Wejście w życie RODO zagwarantowało nam utrzymanie naszych praw, jak i wprowadzenie kilku nowych…
W 2018 roku weszło do obowiązywania Ogólne Rozporządzenie o Ochronie Danych Osobowych, które po artykułach od 15 do 22 gwarantuje osobom fizycznym szereg praw. Praw, do których przestrzegania zobowiązano każdego administratora danych osobowych. Dodatkowe prawo jakie osoba fizyczna może odnaleźć w RODO jest prawo do wycofania zgody unormowane w art. 7 RODO. Ważną kwestią jest fakt, że o tych prawach każda osoba, której dane są przetwarzane powinna być poinformowana. Najprostszą drogą do poinformowania o przysługujących nam prawach, będzie przekazanie tych informacji w trakcie spełniania obowiązku informacyjnego. Obowiązek informacyjny jest również jednym z obowiązków spoczywających na administratorze danych. Klauzula informacyjna, będąca wypełnieniem obowiązku z art. 13 i 14 Ogólnego rozporządzenia o ochronie danych osobowych w swojej treści zawiera znaczące dla podmiotu danych sformułowania. Między innymi, informuje osoby, których dane dotyczą o naszych prawach wynikających z przepisów RODO. Należy jednak pamiętać, że nie zawsze prawa te są jednakowe. Uzależnione to jest od podstawy prawnej przetwarzania danych osobowych.
Opieszałość w realizacji praw osób, których dane dotyczą może narazić administratora danych na kontrolę organu nadzorczego, a nawet wysokie kary finansowe…
Jak wskazaliśmy powyżej praw jest kilka, ale wszystkie w zależności od podstawy przetwarzania danych należy realizować. Realizując przetwarzanie danych osobowych, administrator musi mieć na uwadze, że RODO przyznaje osobom, których dane dotyczą, szereg uprawnień związanych ze sprawowaniem kontroli nad własnymi danymi. Oznacza to, że oprócz zapewnienia bezpieczeństwa danym, administrator jest obowiązany do realizacji praw podmiotów danych. RODO kładzie szczególny nacisk na to, aby osoby, których dane są przetwarzane, miały większy dostęp do informacji na temat podejmowanych przez administratorów działań. Osoby mają też mieć większą kontrolę nad danymi, które przekazują ADO. Dowodem na to, że brak realizacji praw może wiązać się z karami, może być decyzja prezesa UODO w zakresie kary nałożonej na podmiot za brak reakcji na prawo do sprzeciwu.
Należy wzmocnić i doprecyzować prawa osób, których dane dotyczą, oraz obowiązki podmiotów przetwarzających dane osobowe i decydujących o przetwarzaniu…
Samo Rozporządzenie RODO wskazuje wprost, że trzeba postawić na prawa osób, których dane osobowe są przetwarzane, a zatem dla administratorów powinny one odgrywać kluczową rolę. W kolejnych artykułach postaram się szerzej opisać same prawa osób oraz wyjaśnić o co chodzi w tych prawach. Dzisiaj tylko krótko je wymienię:
- Prawo do wycofania zgody – art. 7 RODO;
- Prawo dostępu do danych – art. 15 RODO;
- Prawo do sprostowania danych – art. 16 RODO;
- Prawo do usunięcia danych – art. 17 RODO (popularnie nazywane prawem do zapomnienia);
- Prawo do ograniczenia przetwarzania – art. 18 RODO;
- Obowiązek powiadomienia o sprostowaniu lub usunięciu danych osobowych lub o ograniczeniu przetwarzania – art. 19 RODO;
- Prawo do przenoszenia danych – art. 20 RODO;
- Prawo do sprzeciwu – art. 21 RODO;
- Prawo do sprzeciwu oraz do niepodleganiu decyzji opartych na zautomatyzowanym przetwarzaniu – art. 22 RODO.
Pamiętajmy również, że przysługujące prawa osób to jedno, ale RODO przewiduje również sytuacje pozwalające na ograniczenie ich w szczególnych przypadkach.
Realizacja praw osób, których dane dotyczą przysparza czasem problemy administratorom…
W organizacjach, w których jest wyznaczony Inspektor Ochrony Danych administratorzy mają ułatwione działania na polu realizacji praw osób, których dane dotyczą. Oczywiście, jeśli Ci IOD mają wiedzę. Ważną kwestią jest również fakt, aby osoby do których wpłynął wniosek o realizację prawa wiedzieli, jak postąpić. Istotnością wiedzy pracowników jest udział w cyklicznych Szkoleniach ochrony danych osobowych. Dobre szkolenie, powinno objąć również zasady dotyczące praw osób, których dane dotyczą. Wśród innych powodów pojawiających się w ramach problemów administratorów można wyróżnić także:
- weryfikację tożsamości osoby fizycznej zwracającej się z żądaniem;
- możliwości wydłużenia terminu na udzielenie odpowiedzi,
- postępowania z żądaniami, które sformułowane są niejasno i mało precyzyjnie.
Najtrudniejszym problemem jest zapewne weryfikacja tożsamości osoby. Jednakże, często osoby, chcące skorzystać ze swoich praw wysyłają nam wiadomości mailem na nasze dedykowane skrzynki. To pozwala nam np. na weryfikację adresu email, z którego wpłynęło żądanie z adresem, który administrator ma w swojej bazie danych. Jeśli to się nie powiedzie, trzeba prowadzić weryfikację w oparciu o inne dane jakie udostępniono we wniosku. Możemy również zwrócić się do osoby wnioskującej o udostępnienie innych danych pozwalających na jej identyfikację. Pamiętajmy, dopiero po identyfikacji tożsamości osoby, która chce zrealizować swoje prawo, można udzielić jej stosownej odpowiedzi.
Administrator powinien dokładnie analizować każde żądanie, które do niego wpływa…
Podsumowując, realizacja praw osób, których dane dotyczą jest jedną z kluczowych kompetencji jakie ma do wykonania Administrator danych. Chcąc, nie chcąc warto wiedzieć jakie przysługują osobom fizycznym prawa, a także kiedy mogą z nich korzystać. Warto również wiedzieć w jaki sposób na niego reagować. Jaką stosować formę odpowiedzi oraz jakie obowiązują w tym zakresie terminy. Tego typu informacje postaramy się Państwu przybliżyć w kolejnych artykułach, dzięki czemu mamy nadzieję, że będą Państwo wiedzieli jak właściwie postępować. Brak przeanalizowania otrzymanego żądania, może wiązać się z błędną jego interpretacją. Błędna interpretacja może także doprowadzić do zarzutów zaniechania realizacji prawa osoby, której dane dotyczą. RODO jest dla ludzi i to oni mają być na pierwszym miejscu. To ich mamy obowiązek objąć stosowną ochroną, a także ułatwić im korzystanie z przysługujących praw.
