Co daje mi RODO – jakie mam prawa?

Zdarza nam się jeszcze słyszeć opinie, że RODO to kolejny przepis, który powstał, aby dołożyć pracy, wygenerować koszty czy też dać kolejny obszar do kontroli i karania przedsiębiorców.

Zauważyć należy jednak, że RODO określa prawa osób fizycznych i daje im kontrolę nad ich danymi osobowymi.

Przybliżmy zatem prawa, które wynikają z RODO:

1. Mam prawo wiedzieć kto, na jakiej podstawie i w jakim celu przetwarza moje dane osobowe. Firma lub instytucja dysponująca moimi danymi powinna poinformować mnie o tym, ale również wskazać jakie prawa mi przysługują (np. prawo dostępu do swoich danych, żądania sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia oraz wniesienia sprzeciwu, mam prawo do bycia poinformowanym o zautomatyzowanym podejmowaniu decyzji i profilowaniu). Poza informacją o podstawie i celu przetwarzania, Administrator Danych Osobowych (ADO) spełniając tzw. obowiązek informacyjny, musi wskazać jak długo będzie przechowywał moje dane osobowe oraz podać dane kontaktowe Inspektora Ochrony Danych (IOD), jeśli go wyznaczył.
2. Mam prawo wycofać zgodę na przetwarzanie moich danych. Jeśli dane przetwarzane są na podstawie zgody, którą wcześniej wyraziłem, w dowolnym momencie mogę ją wycofać. Dodatkowo nie może to mieć dla mnie żadnych negatywnych konsekwencji (np. zwiększenia opłat za usługę). Cofnięcie zgody musi być dla mnie tak samo łatwe jak jej udzielenie. Czyli jeśli ADO pozyskał moją zgodę poprzez formularz na stronie www, to powinienem móc w tak samo łatwy sposób zgodę tę wycofać.
3. Mam prawo być informowany w sposób jasny i zrozumiały. Wszelkie informacje dotyczące moich danych osobowych i sposobów ich przetwarzania powinny mi być przedstawione w sposób zrozumiały. Nie mogą one stanowić wycinka aktu prawnego, lecz powinny w sposób jasny komunikować informacje np. związane z korzystaniem z danej usługi internetowej czy aplikacji mobilnej. Ponadto, jeśli informacje te budzą moje wątpliwości lub cokolwiek jest dla mnie niezrozumiałe, mam prawo zwrócić się do Administratora Danych Osobowych o dodatkowe wyjaśnienia.
4. Mam prawo do bycia zapomnianym / usunięcia moich danych. Kiedy wycofałem swoją zgodę na przetwarzanie moich danych (jak w punkcie 2) i ADO (Administrator Danych Osobowych) nie ma żadnej podstawy prawnej lub przesłanki legalizującej ich dalsze wykorzystywanie lub kiedy przetwarzane były one niezgodnie z prawem, mogę żądać usunięcia moich danych – skorzystać z prawa do bycia zapomnianym. Muszę jednak pamiętać, że prawo to nie jest bezwzględne – Administrator Danych Osobowych (ADO) będzie przechowywał moje dane osobowe np. aby spełnić obowiązek prawny, przez okres tak długi jak obowiązek taki na nim ciąży.
5. Mam prawo do informacji o naruszeniu moich danych. Naruszenie danych osobowych powstaje na skutek wycieku danych z firmy, udostępnienia osobom nieuprawnionym/nieupoważnionym, zagubienia danych lub nośnika (np. dysku przenośnego, płyty CD/DVD, pendrive). Dlatego tak duży nacisk kładzie się ostatnio na szyfrowanie wszelkich nośników, i dwuetapowe autentykacje do kont online. Każdy wyciek może nieść za sobą poważne zagrożenie, dlatego mam prawo wiedzieć o każdej takiej sytuacji, aby zminimalizować zagrożenie i skutki. Obowiązkiem ADO (Administratora Danych Osobowych) jest poinformowanie mnie a następnie udzielenie wskazówek jak zminimalizować ryzyko. Niezwłocznie powinienem zastosować się do wskazówek i przemyśleć zmianę haseł do kont (np. na portalach internetowych), zastrzeżenie dokumentów (jeśli istnieje obawa o kradzież tożsamości i np. zaciągnięcie w moim imieniu pożyczki).
6. Mam prawo do sprzeciwu wobec marketingu. Jeśli nie korzystam z oferty danej firmy, nie chcę aby przedstawiała mi swoje towary czy usługi, mam prawo wycofać zgodę na kontakt marketingowy. Niezależnie czy zgodziłem się na taki kontakt wiele miesięcy temu, czy kilka minut temu, mogę sprzeciwić się wykorzystywaniu moich danych w celach marketingowych a ADO musi to uszanować i nie może mi już swojej oferty przedstawiać (czy to natarczywymi e-mailami, sms-ami czy jakąkolwiek inną drogą komunikacji).
7. Dzieci chronione przed nieuczciwymi praktykami. Tutaj należy wykazać szczególną ostrożność. Cytując wskazówki ze strony UODO (Urzędu Ochrony Danych Osobowych): „RODO wskazuje, że należy im zapewnić szczególną ochronę, gdy ich dane są wykorzystywane do celów marketingowych czy tworzenia profili osobowych. Zwracaj uwagę, czy komunikaty kierowane do nich przez administratora są sformułowane językiem, który są one w stanie zrozumieć”. Dzieci nie są często świadome ryzyka ale także konsekwencji podawania swoich danych osobowych w Internecie. Jako opiekun prawny to ja odpowiadam za bezpieczeństwo swoich dzieci i to ja decyduję o udzieleniu zgody na przetwarzanie danych osobowych moich dzieci, jeśli nie osiągnęły one wieku 16 lat.
8. Mam prawo żądać realizacji swoich praw przez Administratora Danych Osobowych (ADO). Jeśli uważam, że ktoś w sposób nieprawidłowy postępuje z moimi danymi osobowymi, mogę skontaktować się z nim lub wyznaczonym przez niego IOD (Inspektorem Ochrony Danych) i zażądać wyjaśnień lub spełnienia prawa do sprostowania, odnotowania sprzeciwu, usunięcia danych.
9. Mogę dochodzić swoich praw przed sądem. Jeśli ktoś w sposób nieprawidłowy, np. niezgodny z prawem i nie dysponując moją zgodą – krótko mówiąc niezgodnie z RODO – wykorzystuje moje dane osobowe, a ja poniosłem przez to szkodę, mogę dochodzić od niego odszkodowania, wszczynając postępowanie przed sądem. Niezależnie od tego zawsze mogę również złożyć skargę do PUODO, jak w punkcie 10.
10. Mogę złożyć skargę do Prezesa UODO / PUODO. Cytując stronę Urzędu Ochrony Danych Osobowych (UODO): „Niezależnie od wskazanych wyżej praw, możesz też złożyć na administratora skargę do Prezesa Urzędu Ochrony Danych Osobowych. Pamiętaj, aby było to skuteczne, wskaż: Twoje imię i nazwisko, adres zamieszkania. Podaj też pełną nazwę/imię i nazwisko oraz adres siedziby/zamieszkania, tego, kogo skarżysz oraz dokładnie opisz naruszenie. Określ, jakich działań oczekujesz od Prezesa UODO. Nie zapomnij też o podpisie! Szczegółowe informacje dotyczące składania skarg są dostępne na stronie internetowej urzędu UODO w zakładce „Skargi”.”.

Gdzie szukać potwierdzenia powyższych praw? Na co się powołać?

O prawach osób, których dane dotyczą mowa w:

• art.15 RODO – prawo dostępu do danych
• art.16 RODO – prawo do sprostowania danych
• art. 17 RODO – prawo do usunięcia danych
• art. 18 RODO – prawo do ograniczenia przetwarzania
• art. 19 RODO – obowiązek powiadomienia o sprostowaniu lub usunięciu
• art. 20 RODO – prawo do przenoszenia danych
• art. 21 RODO – prawo do sprzeciwu
• art. 22 RODO – prawo do niepodlegania zautomatyzowanemu podejmowaniu decyzji i profilowaniu

Liczę, że powyższy artykuł, napisany jest w sposób przystępny i okaże się pomocny w zrozumieniu swoich praw i powodu, dla którego RODO jest nam rzeczywiście potrzebne.

Zapraszamy do kontaktu i konsultacji – w zakładce Kontakt.

Tekst zainspirowany i częściowo cytowany z www.uodo.gov.pl.