Państwa prawa związane z ochroną danych

Ustawa RODO zawiera szczegółowe informacje na temat praw w zakresie ochrony danych osobowych, możliwości dochodzenia środków ochrony prawnej oraz związanych z nimi ograniczeń (w szczególności są to artykuły 15 16, 17, 18, 19, 20, 21, 77 78, 79 i 82 RODO). Osoba, której dotyczą dane ma prawo w dowolnym momencie zażądać informacji o dotyczących jej przetwarzanych danych osobowych, a także zażądać ich sprostowania, usunięcia lub ograniczenia ich przetwarzania. Ponadto, osoba może wnieść sprzeciw wobec przetwarzania danych realizowanego na podstawie uzasadnionego interesu, a także nie wyrazić zgody na otrzymywanie bezpośredniej komunikacji marketingowej. Respondent ma także prawo przenoszenia danych. Poniżej przytaczamy najistotniejsze postanowienia ustawy. (Szczegółowy opis tych praw przysługujących osobie, której dotyczą dane znajduje się w poniższym menu rozwijanym):


Prawo do informacji

Jeżeli administrator danych przetwarza dane osoby, której dotyczą dane, to ma obowiązek udzielić tej osobie informacji w zakresie danych, które jej dotyczą – nawet bez wyraźnego żądania ze strony tej osoby – obejmuje to ogólną charakterystykę takiego przetwarzania danych oraz cel, podstawę i okres administrowania danymi (w przypadku przekazywania danych do innych krajów wymagane jest również udzielenie odpowiednich i adekwatnych gwarancji), uzasadniony interes administratora danych i/lub stron trzecich w przypadku przetwarzania danych na podstawie uzasadnionego interesu, a także prawa tej osoby w zakresie ochrony danych osobowych i środki ochrony prawnej (włącznie z wniesieniem skargi do organu nadzorującego), w sytuacji, gdy dana osoba nie posiadała jeszcze takich informacji. W przypadku automatycznego podejmowania decyzji lub profilowania osoba, której dotyczą dane musi zostać poinformowana, w zrozumiały dla niej sposób, o zasadach podejmowania takich decyzji, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą. Administrator danych musi poinformować osobę, której dotyczą dane, o powyższym poprzez udostępnienie jej niniejszych informacji o polityce prywatności.


Prawo dostępu do danych

Osoba, której dotyczą dane, ma prawo do uzyskania od administratora danych potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, to jest uprawniona do uzyskania dostępu do nich oraz do pewnych informacji dotyczących przetwarzania tych danych, jak np. cel przetwarzania danych, kategorie przetwarzanych danych, informacje o odbiorcach danych, informacje o (planowanym) okresie przetwarzania danych, informacje o prawie i możliwości korzystania ze środków prawnych przysługujących osobie, której dotyczą dane (włącznie z prawem do wniesienia skargi do organu nadzorującego), a także informacje o źródle, z którego pochodzą dane. Na żądanie, administrator zobowiązany jest do przekazania osobie, której dotyczą dane, kopii danych osobowych podlegających przetwarzaniu. Za wszelkie kolejne kopie, o które zwróci się osoba, której dane dotyczą, administrator może pobrać opłatę w rozsądnej wysokości wynikającej z kosztów administracyjnych. Prawo do otrzymania kopii danych nie może niekorzystnie wpływać na prawa i wolności innych osób. Po otrzymaniu żądania wydania kopii danych, administrator danych musi udzielić osobie, której dane dotyczą, informacji o możliwościach, procesie, potencjalnym koszcie i innych kwestiach związanych z wydaniem takiej kopii.
W przypadku automatycznego podejmowania decyzji lub profilowania osoba, której dotyczą dane musi mieć dostęp do informacji o zasadach podejmowania takich decyzji, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.


Prawo do sprostowania danych

Osoba, której dane dotyczą, ma prawo żądania od administratora danych niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe. Z uwzględnieniem celów przetwarzania, osoba, której dane dotyczą, ma prawo żądania uzupełnienia niekompletnych danych osobowych, w tym poprzez przedstawienie dodatkowego oświadczenia.


Prawo do usunięcia danych

Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli występują ku temu pewne podstawy lub zachodzą odpowiednie warunki. Między innymi, administrator zobowiązany jest do usunięcia danych osobowych na żądanie osoby, której dane te dotyczą, w sytuacji, gdy: dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane; osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie i nie ma innej podstawy prawnej przetwarzania; jeżeli dane były przetwarzane w sposób niezgodny z prawem; jeżeli osoba, której dane dotyczą, wnosi sprzeciw wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy; jeżeli dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator; lub jeżeli dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego.

W wypadku, gdy przetwarzanie danych osobowych oparte jest na zgodzie osoby, której dotyczą dane, po wycofaniu zgody, dane nie zostaną wykorzystane w powyższych celach.

Należy zaznaczyć, że wycofanie zgody na przetwarzanie danych przez osobę, której dotyczą dane, pozostaje bez wpływu na przetwarzanie danych, które zostało przeprowadzone na podstawie udzielonej zgody przed jej wycofaniem.


Prawo do ograniczenia przetwarzania danych

Osoba, której dotyczą dane ma prawo do żądania od administratora danych ograniczenia przetwarzania danych w sytuacji, gdy zachodzi jedna z następujących sytuacji:

  1. poprawność danych osobowych zostanie zakwestionowana przez osobę, której dotyczą dane – na okres pozwalający administratorowi sprawdzić prawidłowość tych danych;
  2. przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania;
  3. administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń;
  4. osoba, której dane dotyczą, wniosła sprzeciw wobec przetwarzania – do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie administratora są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą.

W sytuacji, gdy przetwarzanie danych zostało ograniczone, takie dane osobowe można przetwarzać, z wyjątkiem przechowywania, wyłącznie za zgodą osoby, której dane dotyczą, lub w celu ustalenia, dochodzenia lub obrony roszczeń, lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na ważne względy interesu publicznego Unii lub państwa członkowskiego.
Przed uchyleniem ograniczenia przetwarzania administrator informuje o tym osobę, której dane dotyczą.


Prawo do przenoszenia danych

Osoba, której dane dotyczą, ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące, które dostarczyła administratorowi, oraz ma prawo przesłać te dane osobowe innemu administratorowi bez przeszkód ze strony administratora, któremu dostarczono te dane osobowe, jeżeli:

  1. przetwarzanie danych odbywa się w oparciu o zgodę udzieloną przez osobę, której dane
  2. przetwarzanie odbywa się w sposób zautomatyzowany.

Wykonując swoje prawo do przenoszenia danych, osoba, której dane dotyczą ma prawo żądania, by dane osobowe zostały przesłane przez administratora bezpośrednio innemu administratorowi, o ile jest to technicznie możliwe.

Prawo do przenoszenia danych pozostaje bez uszczerbku dla postanowień regulujących możliwość usunięcia danych, a także nie może wpływać negatywnie na prawa i swobody innych osób.


Prawo do sprzeciwu:

Osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw – z przyczyn związanych z jej szczególną sytuacją – wobec przetwarzania dotyczących jej danych osobowych w przypadku gdy przetwarzanie to odbywa się na mocy uzasadnionych interesów administratora. Administratorowi nie wolno już przetwarzać tych danych osobowych, chyba że wykaże on istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń.