Adrianna Glapiak
Sekcja 3 w przedmiotowym rozporządzeniu odnosi się do praw przysługujących podmiotowi danych osobowych. Więcej na ten temat przeczytasz w niniejszym artykule.
Prawo do sprostowania danych
Prawo osoby, której dane dotyczą
Zgodnie z przepisem art. 16 RODO Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe. Z uwzględnieniem celów przetwarzania, osoba, której dane dotyczą, ma prawo żądania uzupełnienia niekompletnych danych osobowych, w tym poprzez przedstawienie dodatkowego oświadczenia.
Powyższa regulacja dotyczy uprawnienia podmiotu danych do żądania od administratora niezwłocznego sprostowania nieprawidłowych danych osobowych. Możliwe jest również wystąpienie z żądaniem uzupełnienia danych niekompletnych. Nieprawidłowość może polegać na niezgodności ze stanem faktycznym, błędach w opublikowanych informacjach, czy też literówkach w imieniu i nazwisku.
Tym samym z przepisu art. 16 RODO wynika, iż osoba, której dane dotyczą ma prawo do wystąpienia z żądaniem sprostowania danych na dwóch płaszczyznach, tj.:
- poprzez sprostowanie danych rozumiane jako poprawienie nieprawidłowych danych;
- poprzez sprostowanie danych rozumiane jako uzupełnienie niekompletnych danych.
Osoba, która występuje z żądaniem sprostowania danych zobowiązana jest do wykazania, że dane, które jej dotyczą są nieprawidłowe, tj. nie odpowiadają rzeczywistości. Administrator w określonych sytuacjach może odmówić uwzględnienia żądań osoby, której dane dotyczą.
Obowiązki administratora
Na administratorze ciąży obowiązek powiadomienia o sprostowaniu lub usunięciu danych osobowych lub o ograniczeniu przetwarzania. W myśl przepisu art. 19 RODO administrator informuje o sprostowaniu każdego odbiorcę, któremu ujawniono dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. Administrator ma obowiązek poinformowania osoby, której dane dotyczą, o tych odbiorcach, jeżeli osoba, której dane dotyczą, tego zażąda.
Co więcej administrator zobowiązany jest do przejrzystego informowania i przejrzystej komunikacji oraz trybu wykonywania praw przez osobę, której dane dotyczą. W szczególności, zgodnie z przepisem art. 12 ust. 2 RODO,
administrator bez zbędnej zwłoki – a w każdym razie w terminie miesiąca od otrzymania żądania – udziela osobie, której dane dotyczą, informacji o działaniach podjętych w związku z żądaniem na podstawie art. 15-22. W razie potrzeby termin ten można przedłużyć o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań. W terminie miesiąca od otrzymania żądania administrator informuje osobę, której dane dotyczą o takim przedłużeniu terminu, z podaniem przyczyn opóźnienia. Jeśli osoba, której dane dotyczą, przekazała swoje żądanie elektronicznie, w miarę możliwości informacje także są przekazywane elektronicznie, chyba że osoba, której dane dotyczą, zażąda innej formy.
WAŻNE
Nieuzasadnione nieuczynienie zadość żądaniu podmiotu danych może skutkować dla administratora odpowiedzialnością przewidzianą w art. 83 ust. 5 lit. B RODO, zgodnie z którym naruszenie przepisów dotyczących następujących kwestii podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.
Prawo do usunięcia danych („prawo do bycia zapomnianym”)
Prawo osoby, której dane dotyczą
Zgodnie z przepisem art. 17 ust. 1 RODO: Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności:
a) dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
b) osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie zgodnie z art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a), i nie ma innej podstawy prawnej przetwarzania;
c) osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy
przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 2 wobec przetwarzania;
d) dane osobowe były przetwarzane niezgodnie z prawem;
e) dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator;
f) dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust. 1.
W powyższym określono przesłanki uprawniające podmiot danych do wystosowania żądania usunięcia danych. W literaturze przedmiotu wskazuje się, że Artykuł 17 ust. 1 zawiera katalog sytuacji, w których można żądać usunięcia danych. Zgodnie z tym przepisem dane powinny zostać usunięte niezwłocznie. Pomimo że katalog ten ma charakter zamknięty, to ze względu na ogólne sformułowanie szeregu wymienionych w nim przesłanek (tytułem przykładu art. 17 ust. 1 lit. d wskazuje na okoliczność, że „dane osobowe były przetwarzane niezgodnie z prawem”) jest on w praktyce niezwykle pojemny [por. M. Czerniawski [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, red. E. Bielak-Jomaa, D. Lubasz, Warszawa 2018, art. 17].
Tym samym osoba, której dane, której dotyczą ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, w przypadku gdy:
- dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane, co oznacza, że cel, dla którego dane były/powinny być zbierane przestał obowiązywać i wymagalny albo niezgodny z tymi celami;
- osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie zgodnie z przepisem:
- osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 2 wobec przetwarzania, co oznacza, że:
- dane osobowe były przetwarzane niezgodnie z prawem;
- dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator;
- dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust. 1 RODO, zgodnie z którym w przypadku usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku, zgodne z prawem jest przetwarzanie danych osobowych dziecka, które ukończyło 16 lat. Jeżeli dziecko nie ukończyło 16 lat, takie przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy zgodę wyraziła lub zaaprobowała ją osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem oraz wyłącznie w zakresie wyrażonej zgody. W motywie 65 RODO wskazano, że Każda osoba fizyczna powinna mieć prawo do sprostowania danych osobowych jej dotyczących oraz prawo do „bycia zapomnianym”, jeżeli zatrzymywanie takich danych narusza niniejsze rozporządzenie, prawo Unii lub prawo państwa członkowskiego, któremu podlega administrator.
– art. 6 ust. 1 lit. a) RODO, zgodnie z którym osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów lub
– art. 9 ust. 2 lit. a), zgodnie z którym osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu i nie ma innej podstawy prawnej przetwarzania;
– w przypadku art. 21 ust. 1 RODO administratorowi nie wolno już przetwarzać tych danych osobowych, chyba że wykaże on istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń;
– w przypadku art. 21 ust. 2 RODO przy sprzeciwie wobec działań marketingowych w tym profilowania, w zakresie, w jakim przetwarzanie jest związane z takim marketingiem bezpośrednim administratorowi nie wolno przetwarzać takich danych osobowych;
– w motywie 70 RODO wskazano, że Jeżeli dane osobowe są przetwarzane do celów marketingu bezpośredniego, osoba, której dane dotyczą, powinna mieć prawo wnieść w dowolnym momencie, bezpłatnie sprzeciw wobec tego przetwarzania, pierwotnego lub dalszego – w tym profilowania, o ile jest ono powiązane z marketingiem bezpośrednim. Prawo to powinno zostać wyraźnie podane do wiadomości osobie, której dane dotyczą, oraz powinno być przedstawione jasno i oddzielnie od wszelkich innych informacji.
Chcesz wiedzieć więcej na temat RODO a przetwarzaniu danych w celach marketingowych? Jeśli tak, to przejdź do tego artykułu.
Natomiast przepis art. 17 w ust. 3 RODO przewiduje szereg wyłączeń w zakresie których podmiotowi danych nie przysługują uprawnienia do żądania usunięcia danych i informowania o usunięciu danych. Przykładowo wyłączenie przysługuje w zakresie w jakim przetwarzanie jest niezbędne:
- do korzystania z prawa do wolności wypowiedzi i informacji;
- do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
- z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego;
- do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych o ile prawdopodobne jest, że prawo, , uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania;
- do ustalenia, dochodzenia lub obrony roszczeń.
Obowiązki administratora
Przepis art. 17 ust. 2 RODO nałożył na administratora obowiązek niezwłocznego spełnienia żądania usunięcia danych oraz informowania o usunięciu danych w przypadku ich upublicznienia. Zgodnie zatem z ustępem 2 ww. przepisu Jeżeli administrator upublicznił dane osobowe, a na mocy ust. 1 ma obowiązek usunąć te dane osobowe, to – biorąc pod uwagę dostępną technologię i koszt realizacji – podejmuje rozsądne działania, w tym środki techniczne, by poinformować administratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje.
Tym samym administrator, który upublicznił dane, a następnie zgodnie z żądaniem osoby, której dane dotyczą usunął dane, to spoczywa na nim obowiązek podjęcia, w tym środków technicznych, aby poinformować administratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą, zażądała, aby administratorzy usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje.
W motywie 66 RODO wskazano, iż Aby wzmocnić prawo do „bycia zapomnianym” w Internecie, należy rozszerzyć prawo do usunięcia danych poprzez zobowiązanie administratora, który upublicznił te dane osobowe, do poinformowania administratorów, którzy przetwarzają takie dane osobowe o usunięciu wszelkich łączy do tych danych, kopii tych danych osobowych lub ich replikacji. Spełniając ten obowiązek administrator powinien podjąć racjonalne działania z uwzględnieniem dostępnych technologii i dostępnych mu środków, w tym dostępnych środków technicznych, w celu poinformowania administratorów, którzy przetwarzają dane osobowe, o żądaniu osoby, której dane dotyczą.
Ważne
Nieuzasadnione nieuczynienie zadość żądaniu podmiotu danych może skutkować dla administratora odpowiedzialnością przewidzianą w art. 83 ust. 5 lit. B RODO, zgodnie z którym naruszenie przepisów dotyczących następujących kwestii podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.
Prawo do ograniczenia przetwarzania
Prawo osoby, której dane dotyczą:
Przede wszystkim wskazać należy, że zgodnie z przepisem art. 4 ust. 3 RODO ograniczenie przetwarzania oznacza oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania.
Osoba, której dane dotyczą, ma prawo żądania od administratora ograniczenia przetwarzania w następujących przypadkach:
- osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych – na okres pozwalający administratorowi sprawdzić prawidłowość tych danych;
- przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania;
- administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń;
- osoba, której dane dotyczą, wniosła sprzeciw wobec przetwarzania – do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie administratora są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą.
Powyższy katalog ma charakter zamknięty. Należy zapamiętać, że jeśli przetwarzanie zostało ograniczone, takie dane osobowe można przetwarzać, z wyjątkiem przechowywania, wyłącznie za zgodą osoby, której dane dotyczą, lub w celu ustalenia, dochodzenia lub obrony roszczeń, lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na ważne względy interesu publicznego Unii lub państwa członkowskiego [por. art. 18 ust. 2 RODO].
Tym samym przepis ten stanowi, że jeżeli przetwarzanie zostało ograniczone, dane osobowe można przetwarzać, z wyjątkiem przechowywania, w trzech przypadkach:
- wyłącznie za zgodą osoby, której dane dotyczą;
- w celu ustalenia, dochodzenia lub obrony roszczeń;
- w celu ochrony praw innej osoby fizycznej lub prawnej lub z uwagi na ważne względy interesu publicznego Unii lub państwa członkowskiego [tak P. Fajgielski [w:] Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, wyd. II, Warszawa 2022, art. 18].
Obowiązki administratora
Przede wszystkim administrator przed uchyleniem ograniczenia przetwarzania informuje o tym osobę, której dane dotyczą, która żądała ograniczenia.
Ważne
Nieuzasadnione nieuczynienie zadość żądaniu podmiotu danych może skutkować dla administratora odpowiedzialnością przewidzianą w art. 83 ust. 5 lit. B RODO, zgodnie z którym naruszenie przepisów dotyczących następujących kwestii podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.
Prawo do przenoszenia danych
Prawo osoby, której dane dotyczą
Prawo do przenoszenia danych, o którym mowa w przepisie art. 20 RODO, składa się z uprawnienia osoby, której dane dotyczą do:
- otrzymania danych od administratora;
- przesłania danych bez utrudnień ze strony administratora;
- przesłania danych bezpośrednio pomiędzy administratorami, bez pośrednictwa osoby, której dane dotyczą (o ile jest to technicznie możliwe).
Nie każda osoba, której dane poddawane są przetwarzaniu, może skorzystać z powyższego prawa, albowiem możliwość skorzystania z prawa do przenoszenia danych uzależnione zostało od kumulatywnego spełnienia dwóch wymogów dotyczących podstawy, na jakiej odbywa się przetwarzanie oraz sposobu, w jaki dane są przetwarzane. Osoba, której dane dotyczą, może sama przesłać uzyskane dane nowemu administratorowi lub może żądać, by dane osobowe zostały przesłane przez dotychczasowego administratora bezpośrednio innemu administratorowi, o ile jest to technicznie możliwe.
Ważne
Prawo do przenoszenia danych dotyczy wyłącznie danych przetwarzanych na podstawie zgody osoby, której dane dotyczą.
Obowiązki administratora
Głównym obowiązkiem administratora danych jest ocena, czy realizacja prawa do przenoszenia danych nie wpłynie niekorzystnie na prawa i wolności innych osób.
Ważne
Nieuzasadnione nieuczynienie zadość żądaniu podmiotu danych może skutkować dla administratora odpowiedzialnością przewidzianą w art. 83 ust. 5 lit. B RODO, zgodnie z którym naruszenie przepisów dotyczących następujących kwestii podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.
Podsumowanie
Podmiot, którego dane osobowe są wykorzystywane, posiada na mocy przepisów RODO, szereg praw umożliwiających „rozporządzanie” jego danymi osobowymi. Jednakże ważną rolę odgrywa też administrator, który w każdym przypadku podjęcia działań przez podmiot zainteresowany musi powiadomić odbiorców danych o sprostowaniu danych, usunięciu danych oraz o ograniczeniu przetwarzania danych. Dodatkowo na administratorze spoczywa obowiązek poinformowania podmiotu danych o odbiorcach danych, jeżeli podmiot danych żąda podania takiej informacji.
RODO wymaga od przedsiębiorcy wprowadzenia specjalnych procedur, dotyczących ochrony danych osobowych. Na wypadek wątpliwości Ministerstwo Przedsiębiorczości i Technologii przygotowało specjalną stronę, na której można poszukać przydatnych informacji. Więcej na ten temat przeczytasz w tym artykule.
425 
Małgorzata Jagusiak
Marta Matylda Kania
Justyna Czerwińska
