Zrozumienie praw osób, których dane dotyczą kluczową rolą dla administratora – część 2

Upowszechnienie wiedzy o prawach przysługujących osobom fizycznym….

W poprzedniej części cyklu dotyczącego praw osób, których dane dotyczą wyjaśniliśmy trzy z tych praw. Dzisiaj zajmiemy się kolejnymi dwoma oraz postaramy się wytłumaczyć obowiązek administratorów w zakresie powiadomienia o sprostowaniu lub usunięciu danych osobowych lub o ograniczeniu przetwarzania. Wejście RODO w życie sprawiło, że upowszechniona została wiedza o prawach przysługujących osobom, których dane dotyczą. Z różnych przyczyn osoby takie kierują do administratorów swoje żądania. Co z kolei oznacza, że administrator danych musi się z nimi zmierzyć, pochylić nad ich zasadnością. Dlatego też w naszej opinii powinni Państwo wiedzieć i rozumieć jakie przysługują prawa osobom, których dane dotyczą.

Prawo do usuwania danych (prawo do „bycia zapomnianym”) …

Zgodnie z art. 17 RODO każda osoba, której dane osobowe są przetwarzane ma prawo zwrócić się do administratora danych osobowych z żądaniem usunięcia jej danych osobowych. Administrator ma zaś obowiązek na to żądanie odpowiedzieć, co jednak, nie zawsze oznacza uwzględnienie żądania. Ważne jest również to, iż jeśli administrator korzysta z podmiotów przetwarzających w procesie przetwarzania danych osobowych, powinien pamiętać by zobowiązać taki podmiot, przetwarzający dane osobowe w jego imieniu, do niezwłocznego przekazania sobie takiego żądania. Administrator po otrzymaniu żądania musi rozważyć, czy przetwarzanie danych, których dotyczy żądanie nie jest niezbędne. Choćby w ograniczonym zakresie do różnych celi wskazanych w RODO. I tu wracamy do dłużników liczących na możliwość usunięcia ich danych za nim dokonają spłaty długu. Jednym z celi pozwalających na dalsze przetwarzanie danych pomimo otrzymania żądania usunięcia danych jest ustalenie, dochodzenie lub obrona przed roszczeniami. Skoro można dochodzić, to z prawa do bycia zapomnianym będziemy mogli skorzystać, jak wywiążemy się ze wszystkich zobowiązań finansowych 😊. Pamiętajmy, że będąc Administratorami mamy miesiąc na realizację tego typu żądania. Warto wiedzieć, że niewywiązywanie się z praw, m.in. właśnie prawa do usuwania danych może wiązać się z wysokimi karami. Przykładem może być wyrok TSUE w sprawie C131/12. TSUE uznał, że operator wyszukiwarki internetowej ma obowiązek zrealizować żądanie danej osoby usunięcia jej danych osobowych w postaci listy wyników wyszukiwania pojawiających się w wyszukiwarce po wyszukaniu imiona i nazwiska danej osoby.

Prawo do ograniczenia przetwarzania…

Ograniczenie przetwarzania ogólnie oznacza ograniczenie sposobu, w jaki administrator danych może wykorzystywać dane osobowe. To najprostsze wytłumaczenie. Ograniczenie oznacza, że jedyną dopuszczalną czynnością przetwarzania danych osobowych jest ich przechowywanie, wyłącznie za zgodą osoby, której dane dotyczą. W celu ustalenia, dochodzenia lub obrony roszczeń, lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na względy interesu publicznego UE lub państwa członkowskiego UE.

Przykład:

Nowy bank na krajowym rynku oferuje kredyty mieszkaniowe na dobrych warunkach. Kupujesz nowy dom, więc decydujesz się zmienić bank. Zwracasz się z wnioskiem do starego banku o zamknięcie wszystkich rachunków i żądasz usunięcia wszystkich danych osobowych. Stary bank podlega jednak przepisom prawa bankowego, zgodnie z którym banki mają obowiązek przechowywania wszystkich danych dotyczących klientów przez 10 lat. Stary bank jest prawnie zobowiązany do przechowywania danych osobowych, ale w dalszym ciągu możesz zażądać ograniczenia przetwarzania. Co daje pewność, że dane te nie zostaną przypadkowo wykorzystane w niechcianym celu. Motyw 67 RODO akcentuje wymóg, aby fakt ograniczenia przetwarzania danych osobowych wyraźnie zaznaczyć w systemie. Uwzględnienie bowiem żądania podmiotu danych powoduje, że administrator oznaczone dane jedynie przechowuje. Przed uchyleniem ograniczenia przetwarzania administrator informuje o tym podmiot danych, który żądał ograniczenia. W szczególności, informacja należy prowadzić w zwięzłej, przejrzystej i dostępnej formie.

Obowiązek powiadomienia o sprostowaniu lub usunięciu danych osobowych lub o ograniczeniu przetwarzania…

Nie samymi prawami i zasadami ich realizacji żyje administrator. Musi on również pamiętać o obowiązkach wynikających z RODO m.in. tymi z art. 19. Jedną z zasad przetwarzania danych jest zasada prawidłowości przetwarzanych danych, zgodnie z którą dane osobowe powinny być prawidłowe i w razie potrzeby uaktualniane. Należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane. Art. 19 wskazuje, kiedy należy poinformować osoby, których dane dotyczą o wykonywaniu powyższych działań w zakresie ich danych osobowych. Warto wiedzieć, że nie w każdej sytuacji osoby fizyczne mogą się spodziewać informacji od administratorów. Wszystko zależy od charakteru danych, sposobów i celi przetwarzania. Urząd Ochrony Danych Osobowych weryfikował kilkukrotnie skargi osób fizycznych związane z brakiem spełnienia obowiązków wynikających z art. 19 RODO i wydawał również decyzje pozytywne dla administratorów jak np. Decyzja UODO ZSPR.440.998.2018.

Procedura postępowania w sprawie realizacji praw osób fizycznych…

W ramach rozpoznawania żądań od osób, których dane dotyczą w ramach realizacji ich wniosków w zakresie praw im przysługujących warto rozważyć wdrożenie stosownej procedury. Wskazywaliśmy, że na pewno każda organizacja podlega pod przepisy RODO i powinna wdrożyć stosowne wymagania. Warto również szkolić pracowników. Oczywiście, wiadomo, że nie każdy administrator musi mieć IOD-a, ale powinien mieć kogoś, kto rozumie zasady wynikające z tych przepisów. Pomocnym rozwiązaniem może być wybór stałego wsparcia w formule online, która pozwala na oszczędności finansowe. Stałe wsparcie może być realizowane np. poprzez usługę Eksperta ds. Ochrony Danych Osobowych, która to nie tylko pomoże w opracowaniu tej procedury, ale i szeregu innych niezbędnych organizacji jak np. Procedury postępowania w sytuacji wystąpienia naruszenia systemu ochrony danych osobowych.

Żądania osób, których dane dotyczą – zakres uprawnień…

RODO zachęca do korzystania z realizacji praw przez wszelkie podmioty danych, a więc także te, których dane się przetwarza przez podmioty z branży internetowej. Takimi podmiotami praw są np. użytkownicy internetu, którzy przeglądają strony internetowe, korzystają z usług skrzynek pocztowych. Także dokonują zakupów w sklepach internetowych, czy też wypowiadają się na stronach portali czy w serwisach społecznościowych. W związku z tym warto stworzyć procedurę umożliwiającej wystąpienie przez danego użytkownika z odpowiednim żądaniem do danego podmiotu z branży internetowej.  Dokument taki powinien opisywać przysługujące prawa, zasady ich realizacji, weryfikacji wniosków o skorzystanie z danego prawa. Trzeba pamiętać, że w ramach konieczności realizacji praw osób, których dane dotyczą przetwarzania w internecie może pojawić się wiele problemów. Problemy te łatwiej rozwiązać będzie mając stosowną procedurę. Przykładem takich problemów może być sytuacja żądań dotyczących udzielenia kopii danych i ich usunięcia.

Kluczowa rola administratora danych przy przestrzeganiu przepisów o ochronie danych…

Jak wskazaliśmy, spełnianie wymagań osób fizycznych w zakresie ich praw należy do jednej z kluczowych ról administratorów danych. Mamy nadzieję, że niniejszy cykl artykułów pozwoli Państwu w bardziej przystępny sposób zrozumieć te prawa. Także wiedzieć co i kiedy robić. Lubimy dzielić się naszą wiedzą i poglądami stąd też publikacje na naszej www. Zachęcamy do odwiedzania https://bco-integrity.pl/aktualnosci/. W trzeciej części postaramy się podać w przystępny sposób informacje dotyczące praw:

• do przenoszenia danych;
• do sprzeciwu;
• do sprzeciwu oraz do niepodleganiu decyzji opartych na zautomatyzowanym przetwarzaniu.

Cykl artykułów o prawach osób, których dane dotyczą zamkniemy opisem dotyczącym weryfikacji wniosków i zasad realizacji tych praw. W związku z tym zachęcamy do śledzenia naszych publikacji, dzięki czemu będą mieli Państwo pełną wiedzę w tym temacie.