O jakich prawach osób według RODO należy pamiętać?

W dniu 25 maja 2018 r. weszło w życie Roz­po­rzą­dze­nie Par­la­men­tu Euro­pej­skie­go i Rady (UE) 2016/679 (dalej: „RODO”). Przed­mio­tem niniej­sze­go arty­ku­łu jest wyja­śnie­nie, jak wej­ście w życie tego aktu praw­ne­go wpły­nę­ło na pra­wa osób, któ­rych dane oso­bo­we są prze­twa­rza­ne a o któ­rych winien pamię­tać każ­dy z przedsiębiorców.

Katalog praw 

Zgod­nie z RODO celem sku­tecz­niej­szej ochro­ny danych oso­bo­wych nale­ży wzmoc­nić pra­wa osób fizycz­nych, któ­rych dane oso­bo­we są prze­twa­rza­ne oraz roz­sze­rzyć obo­wiąz­ki przed­się­bior­ców w tym zakresie. 

Oso­by, któ­rych dane oso­bo­we są prze­twa­rza­ne przez admi­ni­stra­to­ra bądź pod­miot prze­twa­rza­ją­cy mają pra­wo do:

  1. poin­for­mo­wa­nia ich o prze­twa­rza­niu danych oso­bo­wych doty­czą­cych tej osoby;
  2. żąda­nia dostę­pu do danych;
  3. żąda­nia spro­sto­wa­nia danych;
  4. żąda­nia usu­nię­cia ich danych;
  5. żąda­nia ogra­ni­cze­nia przetwarzania;
  6. żąda­nia prze­no­sze­nia danych;
  7. zgło­sze­nia sprze­ci­wu wobec prze­twa­rza­nia ich danych osobowych;
  8. nie­pod­le­ga­nia decy­zji w zakre­sie zauto­ma­ty­zo­wa­ne­go prze­twa­rza­nia danych.

Z ww. upraw­nie­nia­mi osób fizycz­nych wią­żą się obo­wiąz­ki nało­żo­ne na przed­się­bior­ców, któ­rzy muszą zapew­nić, aby pra­wa oso­by fizycz­nej, któ­rej dane są przez nich prze­twa­rza­ne były przestrzegane.

Obowiązek informacyjny

Admi­ni­stra­tor jest obo­wią­za­ny w zwię­złej, zro­zu­mia­łej i łatwo dostęp­nej for­mie oraz pro­stym i jasnym języ­kiem udzie­lić oso­bie, któ­rej dane są przez nie­go prze­twa­rza­ne infor­ma­cji o takim prze­twa­rza­niu. Udzie­le­nie infor­ma­cji może odby­wać się rów­nież w for­mie elek­tro­nicz­nej. Na żąda­nie tej oso­by infor­ma­cja taka może jej zostać udzie­lo­na rów­nież w for­mie ust­nej pod warun­kiem potwier­dze­nia toż­sa­mo­ści roz­mów­cy przez admi­ni­stra­to­ra. Bez zna­cze­nia jest czy dane oso­by zosta­ły przez przed­się­bior­cę uzy­ska­ne bez­po­śred­nio od tej oso­by czy też z innych źródeł.

Prawo dostępu do danych osobowych

Admi­ni­stra­tor na żąda­nie oso­by, któ­rej dane oso­bo­we są prze­twa­rza­ne jest obo­wią­za­ny do potwier­dze­nia, że prze­twa­rza jej dane oso­bo­we. W przy­pad­ku prze­twa­rza­nia danych oso­bo­wych tej oso­by, przed­się­bior­ca musi udo­stęp­nić jej dane oraz udzie­lić infor­ma­cji. Nad­to, winien on dostar­czyć kopię prze­twa­rza­nych przez sie­bie danych, przy czym za wszel­kie kolej­ne kopie (oprócz pierw­szej) admi­ni­stra­tor może pobrać opła­tę wyni­ka­ją­cą z ponie­sio­nych przez nie­go kosz­tów administracyjnych.

Sprostowanie danych

Admi­ni­stra­tor jest zobo­wią­za­ny do nie­zwłocz­ne­go spro­sto­wa­nia nie­pra­wi­dło­wych danych oso­bo­wych, jeże­li oso­ba, któ­rej dane doty­czą tego zażą­da. Nad­to, przed­się­bior­ca musi uzu­peł­nić dane, gdy jest to konieczne. 

Usunięcie danych

Admi­ni­stra­tor jest obo­wią­za­ny do usu­nię­cia danych oso­bo­wych na żąda­nie oso­by, któ­rej te dane doty­czą. Win­no to być doko­na­ne nie­zwłocz­nie, o ile zacho­dzi jed­na z nastę­pu­ją­cych okoliczności:

  1. nie są one nie­zbęd­ne do celu, dla któ­re­go zosta­ły zebrane;
  2. zgo­da zosta­ła cof­nię­ta a brak jest innej pod­sta­wy przetwarzania;
  3. został wnie­sio­ny sprze­ciw wobec przetwarzania;
  4. prze­twa­rza­nie było nie­zgod­ne z prawem;
  5. dane muszą zostać usu­nię­te zgod­nie z pra­wem unij­nym bądź pra­wem krajowym;
  6. dane zosta­ły zebra­ne w związ­ku ze świad­cze­niem usług spo­łe­czeń­stwa infor­ma­cyj­ne­go, czy­li usług ofe­ro­wa­nych na odle­głość dro­gą elek­tro­nicz­ną i na indy­wi­du­al­ne żąda­nie odbior­cy usług.

Ana­li­zo­wa­ny obo­wią­zek usu­nię­cia danych nie obo­wią­zu­je, gdy są one niezbędne:

  1. do korzy­sta­nia z pra­wa wol­no­ści wypowiedzi;
  2. do wyko­na­nia obo­wiąz­ku, jaki spo­czy­wa na administratorze;
  3. ze wzglę­du na inte­res publicz­ny w zakre­sie zdro­wia publicznego;
  4. do celów archi­wal­nych, nauko­wych, histo­rycz­nych lub sta­ty­stycz­nych w inte­re­sie publicznym;
  5. do usta­le­nia, docho­dze­nia bądź obro­ny roszczeń.

Prawo do ograniczenia przetwarzania danych

Oso­ba, któ­rej dane doty­czą, ma pra­wo żąda­nia ogra­ni­cze­nia prze­twa­rza­nia, gdy:

  1. kwe­stio­nu­je pra­wi­dło­wość danych;
  2. prze­twa­rza­nie jest nie­zgod­ne z prawem;
  3. admi­ni­stra­to­ro­wi dane te nie są już potrzebne;
  4. oso­ba, któ­rej dane doty­czą wnio­sła sprze­ciw wobec ich przetwarzania.

Gdy doj­dzie do ogra­ni­cze­nia prze­twa­rza­nia danych, przed­się­bior­ca może je prze­twa­rzać wyłącz­nie za zgo­dą oso­by, któ­rych dane te doty­czą (nie doty­czy to pra­wa do prze­cho­wy­wa­nia danych – brak wymo­gu zgody). 

Prawo do przenoszenia danych

Oso­ba, któ­rej dane doty­czą, ma pra­wo otrzy­mać dane, któ­re dostar­czy­ła admi­ni­stra­to­ro­wi. Jest ona rów­nież upraw­nio­na do żąda­nia prze­sła­nia danych inne­mu admi­ni­stra­to­ro­wi, gdy:

  1. prze­twa­rza­nie odby­wa się na pod­sta­wie zgo­dy bądź
  2. prze­twa­rza­nie odby­wa się na pod­sta­wie umowy 

oraz jed­no­cze­śnie prze­twa­rza­nie takie odby­wa się w spo­sób zautomatyzowany.

Prawo sprzeciwu

Oso­ba, któ­rej dane doty­czą może w każ­dej chwi­li wnieść sprze­ciw wobec prze­twa­rza­nia jej danych oso­bo­wych na pod­sta­wie praw­nie uza­sad­nio­ne­go inte­re­su admi­ni­stra­to­ra bądź lub w celu reali­za­cji inte­re­su publicz­ne­go lub w ramach spra­wo­wa­nia wła­dzy publicznej. 

W takich oko­licz­no­ściach admi­ni­stra­to­ro­wi nie wol­no już co do zasa­dy prze­twa­rzać tych danych oso­bo­wych. Zakaz taki nie wystę­pu­je jed­nak, gdy wyka­że on ist­nie­nie waż­nych praw­nie uza­sad­nio­nych pod­staw do prze­twa­rza­nia, któ­re są nad­rzęd­ne wobec inte­re­sów oso­by, któ­rej dane doty­czą. Ponad­to, gdy dane te są nie­zbęd­ne do usta­le­nia, docho­dze­nia lub obro­ny rosz­czeń admi­ni­stra­to­ra rów­nież zakaz ten nie znaj­dzie zastosowania. 

Obowiązki nałożone na administratora

Admi­ni­stra­tor, jeże­li doko­nał spro­sto­wa­nia danych, ich usu­nię­cia bądź ogra­ni­cze­nia ich prze­twa­rza­nia, infor­mu­je oso­bę, któ­rej dane doty­czą oraz odbior­cę danych o pod­ję­tych przez sie­bie działaniach.

Admi­ni­stra­tor bez zbęd­nej zwło­ki, mak­sy­mal­nie w ter­mi­nie mie­sią­ca od otrzy­ma­nia żąda­nia – udzie­la oso­bie, któ­rej dane doty­czą, infor­ma­cji o pod­ję­tych przez sie­bie dzia­ła­niach w związ­ku z każ­dym z żądań opi­sa­nych powy­żej. Ter­min ten może zostać prze­dłu­żo­ny o kolej­ne dwa mie­sią­ce, gdy jest to koniecz­ne np. z uwa­gi na skom­pli­ko­wa­ny cha­rak­ter żąda­nia lub licz­bę żądań.

Podsumowanie

RODO wpro­wa­dził sze­reg nowych insty­tu­cji, posze­rza­jąc w spo­sób zna­czą­cy upraw­nie­nia osób fizycz­nych, któ­rych dane oso­bo­we są prze­twa­rza­ne przez róż­ne pod­mio­ty dzia­ła­ją­ce na tere­nie Unii Euro­pej­skiej (bądź któ­rych dzia­ła­nie wywo­łu­je sku­tek na tere­nie UE). Wśród kata­lo­gu nowych upraw­nień osób fizycz­nych nale­ży m. in. obo­wią­zek infor­ma­cyj­ny, któ­ry doty­czy każ­de­go z admi­ni­stra­to­rów. Obo­wią­zek taki został w spo­sób szcze­gó­ło­wy okre­ślo­ny prze­pi­sa­mi Roz­po­rzą­dze­nia, a za jego nie­wy­ko­na­nie bądź wyko­na­nie w spo­sób nie­peł­ny pod­mio­ty prze­twa­rza­ją­ce dane oso­bo­we są kara­ne wyso­ki­mi kara­mi admi­ni­stra­cyj­ny­mi. War­to jest więc, aby każ­dy z pod­mio­tów pro­wa­dzą­cych dzia­łal­ność gospo­dar­czą szcze­gó­ło­wo zapo­znał się z pra­wa­mi osób, któ­rych dane prze­twa­rza, a w tym stwo­rzył klau­zu­le infor­ma­cyj­ne zgod­ne z wymo­ga­mi RODO. Kan­ce­la­ria Praw­na Rad­kie­wicz Adwo­ka­ci i Rad­co­wie Praw­ni chęt­nie udzie­li Pań­stwo wspar­cia m.in. w zakre­sie przy­go­to­wa­nia doku­men­ta­cji doty­czą­cej ochro­ny danych osobowych. 

Powrót do spe­cja­li­za­cji — Szko­le­nie RODO

Masz pyta­nia lub wątpliwości?

Zadzwoń

+48 22 489 52 65

Ocena 

Śred­nia oce­na: 5 / 5. Licz­ba gło­sów: 1