LexDigital

Osoba fizyczna – bohater RODO z szeregiem praw

Osoby fizyczne – czyli niepodważalni bohaterowie RODO – bohaterowie, ponieważ nie powinno ulegać wątpliwościom, że to właśnie ochrona ich danych osobowych była i jest głównym celem wszechobecnego RODO, czyli ogólnego rozporządzenia o ochronie danych osobowych.

Osoba fizyczna – bohater RODO z szeregiem praw

Zarówno jako przedsiębiorca przetwarzający dane osobowe, jak i podmiot takiego właśnie przetwarzania kluczowym jest poznanie praw i mechanizmów ich spełniania przez podmiot, który administruje tymi danymi. 

Polski organ nadzorczy, którym jest Urząd Ochrony Danych Osobowych zwrócił w swojej najnowszej publikacji uwagę na wagę problemu spełniania przez administratorów praw osób, a także coraz częstsze uniki informowania w pełni o możliwościach skorzystania z praw.

Zostało wskazane, że bardzo wiele napływających do Urzędu skarg dotyczy niezapewnienia osobom, których dane są przetwarzane odpowiednio przejrzystego kanału komunikacji wskazanego jako droga do realizacji praw osób, których dane dotyczą. Celem, który przyświeca administratorom, stosującym powyższe niecne sposoby zdezorientowania podmiotów danych jest uniknięcie odpowiedzialności za realizację skierowanych żądań. Niemniej jednak należy już na początku zaznaczyć, że uciekanie się do tego typu działań powoduje naruszenie fundamentalnych zasad RODO. Cytując jeden z motywów RODO: Należy przewidzieć procedury ułatwiające osobie, której dane dotyczą, wykonywanie praw przysługujących jej na mocy niniejszego rozporządzenia, w tym mechanizmy żądania – i gdy ma to zastosowanie bezpłatnego uzyskiwania – w szczególności dostępu do danych osobowych i ich sprostowania lub usunięcia oraz możliwości wykonywania prawa do sprzeciwu. Administrator powinien zapewnić możliwość wnoszenia odnośnych żądań także drogą elektroniczną, w szczególności, gdy dane osobowe są przetwarzane drogą elektroniczną. Administrator powinien być zobowiązany udzielić odpowiedzi na żądania osób, których dane dotyczą bez zbędnej zwłoki – najpóźniej w terminie miesiąca, a jeżeli nie zamierza spełnić takiego żądania – podać tego przyczyny.  

Żaden wniosek osoby o spełnienie przysługującego prawa nie może pozostać bez odpowiedzi – niezależnie czy jest ona pozytywna czy też negatywna. Każdy wniosek musi zostać opatrzony odpowiedzią Administratora danych osobowych wraz z wyjaśnieniem swojej decyzji.  

Możliwe konsekwencje dla niespełnienia żądania osoby, której dane dotyczą

Z uwagi na fakt, że świadomość konieczności ochrony danych osobowych zaczyna wzrastać, coraz więcej osób wie, jak poradzić sobie w sytuacji, gdy Administrator danych uporczywie odmawia wykonania żądania bez przyczyny lub unika udzielenia jakiejkolwiek odpowiedzi. 

Do Urzędów ochrony danych spływa coraz więcej skarg związanych z nieprzestrzeganiem przyjętych przepisów. Niewątpliwie spora część odnosi się do zaniechania przez Administratorów danych osobowych spełnienia wniosków osób o realizację praw wynikających z przepisów RODO. 

Na ten moment nie posiadamy informacji, aby nasz rodzimy organ nadzorczy nałożył karę na administratora, związaną z niespełnianiem praw osób. Znane są, jednakże wysokości sankcji nałożonych w innych krajach Unii Europejskiej, a pamiętać należy, że skoro przepisy są jednakowe dla wszystkich krajów członkowskich, to wysokość kar administracyjnych będzie również proporcjonalna za dane naruszenie. Dla przykładu węgierski odpowiednik Urzędu Ochrony Danych Osobowych ukarał grzywną w wysokości 1900 E, administratora, który nie spełnił żądania o dostęp do danych osobowych podmiotu, których dotyczyły dane (artykuł 15 RODO). Zaniechanie wynikające z tego samego artykułu kosztowało cypryjski szpital 5000 E, gdyż po złożeniu przez pacjenta wniosku o dostęp do swoich danych medycznych, administrator szpitala nie był w stanie spełnić żądania z powodu braku możliwości zidentyfikowania/zlokalizowania rzeczowej dokumentacji. Wymienione kwoty dotyczą naruszeń związanych z pojedynczą osobą – nietrudno wyobrazić sobie jak bardzo wzrosłyby w sytuacji naruszenia związanego z większą ilością osób. A należy zaznaczyć, że prawa osób, to tylko 8 z 99 artykułów RODO, na podstawie których organ nadzorczy może ukarać administratora danych osobowych. 

Wnioski o spełnienie praw osób przysługujących na kanwie przepisów RODO 

W tekście powyżej szczegółowo omówiona została odpowiedzialność administratora, który przetwarza dane osobowe oraz konsekwencje jakie niosą za sobą zaniechania. 

W poniższej części przyjrzymy się szczegółowo artykułom 15-18, 20-21 RODO, które to odnoszą się do praw osób, których dane dotyczą oraz przedstawimy szczegóły, o których warto pamiętać po otrzymaniu wniosku od podmiotu danych osobowych.

Artykuł 15 – Prawo dostępu przysługujące osobie, której dane dotyczą

Każdy podmiot danych ma możliwość uzyskania od administratora informacji potwierdzającej przetwarzanie danych osobowych oraz szeregu informacji związanych ze szczegółami przetwarzania tj.:

  • celach przetwarzania, do których administrator danych osobowych wykorzystuje rzeczowe dane, 
  • kategorie danych osobowych np. imię i nazwisko oraz adres, dane kontaktowe w postaci numeru telefonu oraz maila, 
  • informacje o odbiorcach, którym zostały lub zostaną ujawnione dane osobowe,
  • o okresie przez który administrator danych będzie przechowywał dane osobowe,
  • o przysługujących podmiotowi danych prawach.

Korzystając z prawa dostępu do danych podmiot danych zapewnia sobie niejako kontrolę nad swoimi danymi osobowymi, dlatego też informacje przekazane po otrzymaniu takiego wniosku powinny być bardziej szczegółowe niż te zawarte w obowiązku informacyjnym. 

Administrator mógłby odmówić spełnienia prawa dostępu tylko w przypadku, gdy podmiot danych żądałby podania informacji, które przekraczają zakres wskazany w artykule odnoszącym się do ww. prawa tj. art. 15 RODO.

Artykuł 15 ust. 3 – Prawo do otrzymania kopii danych

W momencie otrzymania potwierdzenia przetwarzania danych osobowych oraz uzyskania szczegółowych informacji wskazanych powyżej, osoba, której dane dotyczą ma prawo otrzymać kopię swoich danych osobowych. 

Zrealizowanie tego prawa wymaga od administratora szczegółowej weryfikacji osoby występującej z wnioskiem oraz opracowanie właściwego trybu postpowania w zależności od szczegółowości kierowanego wniosku. 

Pierwsza kopia danych jest zawsze bezpłatna, natomiast w sytuacji wniosków o kolejna kopię danych może zostać pobrana opłata w rozsądnej wysokości, wynikająca z kosztów administracyjnych. Zainteresowany musi zostać poinformowany o wysokości takich kosztów oraz sposobie ich uiszczenia.

Artykuł 16 – Prawo do sprostowania danych

Na podstawie tego artykułu osoba, której dane są przetwarzane ma prawo zarówno do sprostowania nieprawidłowych danych, jak i uzupełnienia danych niekompletnych.

Administrator oczywiście może odmówić sprostowania danych osobowych, w sytuacji, gdy podmiot danych twierdzi, że administrator przetwarza nieprawidłową informację np. o zdolności kredytowej.

Wniosek o sprostowanie danych nie powinien być natomiast spełniony, w sytuacji, gdy przekracza zakres, wobec którego administrator nie ma podstawy lub celu przetwarzania. 

Artykuł 17 – Prawo do usunięcia danych („prawo do bycia zapomianym”)

Prawo to musi zostać spełnione przez administratora bez zbędnej zwłoki, w sytuacji, gdy nie posiada on już żadnej ważnej przesłanki do legalnego przetwarzania danych osobowych. 

Ważną informacją dla administratora danych osobowych jest zastosowanie się do wniosku, tylko i wyłącznie dla danych, wobec których wygasła podstawa prawna przetwarzania. W odniesieniu do danych, które przetwarzane są na ważnej podstawie prawnej, wniosek ten nie obowiązuje.

Artykuł 18 – Prawo do ograniczenia przetwarzania

Jest to niejako prawo „wynikowe” wobec innych praw. 

Podmiot danych może skorzystać z prawa w sytuacji, gdy:

  • podważa prawidłowość przetwarzania,
  • istnienie ważnej podstawy prawnej, 
  • administrator nie potrzebuje już rzeczowych danych osobowych, ale są one niezbędne podmiotowi danych do obrony roszczeń lub ich dochodzenia,
  • osoba, której dane są przetwarzane wniosła sprzeciw wobec przetwarzania.

Administrator przed ograniczeniem przetwarzania jest zobowiązany do poinformowania podmiotu danych z odpowiednim wyprzedzeniem o takim zamiarze, aby zapewnić podmiotowi danych możliwość działań dążących do zabezpieczenia swoich interesów.

Artykuł 20 – Prawo do przenoszenia danych

Na wstępie należy zaznaczyć, że prawo to przysługuje wyłącznie w sytuacjach, gdy dane osobowe przetwarzane są na podstawie dobrowolnie wyrażonej zgody lub na podstawie zawartej z administratorem umowy w sposób zautomatyzowany. Jeśli administrator przetwarzając dane osobowe spełnia powyższe warunki, wówczas zobowiązany jest na wniosek osoby do przeniesienia (w powszechnie używanym formacie, nadającym się do odczytu maszynowego) danych do innego administratora danych osobowych, wskazanego we wniosku osoby.

Prawu podlegają wszystkie dane dostarczone przez podmiot danych, także przekazane przez określone zachowanie, natomiast nie podlegają dane opracowane przez administratora.

Przed udostępnieniem danych osobowych podmiotu, administrator zobowiązany jest do dokonania jego szczegółowej weryfikacji.

Artykuł 21 – Prawo do sprzeciwu

W sytuacji, gdy administrator danych osobowych przetwarza dane w oparciu o swój prawnie uzasadniony interes – wówczas może spodziewać się otrzymania wniosku o sprzeciw wobec takiego przetwarzania. 

Administrator nie powinien odnosić się do wniosku w trybie natychmiastowym, a dopiero po weryfikacji czy nadrzędne są prawnie uzasadnione interesy administratora czy prawa i wolności osoby. 

W sytuacji, gdy prawa osoby mają pierwszeństwo nad interesem administratora wówczas wniosek musi zostać zrealizowany. Inaczej jest w sytuacji, gdy po analizie dokonanej przez administratora to jego interesy okażą się nadrzędne, wówczas może on odmówić wypełnienia takiego wniosku. 

Prawo do wniesienia skargi do organu nadzorczego

W przeciwieństwie do praw wymienionych powyżej, skarga kierowana jest wprost do Prezesa Urzędu Ochrony Danych Osobowych, a nie do administratora. 

Administrator danych osobowych jest w tym przypadku „tematem” prawa.

Polecane

Podsumowanie listopadowego newslettera Europejskiego Inspektora Ochrony Danych (EIOD/EDPS)

Podsumowanie listopadowego newslettera Europejskiego Inspektora Ochrony Danych (EIOD/EDPS)

​W listopadowym biuletynie informacyjnym Europejskiego Inspektora Ochrony Danych (EIOD/EDPS) czytamy m.in. o: pierwszej Konferencji Nadzoru EIOD współorganizowanej z Eurojustem – Agencją Unii Europejskiej ds. Współpracy Wymiarów Sprawiedliwości w Sprawach Karnych oraz EPPO – Prokuratura Europejska; ochronie danych osobowych przed atakami typu phishing i ransomware; kontrolach przeprowadzonych przez EIOD wśród trzech dużych systemów informatycznych UE.

Standard TISAX

Standard TISAX

Firmy z branży automotive wiedzą o standardzie TISAX. Podłożem standardu jest kompleks wymagań branżowych, które mają zapewnić, że dane i informacje będą bezpieczne. Standard TISAX skupia się na zapewnieniu by przetwarzanie i zarządzanie informacjami odbywało się w sposób bezpieczny i odpowiedzialny.

487 milionów numerów telefonów na sprzedaż: wyciek danych z WhatsApp

487 milionów numerów telefonów na sprzedaż: wyciek danych z WhatsApp

Do sieci wyciekły aktualne numery telefonów komórkowych prawie 500 milionów użytkowników WhatsApp. Jak podaje portal Cybernews, 16 listopada pewien człowiek opublikował reklamę na znanym forum społeczności hakerskiej, twierdząc, że sprzedaje bazę danych z 2022 r. zawierającą 487 milionów numerów telefonów użytkowników WhatsApp.

Popularne

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

komputronik biofarm lpp apart wykop volkswagen tpay netguru novol pearson impel phyto-pharm veolia cuf-podatki talex gethero tesgas uep fibaro akademia-kozminskiego bilety24 bims cichy-zasada currency >
<img src= kir ministerstwo cyfryzacji pierre-fabre polomarket porr przelewy24 swiss-krono vox wielkopolska-izba-lekarska wsb wtk