26 lut RODO: (Nowe?) prawa osób, których dane dotyczą

Dodane 13:05 w Ochrona danych osobowych | RODO, RODOponiedziałki autor:

Jednym z głównych założeń RODO jest zapewnienie każdej osobie fizycznej kontroli nad jej danymi osobowymi, niezależnie od tego kto i w jakim celu je przetwarza. Dlatego RODO duży nacisk kładzie na uprawnienia podmiotów danych, które mają im pomóc w realizacji tej kontroli. Z perspektywy administratora danych wiążą się one jednak z wieloma obowiązkami.

Najważniejsze uprawnienia jakie przewiduje RODO to: prawo do bycia poinformowanym, prawo dostępu do danych, prawo sprostowania / uzupełnienia danych, prawo do  bycia zapomnianym; prawo do przenoszenia danych, prawo do ograniczenia przetwarzania czy prawo do sprzeciwu.

Część uprawnień brzmi znajomo? Tak, większość z nich może być realizowana już na gruncie obecnej ustawy o ochronie danych osobowych. Jeśli więc Twoje obecne systemy informatyczne umożliwiają osobom, których dane przetwarzasz realizację ich praw, już teraz spełniasz część wymogów RODO.

Jeśli jednak nie, realizowanie żądań osób może wymagać stworzenia w Twojej firmie odpowiednich procedur i mechanizmów, do czego zresztą zachęca RODO już w punkcie 59 preambuły. Co więcej, jeżeli przetwarzasz dane drogą elektroniczną powinieneś zapewnić osobie, której dane dotyczą możliwość realizacji tych żądań także drogą elektroniczną.

Ważne, żeby mieć świadomość, że jako administrator nie będziesz zobowiązany do realizacji wszystkich uprawnień każdej osoby, w każdym przypadku i zakresie. Konkretne uprawnienia przysługują bowiem w zależności od tego na jakiej podstawie oparte jest przetwarzanie i jaki jest jego cel.

Prawo do informacji i dostępu do danych

Jednym z głównych praw osób, których dane dotyczą jest prawo do bycia poinformowanym. RODO wprowadza wachlarz obowiązków informacyjnych administratora, rozbudowując je znacznie w stosunku do obecnego stanu prawnego. Wynikają one zresztą już z samej zasady rzetelnego i przejrzystego przetwarzania, które wymagają aby osoba, której dane dotyczą była informowana o operacjach przetwarzania jej danych i ich celach. Co więcej, informacje te powinny być formułowane jasnym i prostym językiem i przekazywane w sposób zwięzły, łatwo dostępny i zrozumiały.

Nie można też zapomnieć, że prawo do informacji to nie tylko art. 13 i 14 RODO, które dotyczą obowiązku przekazania informacji w momencie pozyskiwania danych osobowych. Osoba, której dane dotyczą ma także prawo uzyskania od administratora szeregu informacji w związku z realizacją prawa dostępu do danych czy pozostałych praw.

Prawo do sprostowania / uzupełnienia danych

Każda osoba, której dane są przetwarzane ma także prawo żądania niezwłocznego sprostowania danych nieprawidłowych lub uzupełnienia danych niekompletnych. Fakt nieprawidłowości musi jednak udowodnić osoba wnosząca takie żądanie. Przykładem takiej sytuacji może być żądanie pracownika w zakresie aktualizacji jego kwalifikacji w związku z ukończeniem studiów podyplomowych.

Należy pamiętać, że prawo do żądania aktualizacji danych powinno być ograniczone do celów przetwarzania. Wnioskodawca nie może żądać uzupełniania bazy danych administratora o informacje, które byłyby nadmierne, tj. nie byłyby niezbędne do realizacji tego celu. I tak przykładowo, klient sklepu internetowego z butami nie może żądać od sprzedawcy uzupełnienia jego danych o dane dotyczące jego stanu zdrowia czy światopoglądu.

Prawo do ograniczenia przetwarzania

RODO przyznaje osobie, której dane dotyczą, uprawnienie do żądania ograniczenia przetwarzania danych osobowych, które polega na ograniczeniu przetwarzania wyłącznie do przechowywania danych. Żądanie to może być zgłoszone wyłącznie w ściśle określonych w art. 18 RODO przypadkach, m.in. gdy przetwarzanie jest niezgodne z prawem, ale wnioskodawca sprzeciwia się usunięciu danych, żądając jedynie ograniczenia.

Co istotne, dane, w odniesieniu do których ograniczono przetwarzanie, powinny być wyraźnie odróżnione od pozostałych danych oraz nie mogą podlegać dalszemu przetwarzaniu ani modyfikacjom.

Prawo do bycia zapomnianym

Prawo do bycia zapomnianym to chyba najczęściej omawiane w ostatnim czasie uprawnienie osób, których dane dotyczą. Nie zapominajmy jednak, że należy je traktować raczej jako odpowiednik dobrze znanego obecnym przepisom prawa osoby do usunięcia danych. Więcej o tym uprawnieniu pisaliśmy tutaj.

Prawo do przenoszenia danych 

Prawo do przenoszenia danych, jest nowym uprawnieniem na gruncie RODO. Co oznacza w praktyce? Osoba, której dane dotyczą ma prawo żądania otrzymania od administratora jej danych w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego. Co więcej, może żądać aby administrator przesłał te dane innemu administratorowi.

Skorzystać z tego uprawnienia mogą jednak wyłącznie osoby, których dane przetwarzane są na podstawie zgody, w celu wykonania umowy lub gdy przetwarzanie odbywa się w sposób automatyczny. W praktyce, takie uprawnienie może ułatwić procedurę uzyskiwania kredytu, bo klient może żądać przekazania wszystkich jego danych do innego banku, czy też przejście do nowej księgarni online z żądaniem przeniesienia informacji o czytanych i lubianych książkach.

Oczywiście po stronie administratorów to nowe uprawnienie wymaga wypracowania i wdrożenia takich mechanizmów, które pozwolą na przenoszenie danych do kompatybilnych technicznie systemów innych administratorów.

Realizacja praw osób

Prawa podmiotów danych tworzą po stronie administratora nie tylko obowiązek ich realizacji, ale także

dostarczenia niezbędnych informacji o podjętych przez niego działaniach. Informacje powinny być przekazane bez zbędnej zwłoki, najpóźniej w terminie 1 miesiąca od otrzymania wniosku. W sprawach skomplikowanych termin ten można przedłużyć o kolejne dwa miesiące, ale i tak w terminie miesiąca należy poinformować osobę, której dane dotyczą, o takim przedłużeniu, z podaniem przyczyn opóźnienia.

Jeżeli żądania osoby są ewidentnie nieuzasadnione lub nadmierne, administrator może pobrać rozsądną opłatę lub odmówić realizacji żądania. Dotyczy to głównie ewidentnych przypadków przesadnego i uporczywego działania wnioskodawcy. W takim wypadku administrator musi jednak powiadomić wnioskodawcę o fakcie i przyczynach niespełnienia jej żądania, a także o możliwości wniesienia skargi do organu nadzorczego i skorzystania z sądowej ochrony swoich praw.

Jeżeli zatem jako administrator przetwarzasz dane osobowe, a szczególnie w dużych ilościach, powinieneś zadbać o przeszkolenie personelu oraz wdrożyć odpowiednią infrastrukturę techniczną i informatyczną, która pozwoli Ci na niezwłoczne reagowanie na żądania osób, których dane przetwarzasz. Coraz większa świadomość prawna osób, których dane są przetwarzane sugeruje, że będą one coraz częściej korzystać ze swoich uprawnień, a w przypadku ich niezrealizowania dochodzić swoich praw.

Autor: Magdalena Kaleta-Maniak

MANAGER | ADWOKAT | OW LEGAL

magdalena.kaleta@olesinski.com

Więcej

Powiązane wpisy:

Jedno szkolenie pracowników z danych osobowych wystarczy? Kontrola trzeźwości a RODOKontrola trzeźwości w pracy a RODO cyberbezpieczeństwoCyberbezpieczeństwo przedsiębiorców w świecie pełnym cyberzagrożeń
Tagi:
, , , , , , ,