Twoje prawa w RODO to nie jest teoria zapisana w rozporządzeniu, ale realne uprawnienia, z których możesz korzystać wobec podmiotów przetwarzających Twoje dane osobowe. Z mojego doświadczenia wynika, że wiele osób nie sięga po te prawa nie dlatego, że ich nie potrzebuje, ale dlatego, że nie wie, jak działają w praktyce.
RODO daje Ci prawo do informacji i przejrzystości. Masz prawo wiedzieć, kto przetwarza Twoje dane, w jakim celu, na jakiej podstawie prawnej i jak długo będą one przechowywane. Administrator nie może zasłaniać się ogólnikami ani lakonicznymi odpowiedziami. Informacja ma być zrozumiała i konkretna.
Masz również prawo dostępu do danych, czyli możliwość sprawdzenia, czy Twoje dane są przetwarzane oraz uzyskania ich kopii. To prawo często ujawnia więcej, niż się spodziewasz, bo pozwala zobaczyć, jakie informacje faktycznie znajdują się w systemach administratora.
RODO przewiduje także prawo do sprostowania danych, gdy są one nieprawidłowe lub nieaktualne, oraz prawo do usunięcia danych, znane jako prawo do bycia zapomnianym. W praktyce nie jest ono bezwzględne, ale administrator musi umieć wykazać, dlaczego nie może danych usunąć.
Istotnym uprawnieniem jest również prawo do ograniczenia przetwarzania oraz prawo do sprzeciwu. Dzięki nim możesz czasowo „zatrzymać” przetwarzanie danych lub sprzeciwić się określonym działaniom administratora, na przykład w celach marketingowych.
W określonych sytuacjach przysługuje Ci także prawo do przenoszenia danych, które pozwala otrzymać dane w ustrukturyzowanej formie lub przekazać je innemu podmiotowi.
Na końcu warto pamiętać o prawie do złożenia skargi do Prezesa Urzędu Ochrony Danych Osobowych. To prawo działa wtedy, gdy inne środki zawiodą. RODO daje Ci narzędzia, ale ich skuteczność zależy od tego, czy są świadomie wykorzystywane.
Spis treści
Prawa podmiotów danych w RODO
Art. 15 RODO – prawo do dostępu
Art. 16 RODO – prawo do sprostowania danych
Art. 17 RODO – prawo do usunięcia danych
Art. 18 RODO – prawo do ograniczenia przetwarzania
Art. 19 RODO – prawo do przenoszenia danych
Art. 21 RODO – prawo do sprzeciwu
Art. 22 RODO – prawo do niepodlegania automatycznej decyzji
Poznaj Twoje prawa w RODO
Prawo do dostępu – art. 15 RODO
Administrator dostarcza osobie, której dane dotyczą, kopię danych osobowych podlegających przetwarzaniu. Za wszelkie kolejne kopie, o które zwróci się osoba, której dane dotyczą, administrator może pobrać opłatę w rozsądnej wysokości wynikającej z kosztów administracyjnych. Jeżeli osoba, której dane dotyczą, zwraca się o kopię drogą elektroniczną i jeżeli nie zaznaczy inaczej, informacji udziela się powszechnie stosowaną drogą elektroniczną.
Osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz następujących informacji:
- Celów przetwarzania
- Kategorii odnośnych danych osobowych
- Informacji o odbiorcach oraz kategoriach odbiorców
- Planowany okres przechowywania danych
- Jeśli dane nie zostały zebrane od podmiotu – wszelkie informacje o ich źródle
- Informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu
- Informacje o swoich prawach
Prawo do sprostowania danych – art. 16 RODO
Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe oraz uzupełnienia tych brakujących po przedstawieniu dodatkowego oświadczenia.
Prawo do usunięcia danych – art. 17 RODO
Nazywane „prawem do bycia zapomnianym”.
Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z poniższych okoliczności:
- Dane osobowe nie są już niezbędne do celów, w których zostały zebrane
- Osoba, której dane dotyczą, cofnęła zgodę, na której opiera się, i nie ma innej podstawy prawnej przetwarzania
- Osoba, której dane dotyczą, wnosi sprzeciw wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania
- Dane osobowe były przetwarzane niezgodnie z prawem
- Dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator
- Dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego
Powyższe okoliczności nie mają zastosowania w zakresie w jakim przetwarzanie jest niezbędne:
- Do korzystania z prawa do wolności wypowiedzi i informacji
- Do wywiązania się z prawnego obowiązku wymagającego przetwarzania, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi
- Z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych
- Do ustalenia, dochodzenia lub obrony roszczeń.
JEŻELI ADMINISTRATOR UPUBLICZNIŁ DANE OSOBOWE, TO MA OBOWIĄZEK USUNĄĆ TE DANE OSOBOWE – BIORĄC POD UWAGĘ DOSTĘPNĄ TECHNOLOGIĘ I KOSZT REALIZACJI ORAZ POINFORMOWAĆ ADMINISTRATORÓW PRZETWARZAJĄCYCH TE DANE OSOBOWE O ŻĄDANIU OSOBY, KTÓREJ DANE DOTYCZĄ.
Prawo do ograniczenia przetwarzania – art. 18 RODO
Osoba, której dane dotyczą, ma prawo żądania od administratora ograniczenia przetwarzania w następujących przypadkach:
- osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych – na okres pozwalający administratorowi sprawdzić prawidłowość tych danych,
- przetwarzanie jest niezgodne z prawem,
- administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń.
Osoba, której dane dotyczą, wniosła sprzeciw na mocy art. 21 ust. 1 RODO wobec przetwarzania. Przetwarzanie ulega ograniczeniu do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie administratora są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą.
Prawo do przenoszenia danych – art. 20 RODO
Osoba, której dane dotyczą, ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące, które dostarczyła administratorowi, oraz ma prawo przesłać te dane osobowe innemu administratorowi bez przeszkód ze strony administratora, któremu dostarczono te dane osobowe jeżeli:
- przetwarzanie odbywa się na podstawie zgody w myśl art. 6 ust. 1 lit. a RODO lub art. 9 ust. 2 lit. a RODO lub na podstawie umowy w myśl art. 6 ust. 1 lit. b RODO;
- przetwarzanie odbywa się w sposób zautomatyzowany.
Wykonując prawo do przenoszenia danych na mocy ust. 1, osoba, której dane dotyczą, ma prawo żądania, by dane osobowe zostały przesłane przez administratora bezpośrednio innemu administratorowi, o ile jest to technicznie możliwe.
Prawo do sprzeciwu – art. 21 RODO
Osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw – z przyczyn związanych z jej szczególną sytuacją – wobec przetwarzania dotyczących jej danych osobowych opartego na art. 6 ust. 1 lit. e lub f RODO, w tym profilowania na podstawie tych przepisów.
Administratorowi nie wolno już przetwarzać tych danych osobowych, chyba że wykaże on istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń.
Prawo do niepodlegania automatycznej decyzji – art. 22 RODO
Osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa. Nie ma zastosowania, jeżeli ta decyzja:
- Jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem,
- Jest dozwolona prawem Unii lub prawem państwa członkowskiego,
- Opiera się na wyraźnej zgodzie osoby, której dane dotyczą.
Decyzje, o których mowa w ust. 2, nie mogą opierać się na szczególnych kategoriach danych osobowych, o których mowa w art. 9 ust. 1 RODO, chyba że zastosowanie ma art. 9 ust. 2 lit. a lub g RODO i istnieją właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą.
