Prawo i podatki,

Prawa przysługujące osobom, których przetwarzane są dane osobowe

Zespół prawny

A.M. Jesiołowscy-Finanse sp. z o.o.

Wprowadzenie

W poprzedniej analizie została omówiona problematyka zgody na przetwarzanie danych osobowych, jej elementów konstrukcyjnych oraz sposobu jej wyrażania. W niniejszym artykule przedstawione zostaną rodzaje uprawnień, jakie przysługują osobom, które już wyraziły zgodę na przetwarzanie danych osobowych. Jest to dosyć istotne zagadnienie, bowiem również na etapie samego przetwarzania danych osoby, których te dane dotyczą mają wiele możliwości modyfikacji stosunku łączącego je z administratorem ich danych. Dlatego też warto przyjrzeć im się nieco bliżej.

Przejrzystość oraz tryb korzystania z uprawnień (art. 12 RODO)

Pierwszym z uprawnień gwarantowanych przez RODO jest prawo do przejrzystego informowania oraz przejrzystej komunikacji ze strony administratora danych osobowych. Zgodnie z art. 12 ust. 1 RODO, administrator podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem – w szczególności gdy informacje są kierowane do dziecka – udzielić osobie, której dane dotyczą, wszelkich informacji, o których mowa w art. 13 i 14 (była o nich mowa w artykule dotyczącym zgody na przetwarzanie danych osobowych), oraz prowadzić z nią wszelką komunikację na mocy art. 15-22 i 34 w sprawie przetwarzania. Informacji udziela się na piśmie lub w inny sposób, w tym w stosownych przypadkach – elektronicznie. Jeżeli osoba, której dane dotyczą, tego zażąda, informacji można udzielić ustnie, o ile innymi sposobami potwierdzi się tożsamość osoby, której dane dotyczą.

Co więcej, stosownie do art. 12 ust. 2 RODO, administrator ułatwia osobie, której dane dotyczą, wykonanie praw przysługujących jej na mocy art. 15-22 (o których będzie mowa w dalszej części). W przypadku przetwarzania niewymagającego identyfikacji, o którym mowa w art. 11 ust. 2 RODO, administrator nie może ponadto odmówić podjęcia działań na żądanie osoby której dane dotyczą pragnącej wykonać prawa przysługujące jej na mocy art. 15-22, chyba że wykaże, iż nie jest w stanie zidentyfikować osoby, której dane dotyczą.

Bardzo istotna jest kwestia niezwłoczności działań podejmowanych przez administratora, o czym stanowi art. 12 ust. 3 RODO. Zgodnie z tym przepisem, administrator bez zbędnej zwłoki –  a w każdym razie w terminie miesiąca od otrzymania żądania – udziela osobie, której dane dotyczą, informacji o działaniach podjętych w związku z żądaniem na podstawie art. 15-22. W razie potrzeby termin ten można przedłużyć o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań. W terminie miesiąca od otrzymania żądania administrator informuje osobę, której dane dotyczą o takim przedłużeniu terminu, z podaniem przyczyn opóźnienia. Jeśli osoba, której dane dotyczą, przekazała swoje żądanie elektronicznie, w miarę możliwości informacje także są przekazywane elektronicznie, chyba że osoba, której dane dotyczą, zażąda innej formy.

Ponadto, zgodnie z ust. 4 niniejszego artykułu, jeżeli administrator nie podejmuje działań w związku z żądaniem osoby, której dane dotyczą, to niezwłocznie – najpóźniej w terminie miesiąca od otrzymania żądania – informuje osobę, której dane dotyczą, o powodach niepodjęcia działań oraz o możliwości wniesienia skargi do organu nadzorczego oraz skorzystania ze środków ochrony prawnej przed sądem.

Udzielane przez administratora informacje, z katalogu wymienionego w art. 13 i 14 RODO oraz komunikacja i działania podejmowane na mocy art. 15-22 i 34, są – co do zasady – wolne od opłat. Jednakże, jak wynika z art. 12 ust. 5 zd. 2 RODO, jeżeli żądania osoby, której dane dotyczą, są ewidentnie nieuzasadnione lub nadmierne, w szczególności ze względu na swój ustawiczny charakter, administrator może:

  • pobrać rozsądną opłatę, uwzględniając administracyjne koszty udzielenia informacji, prowadzenia komunikacji lub podjęcia żądanych działań; albo
  • odmówić podjęcia działań w związku z żądaniem.

Warto jednak przy tym dodać, iż Obowiązek wykazania, że żądanie ma ewidentnie nieuzasadniony lub nadmierny charakter, spoczywa nie na osobie wnoszącej żądanie, której dane dotyczą, lecz na administratorze. Z kolei w przypadku pojawienia się uzasadnionych wątpliwości co do tożsamości osoby fizycznej składającej żądanie, o którym mowa w art. 15-21, administrator może zażądać dodatkowych informacji niezbędnych do potwierdzenia tożsamości osoby, której dane dotyczą.

Prawo dostępu do informacji (art. 15 RODO)

Niezwykle relewantnym uprawnieniem przysługującym osobom, których dane są przetwarzane, jest prawo dostępu do informacji, które ujęte są w katalogu wyrażonym przez art. 15 ust. 1 RODO. Jak stanowi ten przepis, osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz następujących informacji:

  • cele przetwarzania;
  • kategorie odnośnych danych osobowych;
  • informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych;
  • w miarę możliwości planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
  • informacje o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania;
  • informacje o prawie wniesienia skargi do organu nadzorczego;
  • jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą – wszelkie dostępne informacje o ich źródle;
  • informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Sposób udostępnienia powyższych informacji regulowany jest przez art. 15 ust. 3 i 4 RODO. Stosownie do tych przepisów, administrator dostarcza osobie, której dane dotyczą, kopię (jedną) danych osobowych podlegających przetwarzaniu. Za wszelkie kolejne kopie, o które zwróci się osoba, której dane dotyczą, administrator może pobrać opłatę w rozsądnej wysokości wynikającej z kosztów administracyjnych. Jeżeli osoba, której dane dotyczą, zwraca się o kopię drogą elektroniczną i jeżeli nie zaznaczy inaczej, informacji udziela się w powszechnie stosowanej formie elektronicznej. Oczywiście prawo do uzyskanie kopii, o którym mowa powyżej, nie może niekorzystnie wpływać na prawa i wolności innych osób.

Uprawnienia do sprostowania i usunięcia danych (art. 16-20 RODO)

Odrębną kategorię uprawnień tworzą prawa osoby do pewnej ingerencji w przetwarzanie swoich danych osobowych przez administratora. Są one określone w art. 16-20 RODO i obejmują: prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do otrzymania powiadomienia o sprostowaniu, usunięciu lub ograniczeniu danych oraz prawo do przesyłania danych innemu administratorowi.

Prawo do sprostowania i uzupełnienia danych (art. 16 RODO)

Często dochodzi do sytuacji, gdy błędne dane osobowe są wprowadzane, a następnie przetwarzane przez administratora w wyniku np. oczywistej omyłki pisarskiej czy błędów rachunkowych (może to wynikać za równo ze strony administratora danych i jego pracowników, jak i osoby, której dane dotyczą). Pomyłki takowe można konwalidować w trybie art. 16 RODO, który odnosi się do sprostowania i uzupełnienia danych. Jak wynika z brzmienia niniejszego przepisu, osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe. Z uwzględnieniem celów przetwarzania, osoba, której dane dotyczą, ma prawo żądania uzupełnienia niekompletnych danych osobowych, w tym poprzez przedstawienie dodatkowego oświadczenia.

Jak jednak wskazuje się w doktrynie, obowiązek administratora do sprostowania czy uzupełnienia danych, nie ma charakteru bezwzględnego – administrator może odmówić spełnienia żądania, jeśli może wykazać, że nie jest w stanie zidentyfikować osoby, której dane dotyczą (zgodnie z art. 11 ust. 2 RODO), jak również gdy okazałoby się, że żądanie stoi w sprzeczności z zasadą prawdziwości danych art. 5 RODO (osoba żądałaby zmiany danych na dane nieprawdziwe). Jednakże tak jak przy pozostałych uprawnieniach osób, których dane dotyczą, to administrator będzie musiał wykazać, że żądanie sprostowania lub uzupełnienia danych jest niezasadne.

Prawo do usunięcia danych – tzw. „prawo do bycia zapomnianym” (art. 17 RODO)

W art. 17 RODO umiejscowione jest jedno z kluczowych uprawnień wykorzystywanym w prawie nowych technologii – prawo do usunięcia danych (określane także jako prawo do bycia zapomnianym). Stosownie do ust. 1 tego przepisu, osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności:

  • dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
  • osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie zgodnie z art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a), i nie ma innej podstawy prawnej przetwarzania;
  • osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 2 wobec przetwarzania;
  • dane osobowe były przetwarzane niezgodnie z prawem;
  • dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator;
  • dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust.1.

Zgodnie z ust. 2, jeżeli administrator upublicznił dane osobowe, a na mocy ust. 1 ma obowiązek usunąć te dane osobowe, to – biorąc pod uwagę dostępną technologię i koszt realizacji – podejmuje rozsądne działania, w tym środki techniczne, by poinformować administratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje.

Zasady określone w ust. 1 i 2 nie mają jednak zastosowania do sytuacji, w zakresie w jakim przetwarzanie jest niezbędne:

  • do korzystania z prawa do wolności wypowiedzi i informacji;
  • do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
  • z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego zgodnie z art. 9 ust. 2 lit. h) oraz i) i art. 9 ust. 3;
  • do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1, o ile prawdopodobne jest, że prawo, o którym mowa w ust. 1, uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania; lub
  • do ustalenia, dochodzenia lub obrony roszczeń.

Prawo do ograniczenia przetwarzania (art. 18 RODO)

Osoba, której dane dotyczą, ma także prawo do żądania ograniczenia przetwarzania jej danych osobowych. Z prawa tego można korzystać w następujących przypadkach:

  • osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych – na okres pozwalający administratorowi sprawdzić prawidłowość tych danych;
  • przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania;
  • administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń;
  • osoba, której dane dotyczą, wniosła sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania – do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie administratora są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą.

Jeżeli przetwarzanie zostało ograniczone, takie dane osobowe można przetwarzać, z wyjątkiem przechowywania, wyłącznie za zgodą osoby, której dane dotyczą, lub w celu ustalenia, dochodzenia lub obrony roszczeń, lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na ważne względy interesu publicznego Unii lub państwa członkowskiego. Przed uchyleniem ograniczenia przetwarzania administrator informuje o tym osobę, której dane dotyczą, wnoszącą o ograniczenie przetwarzania jej danych.

Prawo do otrzymania powiadomienia o sprostowaniu lub usunięciu danych osobowych lub o ograniczeniu przetwarzania (art. 19 RODO)

Co prawda wynika to pośrednio z przepisów każdego z wymienionych wyżej uprawnień, jednakże prawodawca unijny zdecydował się dobitniej podkreślić prawo osoby, której dane dotyczą, do otrzymania powiadomienia o sprostowaniu, uzupełnieniu, usunięciu lub ograniczeniu przetwarzania danych osobowych. Obowiązek ten rozciągnięty został nie tylko w stosunku do tych osób, ale także wobec odbiorców, którym ujawniono konkretne dane osobowe. Zgodnie z przepisem art. 19 RODO, administrator informuje o sprostowaniu lub usunięciu danych osobowych lub ograniczeniu przetwarzania, których dokonał zgodnie z art. 16, art. 17 ust. 1 i art. 18, każdego odbiorcę, któremu ujawniono dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. Administrator informuje osobę, której dane dotyczą, o tych odbiorcach, jeżeli osoba, której dane dotyczą, tego zażąda.

Prawo do przenoszenia danych (art. 20 RODO)

Jak stanowi art. 20 ust. 1 RODO, osoba, której dane dotyczą, ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące, które dostarczyła administratorowi, oraz ma prawo przesłać te dane osobowe innemu administratorowi bez przeszkód ze strony administratora, któremu dostarczono te dane osobowe, jeżeli:

  • przetwarzanie odbywa się na podstawie zgody w myśl art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) lub na podstawie umowy w myśl art. 6 ust. 1 lit. b);oraz
  • przetwarzanie odbywa się w sposób zautomatyzowany.

Co więcej, wykonując prawo do przenoszenia danych, osoba, której dane dotyczą, ma prawo żądania, by dane osobowe zostały przesłane przez administratora bezpośrednio innemu administratorowi, o ile jest to technicznie możliwe. Wykonanie prawa do przenoszenia danych pozostaje bez uszczerbku dla art. 17 RODO (czyli jest niezależne od uprawnienia do usunięcia swoich danych osobowych). Nie ma ono jednak zastosowania do przetwarzania, które jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. Jego realizacja nie może także niekorzystnie wpływać na prawa i wolności innych osób.

Prawo do sprzeciwu

Ostatnim z kluczowych uprawnień przysługujących osobie, której dane osobowe są przetwarzane, jest prawo do sprzeciwu, określone w art. 21 RODO. Stosownie do jego ust. 1, osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw – z przyczyn związanych z jej szczególną sytuacją – wobec przetwarzania dotyczących jej danych osobowych opartego na art. 6 ust. 1 lit. e) lub f), w tym profilowania na podstawie tych przepisów. Administratorowi nie wolno wtedy już przetwarzać tych danych osobowych, chyba że wykaże on istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń.

Oprócz tego, stosownie do ust. 2 i 3 niniejszego artykułu, jeżeli dane osobowe są przetwarzane na potrzeby marketingu bezpośredniego, osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania dotyczących jej danych osobowych na potrzeby takiego marketingu, w tym profilowania, w zakresie, w jakim przetwarzanie jest związane z takim marketingiem bezpośrednim. W takim przypadku administratorowi również nie wolno już przetwarzać do takich celów danych osobowych.

O prawie do wniesienia sprzeciwu informuje się osobę, której dane dotyczą najpóźniej przy okazji pierwszej komunikacji z tą osobą, w sposób wyraźny, jasny oraz odrębny od wszelkich pozostałych informacji. Osoba, której dane dotyczą, może wykonać prawo do sprzeciwu także za pośrednictwem zautomatyzowanych środków wykorzystujących specyfikacje techniczne. Natomiast jeżeli dane osobowe są przetwarzane do celów badań naukowych lub historycznych lub do celów statystycznych, osoba, której dane dotyczą, ma prawo wnieść sprzeciw – z przyczyn związanych z jej szczególną sytuacją – wobec przetwarzania dotyczących jej danych osobowych, chyba że przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym.

Podsumowanie

Na gruncie przepisów RODO istnieje wiele norm prawnych stanowiących ochronę osób, których dane osobowe są przetwarzane. W niniejszym opracowaniu zostały zaprezentowane pokrótce najważniejsze z nich, kluczowe z praktycznego punktu widzenia, biorąc pod uwagę konflikty jakie pojawiają się w życiu codziennym w ramach stosowania przepisów o ochronie danych osobowych. Oczywiście istnieją też inne prawa przysługujące osobom, których dane dotyczą, jak np. prawo do informacji o naruszeniu danych osobowych (art. 34 RODO), czy też prawo do niepodlegania decyzji opierającej się wyłącznie na zautomatyzowanym przetwarzaniu (art. 22 RODO). Dlatego też w przypadku wątpliwości, co do legalności danego zachowania, najlepiej uprzednio skonsultować swoje zamiary i dotychczasowe praktyki z profesjonalnym podmiotem doradczym, co na pewno przyczyni się do uniknięcia wielu sporów, a być może także roszczeń prawnych ze strony innych osób.

Źródła:

  • Bielak-Jomaa Edyta (red.) Chomiczewski Witold Czerniawski Michał Drobek Piotr Góral Urszula Kuba Magdalena Łuczak Joanna Makowski Paweł Witkowska-Nowakowska Katarzyna Zawadzka Natalia, RODO. Ogólne rozporządzenie o ochronie danych. Komentarz., Wolters Kluwer Polska, 2018.
  • Fajgielski Paweł, Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz. Wolters Kluwer Polska, 2018.