Osoba fizyczna – bohater RODO z szeregiem praw
Osoby fizyczne – czyli niepodważalni bohaterowie RODO – bohaterowie, ponieważ nie powinno ulegać wątpliwościom, że to właśnie ochrona ich danych osobowych była i jest głównym celem wszechobecnego RODO, czyli ogólnego rozporządzenia o ochronie danych osobowych.
Zarówno jako przedsiębiorca przetwarzający dane osobowe, jak i podmiot takiego właśnie przetwarzania kluczowym jest poznanie praw i mechanizmów ich spełniania przez podmiot, który administruje tymi danymi.
Polski organ nadzorczy, którym jest Urząd Ochrony Danych Osobowych zwrócił w swojej najnowszej publikacji uwagę na wagę problemu spełniania przez administratorów praw osób, a także coraz częstsze uniki informowania w pełni o możliwościach skorzystania z praw.
Zostało wskazane, że bardzo wiele napływających do Urzędu skarg dotyczy niezapewnienia osobom, których dane są przetwarzane odpowiednio przejrzystego kanału komunikacji wskazanego jako droga do realizacji praw osób, których dane dotyczą. Celem, który przyświeca administratorom, stosującym powyższe niecne sposoby zdezorientowania podmiotów danych jest uniknięcie odpowiedzialności za realizację skierowanych żądań. Niemniej jednak należy już na początku zaznaczyć, że uciekanie się do tego typu działań powoduje naruszenie fundamentalnych zasad RODO. Cytując jeden z motywów RODO: Należy przewidzieć procedury ułatwiające osobie, której dane dotyczą, wykonywanie praw przysługujących jej na mocy niniejszego rozporządzenia, w tym mechanizmy żądania – i gdy ma to zastosowanie bezpłatnego uzyskiwania – w szczególności dostępu do danych osobowych i ich sprostowania lub usunięcia oraz możliwości wykonywania prawa do sprzeciwu. Administrator powinien zapewnić możliwość wnoszenia odnośnych żądań także drogą elektroniczną, w szczególności, gdy dane osobowe są przetwarzane drogą elektroniczną. Administrator powinien być zobowiązany udzielić odpowiedzi na żądania osób, których dane dotyczą bez zbędnej zwłoki – najpóźniej w terminie miesiąca, a jeżeli nie zamierza spełnić takiego żądania – podać tego przyczyny.
Żaden wniosek osoby o spełnienie przysługującego prawa nie może pozostać bez odpowiedzi – niezależnie czy jest ona pozytywna czy też negatywna. Każdy wniosek musi zostać opatrzony odpowiedzią Administratora danych osobowych wraz z wyjaśnieniem swojej decyzji.
Sprawdź także: Żądanie usunięcia danych osobowych
Możliwe konsekwencje dla niespełnienia żądania osoby, której dane dotyczą
Z uwagi na fakt, że świadomość konieczności ochrony danych osobowych zaczyna wzrastać, coraz więcej osób wie, jak poradzić sobie w sytuacji, gdy Administrator danych uporczywie odmawia wykonania żądania bez przyczyny lub unika udzielenia jakiejkolwiek odpowiedzi.
Do Urzędów ochrony danych spływa coraz więcej skarg związanych z nieprzestrzeganiem przyjętych przepisów. Niewątpliwie spora część odnosi się do zaniechania przez Administratorów danych osobowych spełnienia wniosków osób o realizację praw wynikających z przepisów RODO.
Na ten moment nie posiadamy informacji, aby nasz rodzimy organ nadzorczy nałożył karę na administratora, związaną z niespełnianiem praw osób. Znane są, jednakże wysokości sankcji nałożonych w innych krajach Unii Europejskiej, a pamiętać należy, że skoro przepisy są jednakowe dla wszystkich krajów członkowskich, to wysokość kar administracyjnych będzie również proporcjonalna za dane naruszenie. Dla przykładu węgierski odpowiednik Urzędu Ochrony Danych Osobowych ukarał grzywną w wysokości 1900 E, administratora, który nie spełnił żądania o dostęp do danych osobowych podmiotu, których dotyczyły dane (artykuł 15 RODO). Zaniechanie wynikające z tego samego artykułu kosztowało cypryjski szpital 5000 E, gdyż po złożeniu przez pacjenta wniosku o dostęp do swoich danych medycznych, administrator szpitala nie był w stanie spełnić żądania z powodu braku możliwości zidentyfikowania/zlokalizowania rzeczowej dokumentacji. Wymienione kwoty dotyczą naruszeń związanych z pojedynczą osobą – nietrudno wyobrazić sobie jak bardzo wzrosłyby w sytuacji naruszenia związanego z większą ilością osób. A należy zaznaczyć, że prawa osób, to tylko 8 z 99 artykułów RODO, na podstawie których organ nadzorczy może ukarać administratora danych osobowych.
Wnioski o spełnienie praw osób przysługujących na kanwie przepisów RODO
W tekście powyżej szczegółowo omówiona została odpowiedzialność administratora, który przetwarza dane osobowe oraz konsekwencje jakie niosą za sobą zaniechania.
W poniższej części przyjrzymy się szczegółowo artykułom 15-18, 20-21 RODO, które to odnoszą się do praw osób, których dane dotyczą oraz przedstawimy szczegóły, o których warto pamiętać po otrzymaniu wniosku od podmiotu danych osobowych.
Artykuł 15 – Prawo dostępu przysługujące osobie, której dane dotyczą
Każdy podmiot danych ma możliwość uzyskania od administratora informacji potwierdzającej przetwarzanie danych osobowych oraz szeregu informacji związanych ze szczegółami przetwarzania tj.:
- celach przetwarzania, do których administrator danych osobowych wykorzystuje rzeczowe dane,
- kategorie danych osobowych np. imię i nazwisko oraz adres, dane kontaktowe w postaci numeru telefonu oraz maila,
- informacje o odbiorcach, którym zostały lub zostaną ujawnione dane osobowe,
- o okresie przez który administrator danych będzie przechowywał dane osobowe,
- o przysługujących podmiotowi danych prawach.
Korzystając z prawa dostępu do danych podmiot danych zapewnia sobie niejako kontrolę nad swoimi danymi osobowymi, dlatego też informacje przekazane po otrzymaniu takiego wniosku powinny być bardziej szczegółowe niż te zawarte w obowiązku informacyjnym.
Administrator mógłby odmówić spełnienia prawa dostępu tylko w przypadku, gdy podmiot danych żądałby podania informacji, które przekraczają zakres wskazany w artykule odnoszącym się do ww. prawa tj. art. 15 RODO.
Artykuł 15 ust. 3 – Prawo do otrzymania kopii danych
W momencie otrzymania potwierdzenia przetwarzania danych osobowych oraz uzyskania szczegółowych informacji wskazanych powyżej, osoba, której dane dotyczą ma prawo otrzymać kopię swoich danych osobowych.
Zrealizowanie tego prawa wymaga od administratora szczegółowej weryfikacji osoby występującej z wnioskiem oraz opracowanie właściwego trybu postpowania w zależności od szczegółowości kierowanego wniosku.
Pierwsza kopia danych jest zawsze bezpłatna, natomiast w sytuacji wniosków o kolejna kopię danych może zostać pobrana opłata w rozsądnej wysokości, wynikająca z kosztów administracyjnych. Zainteresowany musi zostać poinformowany o wysokości takich kosztów oraz sposobie ich uiszczenia.
Artykuł 16 – Prawo do sprostowania danych
Na podstawie tego artykułu osoba, której dane są przetwarzane ma prawo zarówno do sprostowania nieprawidłowych danych, jak i uzupełnienia danych niekompletnych.
Administrator oczywiście może odmówić sprostowania danych osobowych, w sytuacji, gdy podmiot danych twierdzi, że administrator przetwarza nieprawidłową informację np. o zdolności kredytowej.
Wniosek o sprostowanie danych nie powinien być natomiast spełniony, w sytuacji, gdy przekracza zakres, wobec którego administrator nie ma podstawy lub celu przetwarzania.
Artykuł 17 – Prawo do usunięcia danych („prawo do bycia zapomianym”)
Prawo to musi zostać spełnione przez administratora bez zbędnej zwłoki, w sytuacji, gdy nie posiada on już żadnej ważnej przesłanki do legalnego przetwarzania danych osobowych.
Ważną informacją dla administratora danych osobowych jest zastosowanie się do wniosku, tylko i wyłącznie dla danych, wobec których wygasła podstawa prawna przetwarzania. W odniesieniu do danych, które przetwarzane są na ważnej podstawie prawnej, wniosek ten nie obowiązuje.
Artykuł 18 – Prawo do ograniczenia przetwarzania
Jest to niejako prawo „wynikowe” wobec innych praw.
Podmiot danych może skorzystać z prawa w sytuacji, gdy:
- podważa prawidłowość przetwarzania,
- istnienie ważnej podstawy prawnej,
- administrator nie potrzebuje już rzeczowych danych osobowych, ale są one niezbędne podmiotowi danych do obrony roszczeń lub ich dochodzenia,
- osoba, której dane są przetwarzane wniosła sprzeciw wobec przetwarzania.
Administrator przed ograniczeniem przetwarzania jest zobowiązany do poinformowania podmiotu danych z odpowiednim wyprzedzeniem o takim zamiarze, aby zapewnić podmiotowi danych możliwość działań dążących do zabezpieczenia swoich interesów.
Artykuł 20 – Prawo do przenoszenia danych
Na wstępie należy zaznaczyć, że prawo to przysługuje wyłącznie w sytuacjach, gdy dane osobowe przetwarzane są na podstawie dobrowolnie wyrażonej zgody lub na podstawie zawartej z administratorem umowy w sposób zautomatyzowany. Jeśli administrator przetwarzając dane osobowe spełnia powyższe warunki, wówczas zobowiązany jest na wniosek osoby do przeniesienia (w powszechnie używanym formacie, nadającym się do odczytu maszynowego) danych do innego administratora danych osobowych, wskazanego we wniosku osoby.
Prawu podlegają wszystkie dane dostarczone przez podmiot danych, także przekazane przez określone zachowanie, natomiast nie podlegają dane opracowane przez administratora.
Przed udostępnieniem danych osobowych podmiotu, administrator zobowiązany jest do dokonania jego szczegółowej weryfikacji.
Artykuł 21 – Prawo do sprzeciwu
W sytuacji, gdy administrator danych osobowych przetwarza dane w oparciu o swój prawnie uzasadniony interes – wówczas może spodziewać się otrzymania wniosku o sprzeciw wobec takiego przetwarzania.
Administrator nie powinien odnosić się do wniosku w trybie natychmiastowym, a dopiero po weryfikacji czy nadrzędne są prawnie uzasadnione interesy administratora czy prawa i wolności osoby.
W sytuacji, gdy prawa osoby mają pierwszeństwo nad interesem administratora wówczas wniosek musi zostać zrealizowany. Inaczej jest w sytuacji, gdy po analizie dokonanej przez administratora to jego interesy okażą się nadrzędne, wówczas może on odmówić wypełnienia takiego wniosku.
Prawo do wniesienia skargi do organu nadzorczego
W przeciwieństwie do praw wymienionych powyżej, skarga kierowana jest wprost do Prezesa Urzędu Ochrony Danych Osobowych, a nie do administratora.
Administrator danych osobowych jest w tym przypadku „tematem” prawa.