Czy wiesz, że przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej jako RODO) przewidują możliwość sprostowania oraz usunięcia danych osobowych podmiotu, którego one dotyczą?
Sekcja 3 w przedmiotowym rozporządzeniu odnosi się do praw przysługujących podmiotowi danych osobowych. Więcej na ten temat przeczytasz w niniejszym artykule.
Prawo osoby, której dane dotyczą
Zgodnie z przepisem art. 16 RODO Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe. Z uwzględnieniem celów przetwarzania, osoba, której dane dotyczą, ma prawo żądania uzupełnienia niekompletnych danych osobowych, w tym poprzez przedstawienie dodatkowego oświadczenia.
Powyższa regulacja dotyczy uprawnienia podmiotu danych do żądania od administratora niezwłocznego sprostowania nieprawidłowych danych osobowych. Możliwe jest również wystąpienie z żądaniem uzupełnienia danych niekompletnych. Nieprawidłowość może polegać na niezgodności ze stanem faktycznym, błędach w opublikowanych informacjach, czy też literówkach w imieniu i nazwisku.
Tym samym z przepisu art. 16 RODO wynika, iż osoba, której dane dotyczą ma prawo do wystąpienia z żądaniem sprostowania danych na dwóch płaszczyznach, tj.:
Osoba, która występuje z żądaniem sprostowania danych zobowiązana jest do wykazania, że dane, które jej dotyczą są nieprawidłowe, tj. nie odpowiadają rzeczywistości. Administrator w określonych sytuacjach może odmówić uwzględnienia żądań osoby, której dane dotyczą.
Na administratorze ciąży obowiązek powiadomienia o sprostowaniu lub usunięciu danych osobowych lub o ograniczeniu przetwarzania. W myśl przepisu art. 19 RODO administrator informuje o sprostowaniu każdego odbiorcę, któremu ujawniono dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. Administrator ma obowiązek poinformowania osoby, której dane dotyczą, o tych odbiorcach, jeżeli osoba, której dane dotyczą, tego zażąda.
Co więcej administrator zobowiązany jest do przejrzystego informowania i przejrzystej komunikacji oraz trybu wykonywania praw przez osobę, której dane dotyczą. W szczególności, zgodnie z przepisem art. 12 ust. 2 RODO,
administrator bez zbędnej zwłoki – a w każdym razie w terminie miesiąca od otrzymania żądania – udziela osobie, której dane dotyczą, informacji o działaniach podjętych w związku z żądaniem na podstawie art. 15-22. W razie potrzeby termin ten można przedłużyć o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań. W terminie miesiąca od otrzymania żądania administrator informuje osobę, której dane dotyczą o takim przedłużeniu terminu, z podaniem przyczyn opóźnienia. Jeśli osoba, której dane dotyczą, przekazała swoje żądanie elektronicznie, w miarę możliwości informacje także są przekazywane elektronicznie, chyba że osoba, której dane dotyczą, zażąda innej formy.
Nieuzasadnione nieuczynienie zadość żądaniu podmiotu danych może skutkować dla administratora odpowiedzialnością przewidzianą w art. 83 ust. 5 lit. B RODO, zgodnie z którym naruszenie przepisów dotyczących następujących kwestii podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.
Prawo osoby, której dane dotyczą
Zgodnie z przepisem art. 17 ust. 1 RODO: Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności:
a) dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
b) osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie zgodnie z art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a), i nie ma innej podstawy prawnej przetwarzania;
c) osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy
przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 2 wobec przetwarzania;
d) dane osobowe były przetwarzane niezgodnie z prawem;
e) dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator;
f) dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust. 1.
W powyższym określono przesłanki uprawniające podmiot danych do wystosowania żądania usunięcia danych. W literaturze przedmiotu wskazuje się, że Artykuł 17 ust. 1 zawiera katalog sytuacji, w których można żądać usunięcia danych. Zgodnie z tym przepisem dane powinny zostać usunięte niezwłocznie. Pomimo że katalog ten ma charakter zamknięty, to ze względu na ogólne sformułowanie szeregu wymienionych w nim przesłanek (tytułem przykładu art. 17 ust. 1 lit. d wskazuje na okoliczność, że „dane osobowe były przetwarzane niezgodnie z prawem”) jest on w praktyce niezwykle pojemny [por. M. Czerniawski [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, red. E. Bielak-Jomaa, D. Lubasz, Warszawa 2018, art. 17].
Tym samym osoba, której dane, której dotyczą ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, w przypadku gdy:
Chcesz wiedzieć więcej na temat RODO a przetwarzaniu danych w celach marketingowych? Jeśli tak, to przejdź do tego artykułu.
Natomiast przepis art. 17 w ust. 3 RODO przewiduje szereg wyłączeń w zakresie których podmiotowi danych nie przysługują uprawnienia do żądania usunięcia danych i informowania o usunięciu danych. Przykładowo wyłączenie przysługuje w zakresie w jakim przetwarzanie jest niezbędne:
Przepis art. 17 ust. 2 RODO nałożył na administratora obowiązek niezwłocznego spełnienia żądania usunięcia danych oraz informowania o usunięciu danych w przypadku ich upublicznienia. Zgodnie zatem z ustępem 2 ww. przepisu Jeżeli administrator upublicznił dane osobowe, a na mocy ust. 1 ma obowiązek usunąć te dane osobowe, to – biorąc pod uwagę dostępną technologię i koszt realizacji – podejmuje rozsądne działania, w tym środki techniczne, by poinformować administratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje.
Tym samym administrator, który upublicznił dane, a następnie zgodnie z żądaniem osoby, której dane dotyczą usunął dane, to spoczywa na nim obowiązek podjęcia, w tym środków technicznych, aby poinformować administratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą, zażądała, aby administratorzy usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje.
W motywie 66 RODO wskazano, iż Aby wzmocnić prawo do “bycia zapomnianym” w Internecie, należy rozszerzyć prawo do usunięcia danych poprzez zobowiązanie administratora, który upublicznił te dane osobowe, do poinformowania administratorów, którzy przetwarzają takie dane osobowe o usunięciu wszelkich łączy do tych danych, kopii tych danych osobowych lub ich replikacji. Spełniając ten obowiązek administrator powinien podjąć racjonalne działania z uwzględnieniem dostępnych technologii i dostępnych mu środków, w tym dostępnych środków technicznych, w celu poinformowania administratorów, którzy przetwarzają dane osobowe, o żądaniu osoby, której dane dotyczą.
Nieuzasadnione nieuczynienie zadość żądaniu podmiotu danych może skutkować dla administratora odpowiedzialnością przewidzianą w art. 83 ust. 5 lit. B RODO, zgodnie z którym naruszenie przepisów dotyczących następujących kwestii podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.
Prawo osoby, której dane dotyczą:
Przede wszystkim wskazać należy, że zgodnie z przepisem art. 4 ust. 3 RODO ograniczenie przetwarzania oznacza oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania.
Osoba, której dane dotyczą, ma prawo żądania od administratora ograniczenia przetwarzania w następujących przypadkach:
Powyższy katalog ma charakter zamknięty. Należy zapamiętać, że jeśli przetwarzanie zostało ograniczone, takie dane osobowe można przetwarzać, z wyjątkiem przechowywania, wyłącznie za zgodą osoby, której dane dotyczą, lub w celu ustalenia, dochodzenia lub obrony roszczeń, lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na ważne względy interesu publicznego Unii lub państwa członkowskiego [por. art. 18 ust. 2 RODO].
Tym samym przepis ten stanowi, że jeżeli przetwarzanie zostało ograniczone, dane osobowe można przetwarzać, z wyjątkiem przechowywania, w trzech przypadkach:
Przede wszystkim administrator przed uchyleniem ograniczenia przetwarzania informuje o tym osobę, której dane dotyczą, która żądała ograniczenia.
Nieuzasadnione nieuczynienie zadość żądaniu podmiotu danych może skutkować dla administratora odpowiedzialnością przewidzianą w art. 83 ust. 5 lit. B RODO, zgodnie z którym naruszenie przepisów dotyczących następujących kwestii podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.
Prawo osoby, której dane dotyczą
Prawo do przenoszenia danych, o którym mowa w przepisie art. 20 RODO, składa się z uprawnienia osoby, której dane dotyczą do:
Nie każda osoba, której dane poddawane są przetwarzaniu, może skorzystać z powyższego prawa, albowiem możliwość skorzystania z prawa do przenoszenia danych uzależnione zostało od kumulatywnego spełnienia dwóch wymogów dotyczących podstawy, na jakiej odbywa się przetwarzanie oraz sposobu, w jaki dane są przetwarzane. Osoba, której dane dotyczą, może sama przesłać uzyskane dane nowemu administratorowi lub może żądać, by dane osobowe zostały przesłane przez dotychczasowego administratora bezpośrednio innemu administratorowi, o ile jest to technicznie możliwe.
Prawo do przenoszenia danych dotyczy wyłącznie danych przetwarzanych na podstawie zgody osoby, której dane dotyczą.
Głównym obowiązkiem administratora danych jest ocena, czy realizacja prawa do przenoszenia danych nie wpłynie niekorzystnie na prawa i wolności innych osób.
Nieuzasadnione nieuczynienie zadość żądaniu podmiotu danych może skutkować dla administratora odpowiedzialnością przewidzianą w art. 83 ust. 5 lit. B RODO, zgodnie z którym naruszenie przepisów dotyczących następujących kwestii podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.
Podmiot, którego dane osobowe są wykorzystywane, posiada na mocy przepisów RODO, szereg praw umożliwiających „rozporządzanie” jego danymi osobowymi. Jednakże ważną rolę odgrywa też administrator, który w każdym przypadku podjęcia działań przez podmiot zainteresowany musi powiadomić odbiorców danych o sprostowaniu danych, usunięciu danych oraz o ograniczeniu przetwarzania danych. Dodatkowo na administratorze spoczywa obowiązek poinformowania podmiotu danych o odbiorcach danych, jeżeli podmiot danych żąda podania takiej informacji.
RODO wymaga od przedsiębiorcy wprowadzenia specjalnych procedur, dotyczących ochrony danych osobowych. Na wypadek wątpliwości Ministerstwo Przedsiębiorczości i Technologii przygotowało specjalną stronę, na której można poszukać przydatnych informacji. Więcej na ten temat przeczytasz w tym artykule.
Zachęcamy do komentowania naszych artykułów. Wyraź swoje zdanie i włącz się w dyskusje z innymi czytelnikami. Na indywidualne pytania (z zakresu podatków i księgowości) użytkowników ifirma.pl odpowiadamy przez e-mail, czat lub telefon – skontaktuj się z nami.
Administratorem Twoich danych osobowych jest IFIRMA S.A. z siedzibą we Wrocławiu. Dodając komentarz na blogu, przekazujesz nam swoje dane: imię i nazwisko, adres e-mail oraz treść komentarza. W systemie odnotowywany jest także adres IP, z wykorzystaniem którego dodałeś komentarz. Dane zostają zapisane w bazie systemu WordPress. Twoje dane są przetwarzane na podstawie Twojej zgody, wynikającej z dodania komentarza. Dane są przetwarzane w celu opublikowania komentarza na blogu, jak również w celu obrony lub dochodzenia roszczeń. Dane w bazie systemu WordPress są w niej przechowywane przez okres funkcjonowania bloga. O szczegółach przetwarzania danych przez IFIRMA S.A dowiesz się ze strony polityki prywatności serwisu ifirma.pl.
Zrób to za darmo z programem IFIRMA!