RODO, czyli Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej jako: „Rozporządzenie”) służy zabezpieczeniu naszego podstawowego prawa, jakim jest prawo do ochrony naszych danych osobowych, jednak czy zdajemy sobie sprawę, jakie uprawniania wynikają dla nas z tego Rozporządzenia?

W dzisiejszym wpisie postaramy się przybliżyć Państwu tę tematykę.

Jak czytamy w Rozporządzeniu: szybki postęp techniczny i globalizacja przyniosły nowe wyzwania w dziedzinie ochrony danych osobowych. Skala zbierania i wymiany danych osobowych znacząco wzrosła. Dzięki technologii zarówno przedsiębiorstwa prywatne, jak i organy publiczne mogą na niespotykaną dotąd skalę wykorzystywać dane osobowe w swojej działalności. Osoby fizyczne coraz częściej udostępniają informacje osobowe publicznie i globalnie.

Przemiany te wymagają stabilnych, spójniejszych ram ochrony danych w Unii oraz zdecydowanego ich egzekwowania, gdyż ważna jest budowa zaufania, które pozwoli na rozwój gospodarki cyfrowej na rynku wewnętrznym. Osoby fizyczne powinny mieć kontrolę nad własnymi danymi osobowymi. Osoby fizyczne, podmioty gospodarcze i organy publiczne powinny zyskać większe poczucie pewności prawa i jego stosowania w praktyce.

Wspominając o Rozporządzeniu, nie sposób nie wspomnieć o polskiej Ustawie z dnia 10 maja 2018 r. o ochronie danych osobowych, która określa m.in. organ właściwy w sprawie ochrony danych osobowych, postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych, kontrolę przestrzegania tych, a także kwestię odpowiedzialności prawnej za ich naruszenie.

Czym jest przetwarzanie danych osobowych?

Z pomocą przychodzi nam Komisja Europejska informując, iż pod terminem „przetwarzanie” mieści się szereg różnych operacji wykonywanych na danych osobowych, m.in.: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie danych osobowych.

Każda osoba przetwarzająca te dane jest traktowana jako ich odbiorca.

Jednak, co ważne organy publiczne, którym ujawnia się dane osobowe w związku z ich prawnym obowiązkiem sprawowania funkcji publicznej (np. organy podatkowe), nie powinny być traktowane jako odbiorcy, jeżeli otrzymane przez nie dane osobowe są im niezbędne do przeprowadzenia określonego postępowania w interesie ogólnym zgodnie z prawem Unii lub prawem państwa członkowskiego.

Żądanie ujawnienia danych osobowych, z którym występują organy publiczne, powinno zawsze mieć formę pisemną, być uzasadnione, mieć charakter wyjątkowy i dotyczyć konkretnych danych, które przetwarzane będą jedynie we wskazanym w żądaniu celu.

Zgoda na przetwarzanie naszych danych osobowych powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, być dobrowolna i świadoma. Może być wyrażona zarówno w drodze pisemnego (w tym elektronicznego), jak i ustnego oświadczenia.

Wiemy już czym jest przetwarzanie danych osobowych, w jakim celu wydano Rozporządzenie, a także że zgoda danej osoby jest podstawowym warunkiem wykorzystania jej danych osobowych w celu ich przetworzenia.

Czas przybliżyć kwestię tego, jakie instrumenty prawne nam w związku z powyższym przysługują.

Przede wszystkim, mamy prawo wiedzieć — kto, na jakiej podstawie, a także, w jakim celu przetwarza nasze dane osobowe. Osoba/organ, które zbierają od nas te dane — Administratorzy — mają obowiązek poinformowania nas o naszych prawach wynikających z RODO, muszą także wskazać jak długo będą te dane przechowywać.

Jak wspomnieliśmy wyżej, zgodę na przetwarzanie danych wyrażamy dobrowolnie i świadomie, dzięki czemu możemy w każdej chwili poinformować dany podmiot o jej wycofaniu.

Co więcej, Administrator, przekazując nam informacje związane z przetwarzaniem naszych danych osobowych, powinien posługiwać się językiem czytelnym i prostym w odbiorze dla przeciętnego Konsumenta – czyli osoby, która w założeniu nie posiada szczegółowej i specjalistycznej wiedzy na dany temat. Jednak, jeśli coś nie jest dla nas zrozumiałe – mamy prawo zwrócenia się do Administratora o doprecyzowanie i ponowne wyjaśnienie danej kwestii.

Rozporządzenie przyznaje nam prawo do bycia zapomnianym, czyli do żądania usunięcia naszych danych, jednak nie jest ono bezwzględne. Jak słusznie wskazuje Urząd Ochrony Danych Osobowych (UODO) – są sytuację, w których prawo nakłada na dane podmioty w związku z ich działalnością obowiązek przechowywania naszych danych przez pewien okres czasu, np. w przypadku Gminy czy Uczelni, po którego upływie nasze dane powinny zostać przez nie usunięte.

Z przetwarzaniem danych osobowych wiąże się ryzyko wycieku danych, ich zagubienia czy udostępnienia osobom niepowołanym. W takim przypadku Administrator tych danych ma prawny obowiązek poinformowania nas o tym zdarzeniu i wskazania możliwych działań, które możemy podjąć w celu zminimalizowania wynikającego stąd zagrożenia.

Jeżeli nasze dane są wykorzystywane w celach marketingowych, możemy w dowolnym momencie się temu sprzeciwić.

Jakie działania możemy podjąć w celu ochrony naszych danych?

W pierwszej kolejności powinniśmy zwrócić się do Administratora naszych danych z żądaniem wyjaśnień lub dokonania pewnych czynności, np. sprostowania danych, odnotowania sprzeciwu czy usunięcia danych.

W każdej chwili mamy prawo złożyć skargę na Administratora danych do UODO. Jednak, aby taka skarga odniosła skutki prawne należy spełnić kilka wymogów, a mianowicie należy: wskazać nasze imię i nazwisko oraz adres zamieszkania, podać pełną nazwę/imię i nazwisko oraz adres siedziby/zamieszkania osoby, której działanie skarżymy oraz dokładnie opisać naruszenie. Należy także określić, jakich działań oczekujemy od Prezesa UODO. Skarga musi zostać opatrzona czytelnym podpisem.

Jednak na powyższych działaniach nasze możliwości się nie kończą. Niezależnie od ww., jeśli podmiot, który dysponuje naszymi danymi, wykorzystuje je niezgodnie z Rozporządzeniem, a my ponieśliśmy z tego tytułu szkodę majątkową lub niemajątkową, możemy dochodzić przed sądem zapłaty odszkodowania przez dany podmiotu.

Liczymy na to, że dzisiejszy wpis – choć obszerny – okaże się dla Państwa przydatny i zrozumiały, jeśli jednak potrzebujecie pomocy z ochroną danych osobowych zachęcamy do Kontaktu (niezbędne dane znajdziecie w zakładce „Kontakt”).

Życzymy udanego weekendu i do usłyszenia już w poniedziałek, przy okazji najbliższego wpisu z prawa medycznego!