Działdowska Agencja Rozwoju S.A.
RODO – BEZPIECZEŃSTWO DANYCH OSOBOWYCH
25 maja 2018 roku zaczęło obowiązywać Rozporządzenie Parlamentu Europejskiego i Rady (EU) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (określane jako RODO, GDPR lub Ogólne Rozporządzenie o Ochronie Danych Osobowych). Celem RODO jest ujednolicenie zasad przetwarzania danych osobowych w całej Unii Europejskiej oraz ustandaryzowanie informacji kierowanych do klientów o ich prawach.
Osoba, która chce się dowiedzieć, czy administrator przetwarza dane na jej temat, może zwrócić się do administratora o udzielenie informacji. Tego rodzaju wniosek nie wymaga uzasadnienia. Przepisy nie precyzują formy, w jakiej wniosek powinien być złożony, dlatego wniosek może przybrać formę dowolną; może to być wniosek pisemny, elektroniczny bądź zapytanie ustne. Administrator zobowiązany jest dokonać weryfikacji tożsamości osoby składającej wniosek, by upewnić się, że dane zostaną przekazane właściwej osobie. Wydanie kopii przetwarzanych danych wnioskującej osobie jest nieodpłatne, gdy jest to pierwszy wniosek, za kolejne kopie możliwa jest opłata.
Administrator bez zbędnej zwłoki – w terminie miesiąca od otrzymania żądania – powinien udzielić osobie, której dane dotyczą, informacji o działaniach podjętych w związku z żądaniem. W razie potrzeby termin ten można przedłużyć o kolejne dwa miesiące, z uwagi na skomplikowany charakter żądania lub liczbę żądań. W terminie miesiąca od otrzymania żądania, administrator informuje osobę, której dane dotyczą, o takim przedłużeniu terminu, z podaniem przyczyn opóźnienia. Uzyskanie informacji o spełnieniu żądania podmiotu danych, kończy postępowanie w tym zakresie. Uzyskanie informacji o niespełnieniu żądania, uprawnia podmiot danych do wniesienia skargi do organu nadzorczego zgodnie z art. 77 r.o.d.o.
Osoba której dane dotyczą, ma prawo do żądania dokonania korekty, bądź usunięcia jej danych, jeśli są one nieprawdziwe, niepełne lub zostały zebrane w sposób sprzeczny z ustawą. Unijne rozporządzenie o ochronie danych nakłada na administratora obowiązek zapewnienia prawidłowości danych. Dane osobowe powinny być prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane. W przypadku rozbieżności między stanem faktycznym, a treścią danych, prawodawca unijny przyznał osobie, której dane dotyczą, uprawnienie do żądania od administratora sprostowania przetwarzanych danych, a w przypadku, gdy dane są niekompletne, podmiot danych może domagać się ich uzupełnienia. Ciężar wykazania nieprawidłowości spoczywa na osobie, której dane dotyczą.
Administrator bez zbędnej zwłoki – w terminie miesiąca od otrzymania żądania – powinien udzielić osobie, której dane dotyczą, informacji o działaniach podjętych w związku z żądaniem. W razie potrzeby termin ten można przedłużyć o kolejne dwa miesiące, z uwagi na skomplikowany charakter żądania lub liczbę żądań. W terminie miesiąca od otrzymania żądania, administrator informuje osobę, której dane dotyczą, o takim przedłużeniu terminu, z podaniem przyczyn opóźnienia. Uzyskanie informacji o spełnieniu żądania podmiotu danych kończy postępowanie w tym zakresie. Uzyskanie informacji o niespełnieniu żądania, uprawnia podmiot danych do wniesienia skargi do organu nadzorczego zgodnie z art. 77 r.o.d.o.
W określonych w rozporządzeniu przypadkach prawodawca unijny przyznał osobie, której dane dotyczą, uprawnienie do żądania od administratora usunięcia danych jej dotyczących. Uprawnienie to, określane jest także mianem „prawa do bycia zapomnianym”.
Jeżeli osoba, której dane dotyczą:
to może zwrócić się do administratora z żądaniem usunięcia danych. Ciężar dowodu (wykazania nieprawidłowości, nielegalności przetwarzania bądź zbędności danych) ciąży na osobie, której dane dotyczą.
Administrator bez zbędnej zwłoki – w terminie miesiąca od otrzymania żądania – powinien udzielić osobie, której dane dotyczą, informacji o działaniach podjętych w związku z żądaniem. W razie potrzeby termin ten można przedłużyć o kolejne dwa miesiące, z uwagi na skomplikowany charakter żądania lub liczbę żądań. W terminie miesiąca od otrzymania żądania, administrator informuje osobę, której dane dotyczą, o takim przedłużeniu terminu, z podaniem przyczyn opóźnienia. Uzyskanie informacji o spełnieniu żądania podmiotu danych kończy postępowanie w tym zakresie. Uzyskanie informacji o niespełnieniu żądania, uprawnia podmiot danych do wniesienia skargi do organu nadzorczego zgodnie
z art. 77 r.o.d.o.
Przepisy r.o.d.o. przewidują uprawnienie osoby, której dane dotyczą, do żądania od administratora ograniczenia ich przetwarzania.
Jeżeli osoba, której dane dotyczą:
Administrator bez zbędnej zwłoki – w terminie miesiąca od otrzymania żądania – powinien udzielić osobie, której dane dotyczą, informacji o działaniach podjętych w związku z żądaniem. W razie potrzeby, termin ten można przedłużyć o kolejne dwa miesiące, z uwagi na skomplikowany charakter żądania lub liczbę żądań. W terminie miesiąca od otrzymania żądania, administrator informuje osobę, której dane dotyczą, o takim przedłużeniu terminu, z podaniem przyczyn opóźnienia. Uzyskanie informacji o spełnieniu żądania podmiotu danych kończy postępowanie w tym zakresie. Uzyskanie informacji o niespełnieniu żądania, uprawnia podmiot danych do wniesienia skargi do organu nadzorczego zgodnie z art. 77 r.o.d.o.
W przypadku, gdy przetwarzanie danych osobowych odbywa się w sposób zautomatyzowany, tzn. jeżeli czynności, które są wykonywane w ramach procesów przetwarzania, realizowane są przez systemy informatyczne lub inne mechanizmy pozwalające na automatyzację (wykonywanie czynności przez maszynę samoczynnie, bez każdorazowego działania człowieka), osoba, której dane dotyczą, może zwrócić się do administratora z wnioskiem o przeniesienie danych osobowych. Dla możności skorzystania z prawa do przenoszenia danych prawodawca unijny wymaga łącznego spełnienia przesłanek dotyczących: podstawy przetwarzania (zgoda lub umowa) oraz sposobu przetwarzania (zautomatyzowany).
Administrator bez zbędnej zwłoki – w terminie miesiąca od otrzymania żądania – powinien udzielić osobie, której dane dotyczą, informacji o działaniach podjętych w związku z żądaniem. W razie potrzeby termin ten można przedłużyć o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań. W terminie miesiąca od otrzymania żądania, administrator informuje osobę, której dane dotyczą, o takim przedłużeniu terminu, z podaniem przyczyn opóźnienia. Uzyskanie informacji o spełnieniu żądania podmiotu danych kończy postępowanie w tym zakresie. Uzyskanie informacji o niespełnieniu żądania, uprawnia podmiot danych do wniesienia skargi do organu nadzorczego zgodnie z art. 77 r.o.d.o.
Jeżeli osoba, której dane dotyczą, sprzeciwia się przetwarzaniu danych na swój temat, może wnieść do administratora sprzeciw. Sprzeciw nie przysługuje jednak w przypadku, gdy osoba wyraziła zgodę na przetwarzanie danych. Jeżeli osoba nie chce, aby administrator dalej przetwarzał jej dane, powinna cofnąć zgodę (choć skutek może być taki sam, to z punktu widzenia prawnego sprzeciw i odwołanie zgody to konstrukcje odmienne).
Sprzeciw nie przysługuje również w przypadku, gdy:
Administrator bez zbędnej zwłoki – w terminie miesiąca od otrzymania żądania – powinien udzielić osobie, której dane dotyczą, informacji o działaniach podjętych w związku z żądaniem. W razie potrzeby termin ten można przedłużyć o kolejne dwa miesiące, z uwagi na skomplikowany charakter żądania lub liczbę żądań. W terminie miesiąca od otrzymania żądania, administrator informuje osobę, której dane dotyczą, o takim przedłużeniu terminu, z podaniem przyczyn opóźnienia. Uzyskanie informacji o spełnieniu żądania podmiotu danych kończy postępowanie w tym zakresie. Uzyskanie informacji o niespełnieniu żądania, uprawnia podmiot danych do wniesienia skargi do organu nadzorczego zgodnie z art. 77 r.o.d.o.
Bez uszczerbku dla innych administracyjnych lub środków ochrony prawnej przed sądem, każda osoba, której dane dotyczą, ma prawo wnieść skargę do organu nadzorczego, w szczególności w państwie członkowskim swojego zwykłego pobytu, swojego miejsca pracy lub miejsca popełnienia domniemanego naruszenia, jeżeli sądzi, że przetwarzanie danych osobowych jej dotyczące narusza rozporządzenie r.o.d.o.
Organ nadzorczy, do którego wniesiono skargę, informuje skarżącego o postępach i efektach rozpatrywania skargi, w tym o możliwości skorzystania z sądowego środka ochrony prawnej na mocy art. 78 r.o.d.o.
Każda osoba fizyczna ma prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych, gdy uzna iż przetwarzanie danych osobowych jej dotyczących narusza przepisy r.o.d.o.