Zrozumienie praw osób, których dane dotyczą kluczową rolą dla administratora – część 3

prawoNa gruncie przepisów RODO istnieje wiele norm prawnych stanowiących ochronę osób, których dane osobowe są przetwarzane…

Biorąc pod uwagę konflikty jakie pojawiają się w życiu codziennym w ramach stosowania przepisów o ochronie danych osobowych administratorzy danych muszą znać swoje obowiązki. Musimy pamiętać, że poza omówionymi w tym cyklu prawami osób, których dane dotyczą istnieją też inne prawa, jakie powinny być spełniane wobec tych osób. Nie można zapominać o obowiązkach informacyjnych (art. 12, 13, 14 RODO) czy np. prawie do informacji o naruszeniu danych osobowych (art. 34 RODO). Jeśli administratorzy miewają wątpliwości, co do legalności danego zachowania, najlepiej uprzednio powinni skonsultować swoje zamiary i dotychczasowe praktyki z profesjonalnym podmiotem doradczym co na pewno przyczyni się do uniknięcia wielu sporów, a być może także roszczeń prawnych ze strony innych osób. W kontynuacji wyjaśnienia praw osób, których dane dotyczą dzisiaj dokończymy temat. Pozostanie jeszcze jeden tekst dotyczący zasad ich realizacji i rozpoznawania wniosków.

Prawo do przenoszenia danych…

Prawo do przenoszenia danych osobowych określono w art. 20 RODO. Pozwala na uzyskanie przez osobę, której dane dotyczą, swoich danych osobowych w ustrukturyzowanym, powszechnie używanym formacie, nadającym się do odczytu maszynowego. W naszej ocenie, prawo to jest jednym z najtrudniejszych w realizacji. Z uwagi na mnogość warunków technicznych i prawnych, jakie administratorzy danych muszą spełnić dla prawidłowego spełnienia żądania podmiotu danych. Na szczęście z uwagi na trudności jakie mogą występować prawo to nie jest prawem absolutnym. Istotnym faktem jest to, że prawo przenoszenia dotyczy tylko tych informacji, które są danymi osobowymi. Osoba, której dane dotyczą może uzyskać te dane od administratora, któremu wcześniej je przekazała. Ważne, osoba ma prawo żądać, aby administrator, który uprzednio uzyskał te dane, przekazał je bez przeszkód innemu administratorowi.

Nie zawsze administrator musi realizować prawo do przenoszenia danych…

Administrator nie ma obowiązku przenoszenia informacji, które wytworzył samodzielnie bazując na danych dostarczonych (dane pochodne). Jak np. informacje wytworzone przez administratora w procesie analizy, personalizacji, rekomendacji, kategoryzacji lub profilowania użytkownika. Nie podlega również prawu do przenoszenia danych w ramach wykonywanych obowiązków publicznych. Warto wiedzieć, że RODO w motywie 68 wskazuje, że obowiązek administratora wynikający z omawianego prawa nie powinien zmuszać administratorów do wprowadzenia kompatybilnych pod względem technicznym systemów przetwarzania danych. Prawo do przenoszenia danych w założeniu zostało tak zaprojektowane, aby obejmowało tylko część przetwarzanych danych. Tę część, której przenoszenie jest możliwe do zrealizowania technicznie i organizacyjnie bez nadmiernego obciążania administratorów.

Prawo do sprzeciwu…

RODO wprowadziło rozbudowane prawo do wniesienia sprzeciwu przez osobę, której dane dotyczą. Warunki skorzystania z prawa do sprzeciwu różnią się w zależności od rodzaju przetwarzania. Wydaje się nam, że prawa, jakie przysługują osobom, których dotyczą są proste. Musimy jednak pamiętać, aby dobrze się z nimi zapoznawać, ponieważ niosą one za sobą szereg uwarunkowań. Administrator danych powinien je dobrze rozumieć. Rozumieć, bo omawiane prawo osoba może wnieść w dowolnym momencie z przyczyn związanych z jej szczególną sytuacją – wobec przetwarzania dotyczących jej danych osobowych opartego na art. 6 ust. 1 lit. e) lub f), w tym profilowania na podstawie tych przepisów. Tak więc widać, że trzeba znać przesłanki, którymi kieruje się osoba chcąca skorzystać ze swojego prawa. Zgłaszając sprzeciw, osoba, której dane dotyczą ma obowiązek wskazać swoją szczególną sytuacje z uwagi, na którą Administrator nie powinien przetwarzać jej danych osobowych. Administrator może odmówić zaprzestania przetwarzania danych powołując się na:

  • Istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania danych, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą lub
  • Istnienie podstaw do ustalenia, dochodzenia lub obrony roszczeń.
Mamy prawo do…

Trzeba pamiętać, iż w sytuacji, gdy Administrator danych przetwarza dane osobowe na potrzeby marketingu bezpośredniego, osoba, której dane dotyczą ma prawo zawsze wnieść sprzeciw. Istotne, że po wniesieniu takiego sprzeciwu, Administrator nie może już dalej przetwarzać danych w tym celu. Ta sytuacja nie wymaga uzasadnienia. Podsumowując, należy pamiętać, że prawo do wniesienia sprzeciwu nie ma charakteru bezwzględnego i nie można go zastosować w każdym przypadku.

Prawo do sprzeciwu oraz do niepodleganiu decyzji opartych na zautomatyzowanym przetwarzaniu…

Jak widzimy, prawo do sprzeciwu pojawia się również w art. 22 RODO. Motyw 71 RODO wskazuje, że osoba, której dane dotyczą, powinna mieć prawo do tego, by nie podlegać decyzji – mogącej obejmować określone środki – która ocenia jej czynniki osobowe, opiera się wyłącznie na przetwarzaniu zautomatyzowanym i wywołuje wobec osoby, której dane dotyczą, skutki prawne lub w podobny sposób znacząco na nią wpływa. Profilowanie i zautomatyzowane podejmowanie decyzji jest wykorzystywane w rosnącej liczbie sektorów zarówno prywatnych, jak i publicznych. Bankowość i finanse, opieka zdrowotna, podatki, ubezpieczenia, marketing i reklama to tylko kilka przykładów dziedzin, w których profilowanie jest przeprowadzane w sposób bardziej regularny, aby wspomóc proces decyzyjny. Prawo to doczekało się niezależnych wytycznych od Grupy roboczej art. 29. Jest ono istotne, ponieważ profilowanie i zautomatyzowane podejmowanie decyzji mogą stanowić poważne ryzyko dla praw i wolności osób fizycznych, które wymagają odpowiednich zabezpieczeń. Zapamiętajmy, każdy ma prawo do tego, by nie podlegać decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu. Jeśli decyzja ta wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa.

Profilowanie a zautomatyzowane podejmowanie decyzji…

Bywa, ze profilowanie jest mylone z zautomatyzowanym podejmowaniem decyzji. Stąd też oddzielny akapit, aby zwrócić uwagę, iż nie każda czynność zautomatyzowanego przetwarzania będzie profilowaniem. Zautomatyzowane podejmowanie decyzji może, ale nie musi, obejmować profilowania. Musimy wiedzieć, że do profilowania może też dochodzić bez procesów zautomatyzowanych. Chodzi o to, że obie te czynności mogą stanowić całość, ale mogą również występować niezależnie. Z profilowaniem mamy do czynienia, gdy ocenia się czynniki osobowe w celu opracowania prognoz na temat danej osoby. Nawet gdy nie skutkuje to podjęciem decyzji. Na przykład, gdy firma lub organizacja poddaje analizie cechy danej osoby (takie jak np. wiek) lub zaklasyfikuje ją do określonej kategorii, oznacza to, że tą osobę poddano profilowaniu. Natomiast, decyzja, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, oznacza decyzję, którą podjęto za pomocą środków technicznych bez udziału człowieka.

Realizacja praw podmiotów danych pod kątem RODO….

Zagadnienie realizacji swych praw przez podmioty danych stanowi centralny punkt regulacji RODO. Należy wszak podkreślić, iż prawo ochrony danych osobowych w pierwszym rzędzie służy zagwarantowaniu ochrony praw i wolności jednostki. Mamy nadzieję, że nasz cykl pomógł Państwu w zapoznaniu się z prawami osób, których dane dotyczą. Co pozwoliło przybliżyć ich zrozumienie. Ciągły rozwój technologii jest możliwy, dzięki przetwarzaniu coraz to większej ilości danych. Co umożliwia między innymi tworzenie precyzyjnych profili użytkowników danej usługi. W czasach, w których świadomie decydujemy się na dzielenie się swoją prywatną sferą, prawo do prywatności wymaga szczególnej ochrony. Szerzej o zasadach obejmujących weryfikację wniosków oraz zasady realizacji praw opiszemy w kończącym ten cykl artykule. Jednakże już, motyw 59 RODO uzasadnia przyjęcie przez administratorów i procesorów procedur dotyczących realizacji praw podmiotów mających za cel ułatwienie ich realizacji. Administrator jest również zobowiązany podjąć odpowiednie kroki, żeby prowadzić komunikację z osobą, której dane dotyczą w związku z realizacją praw. Komunikacja ta musi być w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, wyrażona jasnym i prostym językiem. Zachęcamy do zostania z nami i odwiedzania naszej strony z Aktualnościami , dzięki czemu mogą Państwo uzyskać szereg ciekawych informacji.

 

 

 

2 komentarze do “Zrozumienie praw osób, których dane dotyczą kluczową rolą dla administratora – część 3”

Dodaj komentarz

BCO Integrity - Logo w stopce