Realizując przetwarzanie danych osobowych, administrator musi mieć na uwadze, że RODO przyznaje osobom, których dane dotyczą, szereg uprawnień związanych ze sprawowaniem kontroli nad własnymi danymi. Oznacza to, że oprócz zapewnienia bezpieczeństwa danym, administrator jest obowiązany do realizacji praw podmiotów danych. Opieszałość w tej materii może narazić administratora danych na kontrolę organu nadzorczego, a nawet wysokie kary finansowe. Warto wobec tego wiedzieć, jakich działań może domagać się każda osoba, której dane przetwarzamy.
Jakie prawa RODO przyznaje osobie, której dane są przetwarzane?
Prawami jakie przysługują osobom fizycznym są:
-
prawo dostępu do danych oraz uzyskania ich kopii;
-
prawo do indywidualnej kontroli;
-
prawo do sprostowania i uzupełnienia danych;
-
prawo do usunięcia danych („do bycia zapomnianym”);
-
prawo do ograniczenia przetwarzania;
-
prawo do wycofania zgody;
-
prawo do przenoszenia danych;
-
prawo sprzeciwu;
-
prawo do wniesienia skargi do organu nadzorczego.
Prawo dostępu do danych
Jednym z najważniejszych praw przysługujących osobie, której dane są przetwarzane, jest prawo dostępu do nich. Każda osoba fizyczna musi mieć zapewniony dostęp do danych jej dotyczących, które podlegają procesowi przetwarzania. Uprawnienie to powinno być realizowane przez administratora w rozsądnym okresie czasu, tak, by podmiot uprawniony miał świadomość przetwarzania i mógł dokonać oceny zgodności tego przetwarzania z prawem.
Jeżeli istnieje taka możliwość, administrator powinien umożliwić osobie, której dane dotyczą, zdalny dostęp do wyżej wymienionych informacji. Ponadto osoba taka jest uprawniona do otrzymania bezpłatnej kopii tych danych. Za każdą kolejną kopię, której żąda podmiot danych, administrator może pobrać opłatę w rozsądnej wysokości wynikającą z kosztów administracyjnych.
Prawo do indywidualnej kontroli
Osoba, której dane dotyczą, powinna mieć możliwość kontroli procesu przetwarzania swoich danych. Podstawą tego uprawnienia jest obowiązek administratora danych osobowych (ADO) do podania informacji o tym, czy dane konkretnej osoby podlegają procesowi przetwarzania w jego organizacji. Jeżeli taka sytuacja ma miejsce, wówczas można wnioskować o udzielenie określonych informacji (np.: o celu przetwarzania danych, okresie ich przetwarzania czy przysługujących prawach).
Prawo do sprostowania i uzupełnienia danych
Osoba uprawniona ma prawo żądania od administratora niezwłocznego sprostowania nieprawidłowych danych, które jej dotyczą. Może ona także uzupełnić dane niekompletne. Należy jednak pamiętać, że uzupełnienie danych powinno być dokonane z uwzględnieniem celów przetwarzania. Oznacza to, że osoba uprawniona nie może żądać dodania informacji, które byłyby nadmierne z punktu widzenia celu przetwarzania.
Prawo do usunięcia danych („do bycia zapomnianym”)
Osoba, której dane dotyczą, może zażądać od administratora usunięcia jej danych, a ADO ma obowiązek niezwłocznie to działanie wykonać, gdy zostanie spełniona jedna z przesłanek wymienionych w art. 17 RODO. Należą do nich:
-
sytuacja, w której dane osobowe nie są już niezbędne do realizacji celów, dla których zostały pozyskane;
-
cofnięcie zgody na przetwarzanie danych osobowych przez osobę uprawnioną (w sytuacji, gdy była to jedyna podstawa prawna przetwarzania);
-
wniesienie sprzeciwu wobec przetwarzania danych (jeżeli nie występują prawnie uzasadnione przyczyny dalszego przetwarzania);
-
sytuacja, w której dane przetwarzane były niezgodnie z prawem;
-
dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator;
-
sytuacja, w której zostały zebrane dane dziecka w związku z bezpośrednim oferowaniem usług społeczeństwa informacyjnego (np. dostęp do gazet on-line).
Prawo do ograniczenia przetwarzania
RODO przyznaje osobie, której dane dotyczą, prawo do żądania ograniczenia przetwarzania danych, gdy:
-
osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych – dotyczy to okresu, gdy ADO sprawdza poprawność danych;
-
przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania;
-
administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń;
-
osoba, której dane dotyczą, wniosła sprzeciw na mocy art. 21 ust. 1 RODO wobec przetwarzania – do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie administratora są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą.
Do metod ograniczenia danych można zaliczyć: przeniesienie na określony czas wybranych danych do innego systemu przetwarzania, uniemożliwienie użytkownikom dostępu do określonych danych, usunięcie danych ze strony internetowej na określony czas oraz powstrzymanie się od wszelkich działań poza przechowywaniem.
Prawo do wycofania zgody
Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę, o ile oczywiście przetwarzanie odbywa się na jej podstawie. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie tej zgody przed jej wycofaniem. Osoba, której dane dotyczą, jest o tym informowana, zanim wyrazi zgodę.
Wycofanie zgody musi być równie łatwe jak jej wyrażenie
Prawo do przenoszenia danych
Osoba uprawniona może zażądać od administratora przekazania jej danych w powszechnie używanym formacie nadającym się do odczytu maszynowego. Może ona także uzyskać przeniesienie tych danych przez administratora do innego podmiotu. Z uprawnienia tego mogą skorzystać wyłącznie osoby, których dane przetwarzane są na podstawie zgody, w celu wykonania umowy lub gdy przetwarzanie odbywa się w sposób automatyczny.
Prawo sprzeciwu
Zgodnie z art. 21 RODO osoba uprawniona, która znajduje się w szczególnej sytuacji, może w dowolnym momencie wnieść sprzeciw wobec przetwarzania dokonywanego w ramach zadań wykonywanych w interesie publicznym, związanego ze sprawowaniem władzy publicznej powierzonej ADO lub ze względu na prawnie uzasadnione interesy administratora.
Ponadto zgodnie z art. 21 ust. 2 RODO osoba, której dane dotyczą, może sprzeciwić się przetwarzaniu danych na potrzeby marketingu bezpośredniego, w tym profilowania. Sprzeciw ten dotyczy danych w zakresie, w jakim przetwarzanie jest związane z takim marketingiem.
Prawo do wniesienia skargi do organu nadzorczego
Każda osoba, której dane są przetwarzane, ma prawo wnieść skargę do organu nadzorczego. W Polsce organem nadzoru jest Prezes Urzędu Ochrony Danych Osobowych (PUODO). Z uprawnienia tego można skorzystać w sytuacji, gdy osoba ta podejrzewa, że dane jej dotyczące są przetwarzane niezgodnie z prawem.
Administrator a realizacja uprawnień
ADO zobowiązany jest nie tylko do realizacji uprawnień przysługujących osobom, których dane są przetwarzane, ale także ma on obowiązek przekazania informacji o podjętych przez niego niezbędnych działaniach w celu wykonania tych uprawnień. Informacje te powinien dostarczyć bez zbędnej zwłoki, najpóźniej w ciągu miesiąca od otrzymania wniosku. W sprawach skomplikowanych termin ten może ulec przedłużeniu o dwa miesiące, jednak w takim przypadku w ciągu miesiąca należy poinformować o przedłużeniu oraz podać przyczynę opóźnienia.
Jeżeli żądania są ewidentnie nieuzasadnione lub nadmierne, administrator może pobrać rozsądną opłatę za ich spełnienie lub odmówić realizacji roszczenia. ADO musi jednak powiadomić osobę uprawnioną o zaistniałym fakcie i przyczynach niespełnienia żądania. Powinien on także poinformować o możliwości wniesienia skargi do organu nadzorczego oraz o sądowej możliwości dochodzenia ochrony praw.