Zaznacz stronę

Jedną z najważniejszych zmian jaka zacznie obowiązywać po 25 maja 2018 roku będzie dotyczyła rozszerzenia uprawnień osób, których dane są przetwarzane. Ma to być realizowane przez szczegółowe informowanie o przetwarzaniu danych. To uprawnienie będzie realizowane również poprzez obowiązek ujawnienia danych inspektora ochrony danych (o ile zostanie powołany), co pozwoli zainteresowanym stronom sprawnie realizować ich uprawnienia.

Przepisy rozporządzenia UE rozszerzają obowiązki informacyjne o informacje takie jak dotyczące zautomatyzowanego podejmowania decyzji, prawie wniesienia skargi czy okresu przechowywania danych.

Uregulowano również szczegółowo (art. 14) wyjątki od tego obowiązku tj.:

  1. osoba, której dane dotyczą, dysponuje już tymi informacjami;
  2. udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku; w szczególności w przypadku przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, z zastrzeżeniem warunków i zabezpieczeń, o których mowa w art. 89 ust. 1, lub o ile obowiązek, o którym mowa w ust. 1 niniejszego artykułu, może uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania. W takich przypadkach administrator podejmuje odpowiednie środki, by chronić prawa i wolności oraz prawnie uzasadnione interesy osoby, której dane dotyczą, w tym udostępnia informacje publicznie;
  3. pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą; lub
  4. dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy.

W chwili obecnej obowiązuje konstrukcja żądania usunięcia danych, w nowym rozporządzeniu UE zostało to uregulowane w art. 17 i nosi nazwę prawa do bycia zapomnianym. Każdy obywatel, którego dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia jego danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć te dane. Jeżeli dane zostały upublicznione przez administratora a ma on obowiązek usunąć te dane osobowe, to podejmuje działania, by poinformować administratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje. Administrator w swych działaniach musi być rozsądny i brać pod uwagę dostępne technologie i koszt realizacji.

Dodatkowo w rozporządzeniu UE rozszerzono obowiązek (art. 19) informowania każdego, któremu dane zostały udostępnione a nie tylko tego administratora, który te dane udostępnił, jak jest to w chwili obecnej.

Nowością w stosunku do obecnie funkcjonujących przepisów jest pojawienie się możliwości przenoszenia danych. Zgodnie z art. 20 wszyscy których dane dotyczą mają prawo do:

  • otrzymania w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego danych osobowych jej dotyczących, które dostarczyła administratorowi,
  • przesłania tych danych osobowych innemu administratorowi bez przeszkód ze strony administratora, któremu dostarczono te dane osobowe,
  • żądania, by dane osobowe zostały przesłane przez administratora bezpośrednio innemu administratorowi, o ile jest to technicznie możliwe.

Należy pamiętać, że prawo to nie ma zastosowania do przetwarzania, które jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi i nie może niekorzystnie wpływać na prawa i wolności innych obywateli.

Obecne krajowe przepisy rozróżniają dwa sposoby sprzeciwu wobec przetwarzania danych poprzez sprzeciw i prawo do żądania zaprzestania przetwarzania danych. W rozporządzeniu UE zostało to ujednolicone. Zniesiono również przesłankę do wniesienia sprzeciwu jaką była przesłanka przekazania danych innym podmiotom.

  • Osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw. Administratorowi nie wolno już przetwarzać tych danych osobowych, chyba że wykaże on istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń.
  • Jeżeli dane osobowe są przetwarzane na potrzeby marketingu bezpośredniego, osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania dotyczących jej danych osobowych na potrzeby takiego marketingu, w tym profilowania, w zakresie, w jakim przetwarzanie jest związane z takim marketingiem bezpośrednim. Jeżeli osoba, której dane dotyczą, wniesie sprzeciw wobec przetwarzania do celów marketingu bezpośredniego, danych osobowych nie wolno już przetwarzać do takich celów.
  • Jeżeli dane osobowe są przetwarzane do celów badań naukowych lub historycznych lub do celów statystycznych osoba, której dane dotyczą, ma prawo wnieść sprzeciw – z przyczyn związanych z jej szczególną sytuacją – wobec przetwarzania dotyczących jej danych osobowych, chyba że przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym.

Niezwykle ważnym dla osób fizycznych są wprowadzone terminy zarówno obowiązujące osoby fizyczne jak i administratorów danych. Administrator bez zbędnej zwłoki – nie później niż w terminie miesiąca od otrzymania żądania – udziela osobie, której dane dotyczą, informacji o działaniach podjętych w związku z żądaniem informacji. W razie potrzeby termin ten można przedłużyć o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań. W terminie miesiąca od otrzymania żądania administrator informuje osobę, której dane dotyczą o takim przedłużeniu terminu, z podaniem przyczyn opóźnienia. Jeśli osoba, której dane dotyczą, przekazała swoje żądanie elektronicznie, w miarę możliwości informacje także są przekazywane elektronicznie, chyba że osoba, której dane dotyczą, zażąda innej formy. Administrator ma również obowiązek poinformować o powodach niepodjęcia działań oraz o możliwości wniesienia skargi do organu nadzorczego oraz skorzystania ze środków ochrony prawnej przed sądem.

Generalnie informacje, o których podanie zwracamy się w oparciu o rozporządzenie UE,  są wolne od opłat. Jednak jeżeli żądania osoby, której dane dotyczą, są ewidentnie nieuzasadnione lub nadmierne, w szczególności ze względu na swój ustawiczny charakter, administrator może:

  1. pobrać rozsądną opłatę, uwzględniając administracyjne koszty udzielenia informacji, prowadzenia komunikacji lub podjęcia żądanych działań; albo
  2. odmówić podjęcia działań w związku z żądaniem.

Obowiązek wykazania, że żądanie ma ewidentnie nieuzasadniony lub nadmierny charakter, spoczywa na administratorze.

UA-94118563-1