Rozporządzenie Ogólne o Ochronie Danych (RODO) przyznaje szereg praw osobom, których dane osobowe są przetwarzane. Poniżej obszerne opisy tych praw oraz informacje na temat sposobu, w jaki osoby te mogą je egzekwować:
Prawo dostępu do danych (Ar. 15 RODO)
Osoba, której dane są przetwarzane, ma prawo otrzymać potwierdzenie czy dane osobowe ją dotyczą, oraz dostęp do informacji na temat celów, kategorii przetwarzanych danych, odbiorców, okresu przechowywania itp. Aby skorzystać z tego prawa, można zwrócić się do administratora danych o udostępnienie informacji. Administrator powinien dostarczyć odpowiedź w terminie miesiąca. Dodatkowo można żądać od administratora uzyskania dostępu do tych danych oraz – jeśli zajdzie taka potrzeba – uzyskania ich kopii. Kopia ta powinna zostać wydana bezpłatnie za pierwszym razem, przy kolejnych prośbach może zostać nałożona na wnioskującego rozsądna opłata, wynikająca np. z kosztów administracyjnych.
Prawo do sprostowania danych (Art. 16 RODO)
Osoba ma prawo żądać poprawienia swoich danych osobowych, jeśli są one nieprawidłowe lub niekompletne. W celu skorzystania z tego prawa, należy skontaktować się z administratorem danych i zgłosić błędy w danych.
Prawo do usunięcia danych, tzw. “prawo do bycia zapomnianym” (Art. 17 RODO)
Osoby, których dane są przetwarzane mają prawo do ich usunięcia – zwane również „prawem do bycia zapomnianym”, opisane w artykule 17 RODO. W przypadku wystąpienia pewnych okoliczności osoba może żądać od administratora usunięcia niektórych danych na swój temat, bądź całego ich zbioru.
Przesłanki usunięcia danych to między innymi:
- brak podstawy prawnej do przetwarzania danych (np. cofnięcie zgody na ich wykorzystanie);
- zebrane dane nie są już potrzebne do celów, w których zostały one zgromadzone;
- dane zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego;
- wniesienie sprzeciwu przez osobę, której dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator.
Istnieją również sytuacje, które sprawiają, że osoby, których dane dotyczą nie mogą skorzystać z prawa do usunięcia danych osobowych. Mowa tu o przypadkach, kiedy przetwarzanie jest niezbędne:
- w celu korzystania z prawa do wolności wypowiedzi i informacji;
- do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator lub do wykonywania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
- w celu profilaktyki zdrowotnej (np. medycyna pracy, czy zapewnienie opieki zdrowotnej);
- do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych;
- do ustalenia, dochodzenia lub obrony roszczeń.
W przypadku żądania usunięcia danych, osoba powinna skontaktować się z administratorem danych, który jest zobowiązany do spełnienia tego żądania, chyba że istnieją prawnie uzasadnione powody do dalszego przetwarzania.
Prawo do ograniczenia przetwarzania (Art. 18 RODO)
Osoba ma prawo żądać ograniczenia przetwarzania swoich danych w określonych sytuacjach:
- kiedy zgromadzone dane są nieprawidłowe – ograniczenie ich przetwarzania następuje do momentu, kiedy nie ma podstawy prawnej do przetwarzania danych;
- w momencie, kiedy nie ma podstawy prawnej do przetwarzania danych;
- kiedy nie są one potrzebne administratorowi danych osobowych, jednak potrzebuje ich osoba, do której one należą;
- w przypadku, kiedy osoba, której dane dotyczą zgłosiła sprzeciw wobec przetwarzanych danych – ograniczenie obowiązuje do momentu ustalenia czy sprzeciw ten ma swoje podstawy.
Aby skorzystać z tego prawa, osoba może zgłosić żądanie do administratora danych, który jest zobowiązany do ograniczenia przetwarzania w określonych przypadkach.
Prawo do przenoszenia danych (Art. 20 RODO)
Osoba ma prawo otrzymać swoje dane osobowe w ustrukturyzowanym formacie powszechnie używanym i możliwym do odczytu maszynowo oraz przesłać je do innego administratora danych. Osoba może poprosić o przeniesienie swoich danych, a administrator danych powinien dostarczyć je w odpowiednim formacie.
Prawo do wniesienia sprzeciwu wobec przetwarzania danych (Art. 21 RODO)
Osoba ma prawo wniesienia sprzeciwu wobec przetwarzania swoich danych osobowych w określonych sytuacjach, np. gdy przetwarzanie odbywa się w celach marketingowych. W celu skorzystania z tego prawa, osoba może złożyć sprzeciw do administratora danych.
Prawo do niepodlegania zautomatyzowanym decyzjom w tym profilowaniu (Art. 22 RODO)
Osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa. Wyjątek stanowi sytuacja, kiedy to przeprowadzenie profilowania jest wymagane w celu prawidłowego zawarcia bądź wykonania umowy, kiedy osoba wyraziła na to zgodę lub kiedy wynika to z prawa Unii lub państwa członkowskiego. W celu egzekwowania swoich praw osoba może skonsultować się z administratorem danych w przypadku decyzji opartych na zautomatyzowanym przetwarzaniu danych i zgłosić ewentualne zastrzeżenia.
Aby egzekwować swoje prawa, osoby, których dane są przetwarzane, powinny kontaktować się z administratorem danych. Administrator danych jest zobowiązany do udzielenia odpowiedzi na żądania dotyczące praw osób, których dane są przetwarzane, w terminie miesiąca od otrzymania żądania, przy czym ten okres może zostać przedłużony o kolejne dwa miesiące w zależności od skomplikowania i liczby żądań.
Prawo do wniesienia skargi do organu nadzorczego ds. ochrony danych (Art.77 RODO)
Warto również w tym miejscu wspomnieć o tzw. prawie do skargi. Art. 77 RODO przyznaje każdej osobie, której dane osobowe są przetwarzane, prawo do wniesienia skargi do organu nadzorczego ds. ochrony danych. W Polsce organem tym jest Urząd Ochrony Danych Osobowych (UODO). Organ ten jest odpowiedzialny za monitorowanie przestrzegania przepisów dotyczących ochrony danych osobowych. Skarga może być wniesiona przez osobę, której dane są przetwarzane, jeżeli uważa ona, że przetwarzanie jej danych osobowych narusza przepisy RODO. Skarga może dotyczyć różnych kwestii, takich jak nielegalne przetwarzanie, brak zabezpieczeń danych czy odmowa wykonania praw przysługujących danej osobie. Osoba, która chce wnosić skargę, nie musi wcześniej informować administratora danych o swoim zamiarze ani uzyskiwać jego zgody. To odróżnia prawo do skargi od innych praw przewidzianych w RODO, które wymagają wcześniejszego kontaktu z administratorem danych. Osoba składająca skargę może skierować ją zarówno przeciwko administratorowi danych, czyli podmiotowi decydującemu o celach i środkach przetwarzania, jak i przeciwko podmiotowi przetwarzającemu, który przetwarza dane na zlecenie administratora.