10 wskazówek, jak korzystać z praw gwarantowanych przez RODO

Na podstawie doświadczeń z pierwszych sześciu miesięcy stosowania Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych – dalej RODO) Urząd Ochrony Danych Osobowych 23 listopada 2018 r. na swojej stronie internetowej opublikował 10 wskazówek, jak korzystać z praw gwarantowanych przez rozporządzenie UE.

Ten krótki wpis informacyjny kierowany jest w szczególności do osób, których dane są przetwarzane i w prostych słowach tłumaczy uprawnienia jakie przyznaje RODO. Poniżej cytujemy wskazówki Urzędu, wraz z naszym komentarzem i uzupełnieniem.

„Masz prawo wiedzieć, co będzie się działo z Twoimi danymi

Powinieneś wiedzieć, kto, na jakiej podstawie i po co przetwarza Twoje dane osobowe. Firma bądź instytucja, która nimi dysponuje, powinna Cię o tym poinformować. Ma też obowiązek wskazać, jakie prawa daje Ci RODO. A masz prawo m.in. do: dostępu do swoich danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia, wniesienia sprzeciwu czy do tego, by być poinformowanym o zautomatyzowanym podejmowaniu decyzji, w tym profilowaniu. Realizując obowiązek informacyjny, administrator musi też wskazać, jak długo będzie przechowywał Twoje dane, oraz podać dane kontaktowe inspektora ochrony danych (IOD), jeśli go wyznaczył”.

Warto wiedzieć, na jakie przepisy się powoływać. Prawom osoby, której dane dotyczą poświęcony został Rozdział III RODO. Zostały one szczegółowo opisane w art. 12 – 22 RODO, traktują o nich również motywy preambuły, w szczególności 58 do 72.

„Masz prawo w każdej chwili wycofać zgodę

Jeśli podstawą przetwarzania Twoich danych jest wyrażona przez Ciebie – świadomie i dobrowolnie – zgoda, masz prawo w dowolnym momencie ją wycofać i nie może to rodzić dla Ciebie żadnych negatywnych konsekwencji (np. podwyższenia opłaty za usługi). Pamiętaj, że cofnięcie zgody powinno być równie łatwe jak jej udzielenie”.

O wymogach dotyczących pozyskiwania zgody na przetwarzanie danych osobowych traktuje art. 7 i 8 RODO. Warto w tym miejscu również zacytować motyw 32 RODO : „Zgoda powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, których dane dotyczą, na przetwarzanie dotyczących jej danych osobowych i która ma na przykład formę pisemnego (w tym elektronicznego) lub ustnego oświadczenia. Może to polegać na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej, na wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego lub też na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych. Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny zatem oznaczać zgody. Zgoda powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach. Jeżeli przetwarzanie służy różnym celom, potrzebna jest zgoda na wszystkie te cele. Jeżeli osoba, której dane dotyczą, ma wyrazić zgodę w odpowiedzi na elektroniczne zapytanie, zapytanie takie musi być jasne, zwięzłe i nie zakłócać niepotrzebnie korzystania z usługi, której dotyczy”.

„Powinieneś być informowany w sposób dla Ciebie zrozumiały

Wszelkie przekazywane Ci informacje związane z przetwarzaniem Twoich danych powinny być sformułowane jasnym i prostym, zrozumiałym dla Ciebie językiem. Dotyczy to również komunikatów informacyjnych związanych z korzystaniem z usług internetowych czy aplikacji mobilnych. Jeśli ich nie rozumiesz lub nie są dla Ciebie wystarczająco zrozumiałe, zwracaj się do administratora o przekazanie dodatkowych wyjaśnień”.

Zasada przejrzystości wymaga, by wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem tych danych osobowych były łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem. RODO wiele miejsca poświęca formie komunikacji z osobami, których dane dotyczą, zalecając również w stosownych przypadkach formę wizualną. Wszakże RODO ma na celu ochronę praw osób fizycznych.

„Nie zawsze masz z prawo do bycia zapomnianym

Wprawdzie RODO przyznało Ci prawo do bycia zapomnianym (usunięcia danych), ale pamiętaj, że nie jest ono bezwzględne. Możesz żądać jego realizacji np. wówczas, gdy: dane stały się zbędne do realizacji zakładanych celów, dane były przetwarzane niezgodnie z prawem albo wycofałeś swoją zgodę i nie ma innej przesłanki legalizującej ich wykorzystywanie. Pamiętaj jednak, że nie w każdej sytuacji masz prawo do bycia zapomnianym. Tak jest choćby wtedy, gdy dany podmiot (np. szkoła, gmina czy przychodnia) musi wykorzystywać Twoje dane, by zrealizować nałożony na niego obowiązek prawny”.

Urząd Ochrony Danych Osobowych odnosi się do nowego uprawnienia, które wywołało najwięcej pytań w praktycznej realizacji – prawa do usunięcia danych (art. 17 RODO). Słusznie podkreślono, iż prawo do bycia zapomnianym nie ma charakteru bezwzględnego. Jeżeli z jakiś przyczyn przetwarzane dane są jeszcze potrzebne administratorowi – ma prawo je przetwarzać. Oczywiście w przypadku, gdy osoba, której dane dotyczą złożyła żądanie usunięcia danych, administrator powinien wyjaśnić dlaczego nie zrealizuje tego uprawnienia i jakie są podstawy odmowy.

„Masz prawo do informacji o naruszeniu Twoich danych

Wyciek danych, ich zagubienie czy udostępnienie osobom niepowołanym – to się zdarza. I jeżeli rodzi to dla Ciebie poważne zagrożenie, to nie dziw się, że administrator Cię o tym informuje – taki ma obowiązek. Zastosuj się więc do jego wskazówek, dzięki którym możesz zminimalizować zagrożenie. Czasami np. zmiana hasła w systemie internetowym czy zastrzeżenie dokumentów pozwoli Ci zabezpieczyć swoje dane i uniknąć np. kradzieży tożsamości i związanych z tym konsekwencji, jak np. zaciągnięcie w Twoim imieniu pożyczki. W razie wątpliwości kontaktuj się z administratorem lub z wyznaczonym przez niego inspektorem ochrony danych osobowych, który ma Ci w takiej sytuacji pomóc”.

Od 25 maja 2018 r. w przypadku gdy naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych administrator ma obowiązek ich zawiadomienia o zaistniałej sytuacji (art. 34 RODO). Oczywiście nie o wszystkich naruszeniach będziemy informowani – gdy ryzyko nie jest wysokie, administrator ma obowiązek jego zgłoszenia jedynie do Urzędu Ochrony Danych Osobowych oraz zanotowania w swoim wewnętrznym rejestrze naruszeń (art. 33 RODO).

„Jeśli wniesiesz sprzeciw – marketing nie może być prowadzony

Jeżeli Twoje dane są wykorzystywane w celach marketingowych, a więc do przedstawiania Ci oferty towarów czy usług, w dowolnym momencie możesz się temu sprzeciwić. Jeżeli to zrobisz, Twoich danych nie wolno już wykorzystywać do takich celów”.

Co do zasady na działania marketingowe wyrażana jest zgoda. Administrator ma jednakże prawo w określonych przypadkach prowadzić działania marketingowe w ramach swojego uzasadnionego interesu, zgodnie z art. 6 ust. 1 lit. f) RODO. Jeżeli zgoda nie była wyrażania, nie mamy prawa jej wycofać. RODO jednakże w takiej sytuacji przewiduje instytucję sprzeciwu – art. 21 RODO. Jeżeli posłużymy się tą instytucją prawną informacje handlowe nie mogą być nam dłużej przesyłane. Co ważne, dotyczy to również profilowania w celach marketingowych.

„Chroń dzieci przed nieuczciwymi praktykami

Jeśli jesteś rodzicem lub opiekunem prawnym osoby poniżej 16. roku życia, pamiętaj, że gdy korzysta ona z tzw. usług społeczeństwa informacyjnego (świadczonych drogą elektroniczną), a więc portali społecznościowych, aplikacji czy gier, to Ty decydujesz o udzieleniu zgody na przetwarzanie jej danych osobowych. To ważne, bo dzieci często są mniej świadome ryzyka i konsekwencji przetwarzania ich danych osobowych. RODO wskazuje, że należy im zapewnić szczególną ochronę, gdy ich dane są wykorzystywane do celów marketingowych czy tworzenia profili osobowych. Zwracaj uwagę, czy komunikaty kierowane do nich przez administratora są sformułowane językiem, który są one w stanie zrozumieć”.

RODO wyszło naprzeciw problemowi wyrażania zgody przez osoby niepełnoletnie – art. 8 RODO. Szczególnej ochrony danych osobowych wymagają bowiem dzieci, które mogą być mniej świadome ryzyka, konsekwencji, zabezpieczeń i praw przysługujących im w związku z przetwarzaniem danych osobowych. Taka szczególna ochrona powinna mieć zastosowanie przede wszystkim do wykorzystywania danych osobowych dzieci do celów marketingowych lub do tworzenia profili osobowych lub profili użytkownika oraz do zbierania danych osobowych dotyczących dzieci, gdy korzystają one z usług skierowanych bezpośrednio do nich (motyw 38 RODO).

„Realizacji swoich praw żądaj najpierw od administratora

Jeżeli uważasz, że ktoś nieprawidłowo postępuje z Twoimi danymi, to z nim (lub z wyznaczonym przez niego IOD) skontaktuj się w pierwszej kolejności i zażądaj wyjaśnień lub spełnienia Twojego żądania, np. sprostowania danych, odnotowania sprzeciwu, usunięcia danych”.

Zanim osoba, której dane dotyczą złoży skargę do Urzędu Ochrony Danych Osobowych powinna najpierw zwrócić się ze stosownymi żądaniami do podmiotu, który przetwarza dane. Jeżeli administrator wyznaczył Inspektora Ochrony Danych (z którym najlepiej się skontaktować), zgodnie z ustawą o ochronie danych osobowych z 10 maja 2018 r., jego imię i nazwisko oraz adres e-mail/numer telefonu odnajdziemy najczęściej na stronie internetowej. Dodatkowo dane kontaktowe zawsze znajdują się w obowiązku informacyjnym.

„Możesz dochodzić odszkodowania przed sądem

Pamiętaj! Jeśli podmiot, który dysponuje Twoimi danymi, wykorzystuje je niezgodnie z RODO, a Ty poniosłeś przez to szkodę majątkową lub niemajątkową, możesz dochodzić od niego odszkodowania, wszczynając postępowanie przed sądem. Masz do tego prawo niezależnie od tego, czy zamierzasz złożyć skargę do Prezesa UODO”.

Odpowiedzialność odszkodowawcza administratora danych określona została w art. 79 i 82 RODO. Na gruncie prawa polskiego w zakresie nieuregulowanym RODO, odpowiednio stosuje się przepisy Kodeksu cywilnego. Ustawa o ochronie danych osobowych przesądza, iż w sprawach o roszczenia z tytułu naruszenia przepisów o ochronie danych osobowych, właściwym do rozpoznania sprawy jest sąd okręgowy. O wniesieniu pozwu oraz prawomocnym orzeczeniu kończącym postępowanie w sprawie o roszczenie, sąd zawiadamia niezwłocznie PUODO.

„Masz prawo złożyć skargę do Prezesa UODO

Niezależnie od wskazanych wyżej praw, możesz też złożyć na administratora skargę do Prezesa Urzędu Ochrony Danych Osobowych. Pamiętaj, aby było to skuteczne, wskaż: Twoje imię i nazwisko, adres zamieszkania. Podaj też pełną nazwę/imię i nazwisko oraz adres siedziby/zamieszkania, tego, kogo skarżysz oraz dokładnie opisz naruszenie. Określ, jakich działań oczekujesz od Prezesa UODO. Nie zapomnij też o podpisie! Szczegółowe informacje dotyczące składania skarg są dostępne na stronie internetowej urzędu www.uodo.gov.pl w zakładce <Skargi>”.

Skierowana do Prezesa Urzędu Ochrony Danych Osobowych skarga inicjuje postępowanie administracyjne prowadzone przez organ ochrony danych w trybie, na zasadach i z zachowaniem terminów przewidzianych przepisami ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego. Wniesienie skargi jest bezpłatne. Jeżeli składający skargę posiada dowody potwierdzające okoliczności wskazane w skardze (np. korespondencję z administratorem, umowy, zaświadczenia) powinien je dołączyć do skargi. Skargę można składać elektronicznie lub tradycyjnie, w formie papierowej.