RODO zapewnia osobom, których dane dotyczą, szereg praw wynikających z przepisów o ochronie danych, które wymagają odpowiedzi ze strony danej firmy. Ale jak szybko jako firma musisz odpowiedzieć na wniosek osoby, której dane dotyczą?
Jakie są prawa osób, których dane dotyczą?
Tak zwane prawa osób, których dane dotyczą, są uregulowane w art. 15-22 RODO. Zgodnie z nimi każda osoba fizyczna, której dane są przetwarzane, ma prawo do informacji, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia danych i sprzeciwu. Ponadto istnieje prawo do podjęcia decyzji, która nie opiera się wyłącznie na zautomatyzowanym przetwarzaniu.
Osoba, której dane dotyczą, może dochodzić od administratora praw przysługujących osobie, której dane dotyczą.
Który termin ma zastosowanie?
Zgodnie z art. 12 III RODO administrator, wobec którego osoba, której dane dotyczą, może dochodzić tych praw, musi odpowiedzieć na żądanie "bez zbędnej zwłoki, a w każdym razie w terminie miesiąca od otrzymania żądania".
Wśród prawników "niezwłocznie" oznacza "bez zawinionego wahania" (§ 121 I BGB). Oznacza to, że osoba odpowiedzialna nie zawsze ma cały miesiąc na reakcję. Okres jednego miesiąca jest raczej okresem maksymalnym. Jeśli reakcja jest możliwa w krótszym terminie, musi ona również nastąpić w tym czasie. W praktyce jest to oczywiście trudne do udowodnienia. Dlatego w praktyce zwykle sprowadza się to do miesięcznego terminu.
Wyjątek ma zastosowanie wyłącznie w przypadku art. 12 III RODO. Jeśli jest to konieczne, biorąc pod uwagę złożoność i liczbę wniosków, termin może zostać przedłużony. Administrator musi jednak poinformować o tym osobę, której dane dotyczą, i podać przyczyny.
Kiedy zaczyna obowiązywać limit czasowy?
Bieg terminu rozpoczyna się w momencie otrzymania przez administratora wniosku osoby, której dane dotyczą. W tym celu osoba, której dane dotyczą, musi skorzystać z oficjalnego kanału administratora, tak aby administrator miał również możliwość bezpośredniego zapoznania się z żądaniem. Jednak nawet jeśli administrator nie dowie się bezpośrednio o otrzymanym żądaniu, termin biegnie od momentu jego otrzymania.
Jako osoba odpowiedzialna, ważne jest zatem, aby zawsze mieć oko na odpowiednie kanały.
Kto może otrzymywać informacje?
Prawa osoby, której dane dotyczą, określone w RODO są prawami wysoce osobistymi. W związku z tym informacje mogą być przekazywane wyłącznie osobie, której dane dotyczą.
Pod bardziej rygorystycznymi warunkami uprawniona może być również osoba upoważniona.
Administrator jest zawsze zobowiązany do zidentyfikowania osoby, której dane dotyczą, przed udzieleniem jej informacji. Jeśli administrator musi poprosić o dalszą identyfikację, ponieważ informacje dostarczone we wniosku nie są wystarczające, termin nie zaczyna biec, dopóki administrator nie zidentyfikuje osoby z pewnością. Osoba, której dane dotyczą, nie ma ustawowego terminu na udzielenie odpowiedzi na żądanie identyfikacji. Jeśli odpowiedź nie nadejdzie, zaleca się, aby administrator danych wysłał później przypomnienie.
W międzyczasie stało się to niemal modelem biznesowym, w którym składane są wnioski, które nie są nawet ukierunkowane na same informacje. Osoby fizyczne mają raczej nadzieję, że administrator danych popełni błąd w ich przetwarzaniu, aby następnie móc pozwać go o odszkodowanie. Dla administratorów danych tym ważniejsza jest zatem możliwość udowodnienia, że odpowiedź na wnioski osób, których dane dotyczą, jest zgodna z prawem.
Czy masz pytania dotyczące kwestii ochrony danych, takich jak prawa osób, których dane dotyczą, lub potrzebujesz pomocy we wdrażaniu wymogów ochrony danych? Nasz zespół ekspertów chętnie Ci pomoże. Skontaktuj się z nami tutaj!
Polski 
Deutsch 
English 
Español 
Français