RODO i nowe prawa osób, których dane dotyczą

Unijne rozporządzenie o ochronie danych osobowych — RODO — nakłada na podmioty przetwarzające dane osobowe szereg nowych obowiązków. Jakie to prawa i jak administratorzy danych osobowych (ADO) powinni zapewnić ich realizację względem osób, których dane dotyczą?

  • Rafał Stępniewski
  • /
  • 2 lutego 2018

Unijne rozporządzenie o ochronie danych osobowych — RODO — nakłada na podmioty przetwarzające dane osobowe szereg nowych obowiązków. Jakie to prawa i jak administratorzy danych osobowych (ADO) powinni zapewnić ich realizację względem osób, których dane dotyczą?

 

Doprecyzowanie i wzmocnienie praw

RODO kładzie szczególny nacisk na to, aby osoby, których dane są przetwarzane, miały większy dostęp do informacji na temat podejmowanych przez administratorów działań. Osoby mają też mieć większą kontrolę nad danymi, które przekazują ADO.

Kwestię tę poruszono już w preambule do unijnego rozporządzenia, gdzie mowa jest o tym, iż skuteczna ochrona danych osobowych w Unii Europejskiej zależy głównie od tego, jak bardzo wzmocnione oraz doprecyzowane zostaną prawa osób, których dane dotyczą.

Prawo dostępu do danych

Prawo to zostało uregulowane w artykule 15 RODO – osoby, których dane dotyczą mają możliwość uzyskania od ADO informacji, czy ich dane są przetwarzane i w jakim zakresie

Dodatkowo osoba taka może żądać od administratora uzyskania dostępu do tych danych oraz — jeśli zajdzie taka potrzeba — uzyskania ich kopii. Kopia ta powinna zostać wydana bezpłatnie za pierwszym razem, przy kolejnych prośbach może zostać nałożona na wnioskującego rozsądna opłata, wynikająca np. z kosztów administracyjnych.

Wyciekły w Twojej firmie dane osobowe

możemy Ci pomóc w analizie i zgłoszeniu do UODO

Prawo do sprostowanie danych

Artykuł 16 RODO dotyczy prawa do poprawiania danych osoby, której one dotyczą. Jeśli są one nieprawidłowe lub niekompletne osoba może żądać od administratora ich sprostowania.

Prawo do bycia zapomnianym

Osoby, których dane są przetwarzane mają prawo do ich usunięcia — zwane również “prawem do bycia zapomnianym”, opisane w artykule 17 RODO. W przypadku wystąpienia pewnych okoliczności osoba może żądać od administratora usunięcia niektórych danych na swój temat, bądź całego ich zbioru. Proces usuwania powinien być przeprowadzony bez zbędnej zwłoki.

Przesłanki usunięcia danych to między innymi:

  • brak podstawy prawnej do przetwarzania danych (np. cofnięcie zgody na ich wykorzystywanie);
  • zebrane dane nie są już potrzebne do celów, w których zostały one zgromadzone;
  • dane zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego;
  • wniesienie sprzeciwu przez osobę, której dane dotyczą (więcej o prawie sprzeciwu w dalszej części tekstu);
  • dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator.

Istnieją również sytuacje, które sprawiają, że osoby, których dane dotyczą nie mogą skorzystać z prawa do usunięcia danych osobowych. Mowa tu o przypadkach, kiedy przetwarzanie jest niezbędne:

  • w celu korzystania z prawa do wolności wypowiedzi i informacji;
  • do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
  • w celu profilaktyki zdrowotnej (np. medycyna pracy, czy zapewnienie opieki zdrowotnej) ;
  • do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych;
  • do ustalenia, dochodzenia lub obrony roszczeń.

Prawo do ograniczenia przetwarzania danych

RODO przewiduje także możliwość wniesienia o ograniczenie przetwarzania danych. Okoliczności, w jakich osoba, której dane dotyczą może z tego prawa skorzystać wymienione są w art. 18 RODO:

  • kiedy zgromadzone dane są nieprawidłowe — ograniczenie ich przetwarzania następuje do momentu, kiedy zostaną one poprawione;
  • w momencie, kiedy nie ma podstawy prawnej do przetwarzania danych;
  • kiedy nie są one potrzebne administratorowi danych osobowych, jednak potrzebuje ich osoba, do której one należą;
  • w przypadku kiedy osoba, której dane dotyczą zgłosiła sprzeciw wobec przetwarzania danych — ograniczenie obowiązuje do momentu ustalenia, czy sprzeciw ten jest podstawny.

Prawo do przenoszenia danych

W artykule 20 RODO wprowadzone zostało kolejne prawo osób, których dane dotyczą — prawo do ich przenoszenia pomiędzy różnymi podmiotami (administratorami). Jeśli prośba taka zostanie wystosowana, administrator ma obowiązek przekazać osobie komplet zgromadzonych danych na jej temat w formie, która będzie możliwa do odczytania. Osoba, której dane dotyczą może później bez przeszkód przekazać te informacje innemu administratorowi.

Prawo do sprzeciwu oraz do niepodleganiu decyzji opartych na zautomatyzowanym przetwarzaniu

Na podstawie przepisu znajdującego się w artykule 21 RODO, osoby, których dane dotyczą mają prawo nie zgodzić się na to, aby ich dane były wykorzystywane do celów „podejmowania decyzji opartych na zautomatyzowanym przetwarzaniu”” – np. profilowania, które powodują skutek prawny dla osoby. Administrator w takim przypadku nie ma prawa do przetwarzania danych, pod warunkiem, że nie będą istniały inne ważne podstawy prawne do przetwarzania danych osobowych.

Wyjątek stanowi sytuacja, kiedy to przeprowadzenie profilowania jest wymagane w celu prawidłowego zawarcia bądź wykonania umowy – wtedy osoba, której dane dotyczą nie ma prawa do sprzeciwu wobec takiego przetwarzania

Ograniczenie praw osób, których dane są przetwarzane

RODO zakłada, że prawa osób, których dane dotyczą mogą być ograniczone w szczególnych przypadkach, np.:

  • konieczność zapewnienia bezpieczeństwa narodowego lub publicznego;
  • zapobieganie przestępczości;
  • konieczność zapewnienia niezależności sądów;
  • kiedy prawa osób, których dane dotyczą, utrudniają wypełnienie celów gospodarczych lub finansowych państwa członkowskiego lub Unii Europejskiej.

Wszystkie akty prawne, które w jakikolwiek sposób ograniczają prawa osób, których dane dotyczą, powinny szczegółowo informować o tym, dlaczego wprowadzone zostało dane ograniczenie.

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.

O autorze

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?

Najnowsze tematy

WSPÓŁPRACA

Blogi tematyczne

Prawo konsumenckie 2021
Blog prawa e-commerce
Prawo konsumenckie
Security Magazine
Poradnik: wszystko o zgodzie RODO i obowiązkach informacyjnych RODO
Kliknij aby wrócić do strony głównej

Newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych artykułach. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!