Jakie prawa mają osoby udostępniające swoje dane?
RODO jednocześnie rozszerza prawa konsumentów i obowiązki podmiotów przetwarzających ich dane osobowe. Nowe przepisy wprowadzają pięć kluczowych praw, których musi przestrzegać każdy administrator danych.
1. Rozszerzone prawo do informacji
Osoby, których dane są przetwarzane, muszą być poinformowane o szczegółach tego procesu. Zgodnie z rozporządzeniem o ochronie danych osobowych administrator danych osobowych musi:
- Poinformować o tym, że ich dane są zbierane, wykorzystywane, przeglądane lub w inny sposób przetwarzane.
- Poinformować o tym, w jakim stopniu są lub będą one przetwarzane.
- Uświadomić o ryzyku, jakie wiąże się z operacjami na danych osobowych.
- Uświadomić osobom, których dane są przetwarzane, o przysługujących im prawach: prawie do żądania dostępu do danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych.
- Poinformować o zautomatyzowanym podejmowaniu decyzji przez przedsiębiorstwo na podstawie zebranych danych, w tym o profilowaniu (patrz punkt 5).
- Poinformować o tym, czy podanie danych osobowych jest wymogiem ustawowym, umownym, czy może stanowi warunek zawarcia umowy.
- Poinformować o obowiązku pozostawienia danych i ewentualnych konsekwencjach ich nieudostęnienia.
2. Prawo dostępu do danych
Z prawem do informacji ściśle związane jest prawo dostępu do danych. Każdy ma prawo żądać potwierdzenia, czy jej/jego dane osobowe są przez administratora przetwarzane. Odpowiedź twierdząca może być podstawą dalszego domagania się informacji o:
- celu przetwarzania;
- kategoriach odnośnych danych osobowych;
- odbiorcach lub kategoriach odbiorców, którym dane zostały lub zostaną ujawnione;
- planowanym okresie przechowywania danych (lub o kryteriach ustalenia tego okresu);
- prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania (patrz punkty 3 i 4);
- prawie wniesienia skargi do organu nadzorczego;
- źródle pozyskania danych – jeżeli nie zostały one zebrane od osoby, której dane dotyczą;
- o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4 RODO;
- o zasadach podejmowania tych decyzji, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
3. Prawo sprostowania danych i usuwania danych
Na żądanie zainteresowanego administrator ma obowiązek niezwłocznego sprostowania nieprawidłowych danych osobowych oraz ich uzupełnienia, jeśli są niekompletne. Korekta danych musi następować za każdym razem, gdy ich właściciel wykaże w nich nieprawidłowości.
Ponadto, w sytuacji gdy dane osobowe nie są już niezbędne do osiągnięcia celów, dla których były gromadzone, osoba, której dane dotyczą, ma prawo domagać się usunięcia ich przez administratora. Podobnie będzie, gdy wniosła ona sprzeciw lub cofnęła zgodę na przetwarzanie swoich danych.
4. Prawo do sprzeciwu
Osoba, której dane są przetwarzane, może w każdej chwili wnieść sprzeciw do administratora danych, a ten musi przestać jej dane przetwarzać.
Ponadto, sprzeciw może zostać wniesiony w następujących sytuacjach:
- wobec przetwarzania danych osobowych na potrzeby marketingu bezpośredniego lub
- wobec przetwarzania danych osobowych do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1 RODO, z przyczyn związanych ze szczególną sytuacją osoby, której dane dotyczą.
- Po wniesieniu sprzeciwu administratorowi nie wolno dłużej przetwarzać danych osobowych, chyba że zaistnieją przesłanki ściśle wskazane w RODO.
RODO nie narzuca żadnych szczególnych wymogów w zakresie formy sprzeciwu – może być wniesiony ustnie w czasie rozmowy telefonicznej, pocztą elektroniczną lub za pomocą faksu.
5. Prawo do bycia informowanym o profilowaniu
Profilowanie to forma zautomatyzowanego przetwarzania danych osobowych, która służy ocenie czynników osobowych osoby fizycznej. Ci, których ten proces dotyczy, muszą zostać poinformowani o tym fakcie oraz o jego konsekwencjach. Profilowanie może być stosowane do oceny sytuacji ekonomicznej, zainteresowań czy preferencji osób. Przykładem profilowania jest proces monitorowania zachowań w przypadku wykorzystywania plików cookies.
*Autor: Katarzyna Blachowicz, radca prawny, młodszy partner w Kancelarii Prawnej GWW
Artykuł ukazał się w Gazecie Wyborczej.
Powiązane wpisy
Awanse na stanowiska senior associate, associate oraz junior associate
Awanse na stanowiska senior associate, associate oraz junior associateAwanse na stanowisko counsel w zespole doradztwa podatkowego
Awanse na stanowisko counsel w zespole doradztwa podatkowegoAwanse na stanowisko counsel w zespole doradztwa prawnego
Awanse na stanowisko counsel w zespole doradztwa prawnegoDni Otwarte w GWW Rzeszów za nami
Dni Otwarte w GWW Rzeszów za namiObawiasz się,
że ominą Cię
najważniejsze zmiany
W prawie?