Prawa osób w zakresie ochrony danych osobowych

Prawa osoby, której dane dotyczą, zostały uregulowane w rozdziale 4 ustawy o ochronie danych osobowych. Artykuł 32 reguluje kompleksowo podstawowe prawa osób, których dane dotyczą. Uzupełnienie zaś stanowią przepisy art. 33 i 35 dotyczące obowiązków administratora wobec osoby, która zwróciła się z wnioskiem o informację, uzupełnienie, uaktualnienie swoich danych itd. Uprawnienia przyznane przepisami rozdziału 4 przysługują osobie, której dane dotyczą, niezależnie od tego, w jakiej postaci (zbiór ewidencyjny, zbiór danych) przetwarzane są dane osobowe. Są one gwarancją konstytucyjnego prawa do ochrony danych osobowych (autonomii informacyjnej).

Prawo sprzeciwu

Każdej osobie, której dane są przetwarzane, przysługuje prawo ich kontroli (art. 32 ust. 1 ustawy o ochronie danych osobowych).

Przykład:

  • Jeżeli pacjent domaga się karty leczenia, a także wydania zakazu udostępniania jego danych osobie zatrudnionej w prywatnej lecznicy, rozpatrzenie jego żądań należy do sądu cywilnego (tak: wyrok Sądu Najwyższego - Izba Cywilna z dnia 11 kwietnia 2008 r., sygn. II CSK 646/2007).

Obejmuje ono między innymi uprawnienie do wniesienia sprzeciwu wzgędem ich wykorzystania w celach marketingowych lub przekazywania innemu administratorowi danych. Z prawa sprzeciwu można skorzystać, gdy administrator uzasadnia przetwarzanie danych spełnieniem warunków, o których mowa w art. 23 ust. 1 pkt 4 i 5 ustawy o ochronie danych osobowych, a więc gdy: przetwarzanie danych jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego lub jest niezbędne do wypełnienia jego prawnie usprawiedliwionych celów, lub osób trzecich, którym dane te przekazuje.

Prawo to nie przysługuje, gdy np. podstawę przetwarzania danych stanowi zgoda, szczególny przepis prawa lub są one przetwarzane w związku z wykonaniem umowy zawartej z administratorem.

W razie wniesienia sprzeciwu dalsze przetwarzanie kwestionowanych danych jest niedopuszczalne. Administrator może jednak pozostawić w zbiorze imię bądź imiona i nazwisko osoby oraz numer PESEL lub adres wyłącznie w celu uniknięcia ponownego wykorzystania danych tej osoby, w celach objętych sprzeciwem (art. 32 ust. 3 ustawy).

Prawo do informacji

Każda osoba ma prawo do kontroli swoich danych osobowych, które to prawo może realizować np. poprzez żądanie informacji odnośnie przetwarzania swych danych.

Na mocy art. 32 ust. 1 pkt 1-5a ustawy o ochronie danych osobowych, osoba, której dane dotyczą, może żądać - odnośnie przetwarzania jej danych osobowych - następujących informacji:

  • czy zbiór istnieje,

  • kto jest jego administratorem,

  • od kiedy dane są przetwarzane,

  • jakie jest źródło pozyskania danych,

  • w jaki sposób dane są udostępniane,

  • jakie przesłanki przesądziły o podjęciu rozstrzygnięcia wyłącznie w wyniku operacji na danych osobowych prowadzonych w systemie informatycznym (ale tylko w przypadku, gdy zostało ono podjęte podczas zawierania lub wykonywania umowy i uwzględnia wniosek osoby, której dane dotyczą, w innej bowiem sytuacji podjęcie takiego rozstrzygnięcia nie jest dopuszczalne),

  • podania w powszechnie zrozumiałej formie treści przetwarzanych danych.

Z żądaniem udzielenia powyższych informacji (wyłączając prawo ustalenia przesłanek, które przesądziły o podjęciu rozstrzygnięcia wyłącznie w wyniku operacji na danych osobowych prowadzonych w systemie informatycznym) osoba, której dane dotyczą, może skorzystać nie częściej niż raz na 6 miesięcy.

Jeżeli dane są przetwarzane dla celów naukowych, dydaktycznych, historycznych, statystycznych lub archiwalnych, administrator danych może odstąpić od informowania osób o przetwarzaniu ich danych w przypadkach, gdy pociągałoby to za sobą nakłady niewspółmierne z zamierzonym celem.



Art. 33 ustawy o ochronie danych osobowych nakłada na administratora obowiązek udzielenia, na wniosek osoby, której dane dotyczą, informacji o zasadach przetwarzania jej danych osobowych. W celu jej uzyskania osoba zainteresowana powinna wystąpić do administratora ze stosownym wnioskiem. Obowiązkiem administratora jest udzielenie informacji w terminie 30 dni. Informacja powinna być udzielona w zrozumiałej formie. Jeśli osoba o to wnioskuje, udziela się jej na piśmie.

Administrator obowiązany jest poinformować osobę zwracającą się do niego o przysługujących jej prawach oraz udzielić informacji odnośnie przetwarzania jej danych osobowych - o których mowa w art. 32 ust. 1 pkt 1-5a, czyli:

  • czy zbiór istnieje,

  • kto jest jego administratorem (poprzez określenie jego pełnej nazwy i adresu /siedziby/, a w przypadku, gdy administratorem danych jest osoba fizyczna - jej imienia i nazwiska oraz miejsca zamieszkania),

  • od kiedy dane są przetwarzane,

  • jakie jest źródło pozyskania danych (chyba, że w tym zakresie administrator musi zachować tajemnicę państwową, służbową lub zawodową),

  • w jaki sposób dane są udostępniane (w szczególności administrator jest zobowiązany do poinformowania o odbiorcach lub kategoriach odbiorców danych),

  • jakie przesłanki przesądziły o podjęciu rozstrzygnięcia wyłącznie w wyniku operacji na danych osobowych prowadzonych w systemie informatycznym,

  • podania w powszechnie zrozumiałej formie treści przetwarzanych danych.

Między innymi administrator danych jest obowiązany do wskazania w formie zrozumiałej:

  • jakie dane osobowe zawiera zbiór,

  • w jaki sposób zebrano dane,

  • w jakim celu i zakresie dane są przetwarzane,

  • w jakim zakresie oraz komu dane zostały udostępnione.

Administrator może odmówić udzielenia żądanych informacji wyłącznie wtedy, kiedy spowodowałoby to:

  1. ujawnienie wiadomości stanowiących tajemnicę państwową,

  2. zagrożenie dla obronności lub bezpieczeństwa państwa, życia i zdrowia ludzi lub bezpieczeństwa i porządku publicznego,

  3. zagrożenie dla podstawowego interesu gospodarczego lub finansowego państwa,

  4. istotne naruszenie dóbr osobistych innych osób.

Art. 54 ustawy o ochronie danych osobowych przewiduje odpowiedzialność karną (karę grzywny, ograniczenia wolności lub pozbawienia wolności) za niedopełnienie obowiązku poinformowania osoby, której dane dotyczą, o jej prawach, czy też nieprzekazanie tej osobie informacji umożliwiających korzystanie z praw przyznanych jej przez ustawę. W celu dochodzenia odpowiedzialności karnej trzeba skierować sprawę na drogę postępowania karnego, a więc do organów ścigania: Policji lub prokuratury.

Przykładowo adres danej osoby jako sfera prywatności człowieka należy do danych osobowych. Naruszenie tej sfery sprowadza odpowiedzialność z tytułu ochrony dóbr osobistych, jednakże żądanie usunięcia danych osobowych nie należy do kognicji sądów powszechnych (tak: wyrok Sądu Apelacyjnego w Poznaniu z dnia 13 listopada 2001 r., sygn. I ACa 1140/2001).

Prawo do poprawiania danych

Na mocy art. 32 ust. 1 pkt. 6 ustawy o ochronie danych osobowych każda osoba może zażądać uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy, albo są już zbędne do realizacji celu, dla którego zostały zebrane.

Jeśli osoba, której dane dotyczą stwierdzi, iż jej dane osobowe, którymi dysponuje administrator, są niekompletne, nieaktualne, nieprawdziwe, zostały zebrane z naruszeniem ustawy bądź są zbędne do realizacji celu, dla którego zostały zebrane, oraz wykaże, że tak jest rzeczywiście, administrator danych ma obowiązek uzupełnienia, uaktualnienia, sprostowania danych, czasowego lub stałego wstrzymania przetwarzania kwestionowanych danych albo też ich usunięcia ze zbioru.



Administrator danych nie ma takiego obowiązku, jeżeli żądanie dotyczy danych, których tryb uzupełnienia, uaktualnienia czy sprostowania określają odrębne ustawy.

Wykonania żądanych czynności winno nastąpić bez zbędnej zwłoki.

Administrator danych jest wtedy również zobowiązany do poinformowania, też bez zbędnej zwłoki, innych administratorów, którym udostępnił zbiór danych, o dokonanym uaktualnieniu czy sprostowaniu danych.

W razie gdyby administrator nie spełnił żądania uzupełnienia, uaktualnienia, sprostowania danych, albo czasowego lub stałego wstrzymania ich przetwarzania, wówczas osoba, której dane dotyczą, może zwrócić się do Generalnego Inspektora z wnioskiem o nakazanie dopełnienia tego obowiązku.

Podstawa prawna:

Udostępnij

A.J.
Zespół e-prawnik.pl

Skomentuj artykuł - Twoje zdanie jest ważne

Czy uważasz, że artykuł zawiera wszystkie istotne informacje? Czy jest coś, co powinniśmy uzupełnić? A może masz własne doświadczenia związane z tematem artykułu?


Masz inne pytanie do prawnika?

 

Komentarze

  • supergwiazda 2013-03-17 11:02:12

    Czyli wedle "gościa" jak jestem przedsiębiorcą z EDG i przetwarzam dane osobowe np swoich pracowników albo klientów to nie jestem administratorem danych osobowych i nie mam w związku z tym żadnych obowiązków?...super, to wywalam regulaminy, polityki do kosza i przestaje się interesować ochroną danych od dzisiaj!, pozdrawiam

  • gosc 2011-12-13 22:31:27

    Administratorem danych nie może być osoba fizyczna


Potrzebujesz pomocy prawnej?

Zapytaj prawnika