Nie wprowadzaj
w błąd osób,
których dane przetwarzasz!

Każdy administrator musi spełnić wobec osób, których dane przetwarza, obowiązek informacyjny, w którym poinformuje m.in. o tym dlaczego, jak długo i na jakiej podstawie prawnej przetwarza dane, ale również o tym z jakich praw mogą skorzystać informowane osoby względem administratora.

Jakie prawa przysługują osobom na gruncie RODO?

Z przepisów, które nakładają wymóg informowania o prawach związanych z przetwarzaniem danych osobowych wynika, że administrator powinien informować o prawie:

  • dostępu do danych,
  • sprostowania danych,
  • usunięcia danych,
  • ograniczenia przetwarzania,
  • prawie wniesienia sprzeciwu wobec przetwarzania,
  • prawie do przenoszenia danych.

Informowanie o wszystkich prawach – czy na pewno prawidłowo?

Niestety częstą praktyką jest błędne informowanie przez administratorów o wszystkich prawach, które zostały wymienione w przepisach RODO, a nie o tych, które w danej sytuacji faktycznie przysługują osobom, których dane są przetwarzanie. Warto pamiętać, że taka nieprecyzyjność może nie spotkać się z aprobatą organów kontroli, co więcej, może spotkać się z sankcjami z ich strony. Zasadą jest bowiem, że przekazanie osobom, których dane są przetwarzane informacji o przysługujących prawach ma zapewnić rzetelność i przejrzystość przetwarzania, a nie pokazać niesumienność i niezrozumiałość przepisów.

Powyżej wskazany katalog praw jest wyczerpujący, co najpewniej niesłusznie skłania administratorów do jego przytaczania w całości, natomiast nie zawsze jest on adekwatny. Dla przykładu, nie należy informować o możliwości skorzystania z prawa do usunięcia danych, gdy administrator przetwarza dane w celu wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi, gdyż w tych przypadkach prawo to nie przysługuje.

Trudno również wyobrazić sobie sytuację, w której osoba, która zostaje nagrana na monitoringu wizyjnym mogła skorzystać z prawa do sprostowania danych, w ramach którego mogłaby teoretycznie żądać poprawienia nieprawidłowych danych lub ich uzupełnienia, jeżeli byłby niekompletne. To prawo w sytuacji, gdy przetwarzaniu podlega wyłącznie wizerunek danej osoby, nie jest możliwe do zrealizowania, ponieważ wizerunku nie sprostujemy i nie uzupełnimy.

Zwrócić uwagę należy również na prawo do przenoszenia danych osobowych, które przysługuje wyłącznie, gdy mamy do czynienia z przetwarzaniem, które odbywa się w sposób zautomatyzowany oraz gdy dodatkowo spełniona jest druga przesłanka czyli przetwarzanie odbywa się na podstawie zgody osoby lub umowy łączącej ją z administratorem. Nie powinniśmy zatem wprowadzać w błąd uprawnionych informując ich o prawie do przenoszenia danych, gdy przetwarzamy dane wypełniając obowiązek prawny lub na podstawie prawnie uzasadnionego interesu (np. prowadząc marketing bezpośredni produktów i usług).

Ostatnim z praw, któremu należy poświęcić uwagę przed jego zastosowaniem we wzorze klauzuli informacyjnej, jest prawo do sprzeciwu. Prawo to przysługuje wyłącznie w sytuacji, gdy administrator przetwarza dane na podstawie prawnie uzasadnionego interesu lub gdy jest to niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. Błędem zatem będzie informowanie o prawie do sprzeciwu osób, których dane przetwarzane są na podstawie umowy czy zgody osoby, której dane dotyczą.

Rzetelność przede wszystkim

Należy pamiętać, że administrator musi przedsięwziąć odpowiednie środki, aby udzielić osobom, których dane dotyczą informacji o przysługujących prawa w sposób przejrzysty, zrozumiały i zwięzły. Na jednym końcu mamy więc administratora, na którym ciąży obowiązek rzetelnego informowania osób, których dane przetwarza, a na drugim końcu mamy osoby, która stają się uprawnionymi do skorzystania z prawa do bycia w ten sposób poinformowanymi. Wobec tego warto z większą uwagą formułować obowiązki informacyjne, aby rzeczywiście rzetelnie informowały, a nie dezinformowały podmioty danych o przysługujących prawach.

Anita Malicka,
Konsultant ds. ochrony danych osobowych w PBSG

Zainteresowaliśmy Cię? Napisz do nas i porozmawiajmy o Twoim projekcie

O Autorze

PBSG
Od 2006 roku pomagamy polskim przedsiębiorcom i organizacjom administracji publicznej w zarządzaniu bezpieczeństwem danych i systemów teleinformatycznych. Przez kilkanaście lat działalności zdobyliśmy niezbędne doświadczenie, dzięki któremu wypracowaliśmy pozycję lidera w obszarze systemowego zarządzania organizacją. Dzisiaj zatrudniamy ponad 180 ekspertów biznesowych i technicznych w ramach grupy kapitałowej. Ponadto współpracujemy z kilkudziesięcioma specjalistami z różnych dziedzin w zakresie zarządzania i wymagań branżowych, aby jak najbardziej dopasować ofertę do realiów i potrzeb polskich firm.