Dane osobowe po nowemu (7), czyli jakie uprawnienia przysługiwać będą osobie fizycznej?

Banki, pracodawcy, telemarketerzy, sklepy internetowe, dostawcy usług telekomunikacyjnych, portale aukcyjne – wszystkie te podmioty przetwarzają nasze dane osobowe, czyniąc to w zgodzie z ustawą o ochronie danych osobowych. Jednak od maja 2018 roku wejdzie w życie unijne Rozporządzenie o Ochronie Danych Osobowych (RODO), które będzie jednolitym prawem na terenie całej UE. Przepisy RODO mocno podkreślają nasze prawa, ale także nadają osobom fizycznym nowe uprawnienia, takie jak prawo do przenoszenia danych czy prawo do bycia zapomnianym.

Ewolucja istniejących uprawnień

RODO podkreśla i stawia na centralnym miejscu prawa osób, których dane są przetwarzane. Każdemu z nas przysługuje prawo dostępu do danych zgromadzonych przez przedsiębiorcę, prawo do sprostowania, uzupełnienia i wreszcie usunięcia danych. Nasze żądania musza być bezwzględnie respektowane, a jedynie w przypadku, gdy zawarta z danym przedsiębiorcą umowa wymaga przetwarzania danych osobowych, ów przedsiębiorca może dane przetwarzać do czasu zakończenia umowy.

Od maja 2018 roku każdy z nas będzie mógł zażądać dostarczenia mu kopii danych przetwarzanych przez przedsiębiorcę, a jeśli będzie to kopia elektroniczna to musi zostać dostarczona w powszechnie używanym formacie (wydaje się, że będzie to np. niezwykle popularny format PDF). Dzięki temu każda osoba fizyczna, każdy konsument będzie mógł sprawować bezpośrednią kontrolę nad zakresem danych, jakie udostępnił. Będziemy mogli żądać usunięcia części danych, np. numeru telefonu, bo nie chcemy, aby telemarketerzy do nas dzwonili i żądamy, aby kontaktowali się wyłącznie listownie lub za pomocą poczty elektronicznej.  Ponadto zawsze możemy zażądać wskazania wszystkich podmiotów, którym nasze dane zostały przekazane, a przedsiębiorca musi nam takiej informacji udzielić.

Niezwykle istotnym uprawnieniem jest to, że w przypadku zgłoszenia przez nas żądania sprostowania lub uzupełnienia danych, przedsiębiorca który je przetwarza ma obowiązek niezwłocznego powiadomienia o naszym żądaniu wszystkich innych podmiotów, którym przekazane zostały nasze dane.

Prawo do przeniesienia danych

Zgodnie z przepisami RODO każda osoba fizyczna będzie mogła zażądać przeniesienia danych, które jej dotyczą i są przetwarzane w sposób zautomatyzowany oraz nie ma przeszkód technicznych do takiego przekazania danych. Uprawnienie do żądania przeniesienia danych będzie dotyczyć zarówno zwykłego skopiowania danych i przesłania ich do wskazanego podmiotu, jak i żądania usunięcia danych po ich przesłaniu do wskazanego administratora. Trudno w chwili obecnej stwierdzić, czy przeszkody techniczne o jakich mowa w RODO będą oceniane obiektywnie, czyli przez pryzmat ogólnie dostępnych na rynku technologii, czy też subiektywnie, a więc na podstawie technologii będącej w posiadaniu przedsiębiorcy. Ta kwestia wykrystalizuje się dopiero w praktyce.

Prawo do bycia zapomnianym

RODO przewiduje tzw. prawo do bycia zapomnianym, które w zasadzie polega na żądaniu usunięcia danych osobowych ze wszystkich rejestrów przedsiębiorcy. RODO przewiduje pewne wyjątki, ale przesądza o generalnej zasadzie, którą jest właśnie to prawo. Jest to szczególnie istotne w kontekście np. dzieci, które wyraziły zgodę na przetwarzanie danych osobowych, a następnie chcą tę zgodę cofnąć. Prawo do bycia zapomnianym było już wcześniej wprowadzane orzecznictwem Trybunału Sprawiedliwości Unii Europejskiej, ale dzięki RODO prawo to będzie miało szersze zastosowanie i zdecydowanie więcej osób się o nim dowie. Najlepszą ilustracją prawa do bycia zapomnianym będzie żądanie do usunięcia danych w wyszukiwarkach internetowych, które będzie można zgłosić do podmiotu, który w Internecie (na swojej witrynie internetowej) opublikował informację nas dotyczącą, a podmiot ten ma obowiązek nie tylko dane usunąć, ale także poinformować o tym wszystkie wyszukiwarki internetowe tak, aby dana informacja już się w nich nie pojawiała. Poniżej przedstawiamy ilustrację tego przykładu:

Prawo do sądu i odszkodowania

Obecnie obowiązująca ustawa o ochronie danych osobowych nie przewiduje odrębnej podstawy do żądania odszkodowania za naruszenie ochrony danych osobowych, a wszystkie procesy w tym zakresie oparte są na zasadach ogólnych wynikających z kodeksu cywilnego. RODO natomiast wprowadza nie tylko procedurę ochrony prawnej przed sądem za naruszenie naszych praw, ale także prawo do wniesienia skargi na administratora danych do krajowego organu ochrony danych osobowych (najprawdopodobniej będzie nim GIODO), który będzie miał 3 miesiące na poinformowanie o postępach w sprawie lub jej rozstrzygnięciu.

RODO wprowadza także prawo do odszkodowania za szkodę majątkową lub niemajątkową powstałą w wyniku naruszenia przepisów przez administratora i podmiot przetwarzający dane osobowe. Aby uwolnić się od odpowiedzialności odszkodowawczej administrator danych lub podmiot przetwarzający dane musiałby wykazać, że nie ponosi w żadnym stopniu winy za zdarzenie, które doprowadziło do powstania szkody.

Summa summarum

Przepisy RODO stawiają na pierwszym miejscu ochronę osób fizycznych oraz ich danych, nadając im szereg uprawnień oraz wprowadzając prawną ścieżkę dochodzenia ewentualnych naruszeń. Najważniejszym aspektem ochrony przewidzianej w RODO ma być jej skuteczność i wydaje się, że te założenia zostaną spełnione.

Każdy przedsiębiorca powinien przystosować procesy przetwarzania danych w swojej firmie do standardów wynikających z RODO oraz przygotować się na nowe obowiązki wobec osób, których dane są przetwarzane. Jest to szczególnie istotne ze względu na nową podstawę do żądania odszkodowania przez osoby, których prawa zostały w jakikolwiek sposób naruszone.

W kolejnym wpisie naszego cyklu opiszemy obowiązki informacyjne, jakie administrator danych musi spełnić względem osoby, której dane są przetwarzanie.

Photo by Goumbik | pixabay.com