golden Submarine Pixers Pearson UEP