Od dzisiaj obowiązują przepisy RODO, czyli rozporządzenie dotyczące ochrony osób fizycznych w związku z przetwarzaniem danych osobowych. Do tej pory opisaliśmy podstawowe pojęcia związane z RODO oraz obowiązki jakie nakładane są na podmioty przetwarzające dane osobowe. Jednym z obowiązków, jaki nowe regulacje nakładają na podmioty przetwarzające dane osobowe, jest poinformowanie osoby, której dane przetwarzamy, jakie ma w związku z tym prawa.
Pierwszym prawem jakie może wykonywać osoba, której dane są przetwarzane to „prawo dostępu do danych”. Realizacja tego uprawnienia polega na żądaniu od administratora danych osobowych informacji przede wszystkim, czy nasze dane są przetwarzane przez ten podmiot. Jeżeli tak jest, wówczas mamy prawo dowiedzieć się:
– w jakim celu nasze dane są przetwarzane,
– jakie dane administrator przetwarza,
– komu je przekazuje,
– jak długo zamierza je trzymać.
Co więcej mamy również prawo do otrzymania kopii tych danych.
Prawo do sprostowania danych
Jeśli zrealizowane zostanie nasze prawo dostępu do danych, może się okazać, że przekazane nam dane nie mają pokrycia w rzeczywistości np. nasz adres e-mail albo numer telefonu się nie zgadzają. W takiej sytuacji otwiera się droga do realizowania kolejnego prawa, jakim jest „prawo do sprostowania danych”, czyli inaczej mówiąc poprawienia ich.
Prawo do bycia „zapomnianym”
Jednym z najważniejszych praw jakie daje RODO, jest prawo usunięcia naszych danych osobowych z rejestru, inaczej nazywane prawem do bycia „zapomnianym”. Każda osoba, której dane osobowe są przetwarzane może zwrócić się do administratora z żądaniem ich usunięcia. Oczywiście nie jest tak, że już samo zwrócenie się do podmiotu, który przetwarza nasze dane, automatycznie powoduje konieczność ich usunięcia. RODO wskazuje przypadki, kiedy z takim żądaniem możemy się zwrócić:
1. Brak podstawy prawnej do ich przetwarzania – najprostszym przykładem jest tutaj cofnięcie zgody. Przykładowo wyraziliśmy zgodę na przetwarzanie naszych danych w postaci adresu e-mail, imienia i nazwiska przez administraotra „X” w celu otrzymywania od niego powiadomień np. o promocjach. Jeśli już nie chcemy otrzymywać takich informacji, wystarczy napisać maila z żądaniem usunięcia tych. Jeśli administrator otrzyma takie żądanie, nie ma prawa dalej wysyłać nam swoich ofert, a co więcej musi nasze dane trwale skasować.
2. Zebrane dane nie są już potrzebne do celów, w których zostały zgromadzone – przykładowo przekazaliśmy swoje dane innej osobie w celu stworzenia dla nas oferty marketingowej i jej przesłania do nas. Jeśli nie będziemy zainteresowani przesłaną ofertą, również możemy żądać usunięcia naszych danych – cel przetwarzania został już zrealizowany.
3. Wniesienie sprzeciwu co do przetwarzania danych osobowych.
RODO przewiduje jeszcze inne podstawy żądania do usunięcia danych, ale wskazane powyżej są najważniejsze i zapewne najczęściej będą pojawiać się w praktyce stosowania rozporządznia.
Skoro wiemy już kiedy możemy żądać usunięcia naszych danych należy również powiedzieć, kiedy takiego żądania nie możemy realizować. Nie możemy żądać usunięcia naszych danych w sytuacji, gdy przetwarzanie jest niezbędne:
1. w celach profilaktyki zdrowotnej (przykład: zapewnienie opieki zdrowotnej);
2. do ustalenia, obrony lub dochodzenia roszczeń;
3. w celu korzystania z prawa do wolności wypowiedzi i informacji;
4. do celów archiwalnych w interesie publicznym;
5. do wywiązania się z prawnego obowiązku wymagającego przetwarzania.
To, jak będzie faktycznie wyglądać realizacja prawa do bycia „zapomnianym” czas i praktyka pokaże.
Prawo do przenoszenia danych
Jest to jedno z ciekawszych praw jakie przyznaje RODO osobie, której dane są przetwarzane. Wyobraźmy sobie, że wzięliśmy gdzieś kredyt – jak wiadomo wiąże się to z podaniem dużej ilości danych, które nas dotyczą. Następnie chcemy wziąć następny kredyt, ale już w innej instytucji. Co za tym idzie znowu musimy zgromadzić i podać te same dane. Otóż nie, po wejściu RODO będziemy mogli się zwrócić do pierwszej instytucji, w której braliśmy kredyt, żeby udostępniła nam nasze dane w formie możliwej do odczytu i następnie z takim „plikiem” pójdziemy do innej instytucji przekazując te dane. Jak to się mówi „szybko, łatwo i przyjemnie”. W takich sytuacjach także rzeczywistość pokaże, jak sprawdzi się ten zapis.
Prawo do ograniczenia przetwarzania danych
Kolejnym z praw, o których warto wspomnieć, jest prawo do ograniczenia przetwarzania naszych danych. Kiedy możemy realizować to uprawnienie:
1. W sytuacji, gdy nasze dane są nieprawidłowe, ale tylko do czasu ich poprawienia. Innymi słowy okazało się, że administrator ma nasz zły numer telefonu. Do momentu wpisania poprawnego (realizacji prawa do sprostowania) nie będzie mógł przetwarzać tych danych.
2. W sytuacji, gdy wnieśliśmy sprzeciw do przetwarzania naszych danych, ale również do momentu określenia, czy nasz sprzeciw był zasadny, czy też nie.
3. Przetwarzanie danych jest niezgodne z prawem (pamiętajmy, jest to też podstawa do usunięcia danych), ale osoba której dane dotyczą nie zgadza się na ich usunięcie.
4. Administrator nie potrzebuje już naszych danych, ale są one nam niezbędne do ustalenia, dochodzenia lub obrony roszczeń.
Prawo do złożenia sprzeciwu
Ostatnim z praw jakie RODO daje osobie, której dane są przetwarzane, jest prawo do złożenia sprzeciwu w zakresie przetwarzania tych danych. Dotyczy to szczególnie sytuacji tzw. profilowania, czyli automatycznego przetwarzania naszych danych np. na potrzeby marketingu bezpośredniego.
W sytuacji, gdy administrator stwierdzi, że sprzeciw jest niezasadny np. profilowanie jest niezbędne do realizacji umowy, będzie miał prawo do dalszego przetwarzania danych w ten sposób. W innym przypadku będzie zobowiązany do usunięcia naszych danych.
Fot. Pixabay/geralt