Prawa podmiotów danych

Zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych – RODO), Wojewódzki Ośrodek Doradztwa Rolniczego w Poznaniu (WODR) jako Administrator Danych Osobowych (ADO) jest zobowiązany zapewnić realizację praw podmiotów danych poprzez jasne ich określenie i wzmocnienie, a tym samym kontrolę nad danymi osobowymi podmiotów danych.

Niniejszy dokument opisuje prawa podmiotów danych oraz sposób ich realizacji przez WODR.

Prawa podmiotów danych

Prawo dostępu do danych

Art. 15 RODO – osoby, których dane dotyczą, mają możliwość uzyskania od ADO informacji, czy ich dane są przetwarzane i w jakim zakresie.

Osoba, której dane są przetwarzane, może żądać od administratora uzyskania dostępu do swoich danych, a także uzyskania kopii przetwarzanych przez Administratora danych.

Administrator przygotowuje wszystkie informacje na wniosek osoby, której dane przetwarza całkowicie ponosząc wszelkie koszty takiego opracowania. Jeśli dana osoba zwróci się w stosunkowo krótkim czasie kolejny raz z wnioskiem o kopię danych, Administrator może od niej pobrać rozsądną opłatę na pokrycie kosztów przygotowania tych informacji.

Administrator zobowiązany jest dostarczyć informację o wszystkich danych, jakie przetwarza na temat danej osoby, zarówno tych, jakie pozyskał od tej osoby, jak również takich, które zostały wygenerowane przez Administratora w związku z przetwarzaniem danych tej osoby.

Prawo do sprostowanie danych

Art. 16 RODO – każda osoba, której dane przetwarza Administrator ma możliwość na bieżąco aktualizować te dane, zgłaszać konieczność ich uzupełnienia lub poprawienia, jeśli są one nieprawidłowe lub niekompletne.

Prawo do bycia zapomnianym

Art. 17 RODO – opisuje prawo podmiotu danych do usunięcia wszelkich danych, jakie do niego należą – czyli tzw. prawo do bycia zapomnianym. Administrator w każdym przypadku, kiedy otrzyma takie żądanie, jest zobowiązany do zatrzymania wszelkiej komunikacji marketingowej z takim podmiotem i zweryfikowania, czy może faktycznie od razu usunąć dane dotyczące danej osoby, czy też z uwagi na inne przepisy prawna jest zobowiązany do dalszego ich przetwarzania (archiwum).

Sytuacje, kiedy osoba ma prawo wystąpić z żądaniem usunięcia danych:

  • brak podstawy prawnej do przetwarzania danych (np. cofnięcie zgody na ich wykorzystywanie),
  • zebrane dane nie są już potrzebne do celów, w których zostały one zgromadzone,
  • dane zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego,
  • wniesienie sprzeciwu przez osobę, której dane dotyczą,
  • dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator.

Sytuacje, kiedy administrator nie może od razu usunąć danych, z uwagi na to, że dalsze ich przetwarzanie jest niezbędne:

  • prawo do wolności wypowiedzi i informacji,
  • konieczność wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi,
  • w celu profilaktyki zdrowotnej (np. medycyna pracy czy zapewnienie opieki zdrowotnej),
  • do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych,
  • do ustalenia, dochodzenia lub obrony roszczeń.

Przy czym, po ustaniu danej przesłanki Administrator jest zobowiązany usunąć wszelkie dane osoby, która zgłosiła żądanie do bycia zapomnianym.

Prawo do ograniczenia przetwarzania danych

Art. 18 RODO przewiduje także możliwość wniesienia o ograniczenie przetwarzania danych. Prawo to stosuje się, jeśli wystąpią następujące przesłanki:

  • kiedy zgromadzone dane są nieprawidłowe – ograniczenie ich przetwarzania następuje do momentu, kiedy zostaną one poprawione,
  • w momencie, kiedy nie ma podstawy prawnej do przetwarzania danych,
  • kiedy nie są one potrzebne administratorowi danych osobowych, jednak potrzebuje ich osoba, do której one należą,
  • w przypadku, kiedy osoba, której dane dotyczą, zgłosiła sprzeciw wobec przetwarzania danych – ograniczenie obowiązuje do momentu ustalenia czy sprzeciw ten jest podstawny.

Prawo do przenoszenia danych

Art. 20 RODO przewiduje prawo do ich przenoszenia pomiędzy różnymi podmiotami (administratorami). Jeśli prośba taka zostanie wystosowana, administrator ma obowiązek przekazać osobie komplet zgromadzonych danych na jej temat w formie, która będzie możliwa do odczytania. Osoba, której dane dotyczą może później bez przeszkód przekazać te informacje innemu administratorowi. Prawo to dotyczy danych przetwarzanych w sposób zautomatyzowany, w zakresie danych, jakie zostały dostarczone do Administratora przez podmiot danych.

Prawo do sprzeciwu oraz do niepodleganiu decyzji opartych na zautomatyzowanym przetwarzaniu

Art. 21 RODO mówi o tym, że osoby, których dane dotyczą mają prawo nie zgodzić się na to, aby ich dane były wykorzystywane do celów podejmowania decyzji opartych na zautomatyzowanym przetwarzaniu – np. profilowania, które powodują skutek prawny dla osoby. Administrator w takim przypadku nie ma prawa do przetwarzania danych, pod warunkiem, że nie będą istniały inne ważne podstawy prawne do przetwarzania danych osobowych.

Wyjątek stanowi sytuacja, kiedy to przeprowadzenie profilowania jest wymagane w celu prawidłowego zawarcia bądź wykonania umowy – wtedy osoba, której dane dotyczą nie ma prawa do sprzeciwu wobec takiego przetwarzania

Ograniczenie praw osób, których dane są przetwarzane

RODO zakłada, że prawa osób, których dane dotyczą, mogą być ograniczone w szczególnych przypadkach, np.:

  • konieczność zapewnienia bezpieczeństwa narodowego lub publicznego;
  • zapobieganie przestępczości;
  • konieczność zapewnienia niezależności sądów;
  • kiedy prawa osób, których dane dotyczą, utrudniają wypełnienie celów gospodarczych lub finansowych państwa członkowskiego lub Unii Europejskiej.

Wszystkie akty prawne, które w jakikolwiek sposób ograniczają prawa osób, których dane dotyczą, powinny szczegółowo informować o tym, dlaczego wprowadzone zostało dane ograniczenie.

Sposób realizacji praw podmiotów danych przez WODR

Nieprzetwarzanie

WODR, w ciągu miesiąca od zgłoszenia żądania zaniechania przetwarzania danych, poinformuje osobę o tym, że zaniechał przetwarzania danych osobowych lub nie przetwarza danych jej dotyczących, jeśli prawo to zostało uwzględnione lub przetwarzanie nie miało miejsca.

Odmowa

WODR poinformuje osobę, w ciągu miesiąca od otrzymania żądania o zaniechaniu przetwarzania danych, o odmowie rozpatrzenia żądania, powodach tej odmowy oraz o prawach osoby z tym związanych.

Dostęp do danych

Na żądanie osoby dotyczące dostępu do jej danych, WODR poinformuje osobę, czy przetwarza jej dane oraz poinformuje ją o szczegółach przetwarzania, a także udzieli osobie dostępu do danych jej dotyczących. Dostęp do danych może być zrealizowany przez wydanie kopii danych, z zastrzeżeniem, o którym mowa poniżej.

Kopie danych

WODR wyda, na żądanie osoby, kopię danych jej dotyczących i odnotuje fakt wydania pierwszej, nieodpłatnej kopii danych. WODR wprowadziło i utrzymuje cennik kopii danych, zgodnie z którym pobiera opłaty za kolejne kopie danych. Cena kopii danych skalkulowana zostanie każdorazowo w oparciu o oszacowany, jednostkowy koszt obsługi żądania wydania kopii danych.

Sprostowanie danych

WODR dokona sprostowania nieprawidłowych danych na żądanie osoby, przy czym WODR ma prawo odmówić sprostowania danych, jeśli osoba w rozsądny sposób nie wykaże nieprawidłowości danych, których sprostowania się domaga. W przypadku sprostowania danych, WODR poinformuje osobę o odbiorcach danych, na żądanie tej osoby.

Uzupełnienie danych

WODR uzupełni i zaktualizuje dane na żądanie osoby, przy czym WODR ma prawo odmówić uzupełnienia danych, jeżeli uzupełnienie byłoby niezgodne z celami przetwarzania danych (np. dane są zbędne dla realizacji celów administratora). WODR może polegać na oświadczeniu osoby, co do uzupełnianych danych, chyba że będzie to niewystarczające, w świetle przyjętych przez WODR procedur (np. co do pozyskiwania takich danych), prawa lub zaistnieją podstawy, aby uznać oświadczenie za niewiarygodne. W przypadku uzupełnienia danych, WODR poinformuje osobę o odbiorcach danych, na żądanie tej osoby.

Usunięcie danych

Na żądanie osoby, WODR usunie dane, gdy:

  1. dane nie są niezbędne do celów, w których zostały zebrane ani przetwarzane w innych celach,
  2. zgoda na ich przetwarzanie została cofnięta, a nie ma innej podstawy prawnej przetwarzania,
  3. osoba wniosła skuteczny sprzeciw względem przetwarzania tych danych,
  4. dane były przetwarzane niezgodnie z prawem,
  5. konieczność usunięcia wynika z obowiązku prawnego,
  6. żądanie dotyczy danych dziecka, zebranych na podstawie zgody, w celu świadczenia usług społeczeństwa informacyjnego, oferowanych bezpośrednio dziecku (np. profil dziecka na portalu społecznościowym, udział w konkursie na stronie internetowej).

WODR określi każdorazowo sposób obsługi prawa do usunięcia danych w taki sposób, aby zapewnić efektywną realizację tego prawa, przy poszanowaniu wszystkich zasad ochrony danych, w tym bezpieczeństwa, a także weryfikację, czy nie zachodzą wyjątki, o których mowa w art. 17. ust. 3 RODO.

Jeżeli dane podlegające usunięciu zostały upublicznione przez WODR, WODR podejmie rozsądne działania, w tym środki techniczne, by poinformować innych administratorów przetwarzających te dane osobowe, o potrzebie usunięcia danych i dostępie do nich.

W przypadku usunięcia danych, WODR poinformuje osobę o odbiorcach danych, na żądanie tej osoby.

Ograniczenie przetwarzania

WODR dokona ograniczenia przetwarzania danych na żądanie osoby, gdy:

  1. osoba kwestionuje prawidłowość danych – na okres pozwalający sprawdzić ich prawidłowość,
  2. przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania,
  3. WODR nie potrzebuje już danych osobowych, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń,
  4. osoba wniosła sprzeciw względem przetwarzania z przyczyn związanych z jej szczególną sytuacją – do czasu stwierdzenia, czy po stronie WODR zachodzą prawnie uzasadnione podstawy nadrzędne wobec podstaw sprzeciwu.

W trakcie ograniczenia przetwarzania WODR będzie przechowywać dane, natomiast nie będzie ich przetwarzać (nie będzie wykorzystywać ani przekazywać) bez zgody osoby, której dane dotyczą, chyba że w celu ustalenia, dochodzenia lub obrony roszczeń, w celu ochrony praw innej osoby fizycznej albo prawnej lub z uwagi na ważne względy interesu publicznego.

WODR poinformuje osobę o uchyleniu ograniczenia przetwarzania, jeżeli będzie ono zasadne.

W przypadku ograniczenia przetwarzania danych, WODR poinformuje osobę o odbiorcach danych, na żądanie tej osoby.

Przenoszenie danych

Na żądanie osoby, WODR wyda lub przekaże innemu podmiotowi dane, które osoba dostarczyła WODR na podstawie zgody tej osoby lub w celu zawarcia i wykonania umowy z nią zawartej. Dane, które są przetwarzane w systemach informatycznych WODR, zostaną wydane w ustrukturyzowanym, powszechnie używanym formacie, nadającym się do odczytu maszynowego.

Sprzeciw w szczególnej sytuacji

Jeżeli osoba zgłosi umotywowany jej szczególną sytuacją sprzeciw względem przetwarzania jej danych, a dane przetwarzane są przez WODR w oparciu o jego uzasadniony interes lub o powierzone mu zadanie, realizowane w interesie publicznym, WODR uwzględni sprzeciw, o ile nie zachodzą po stronie WODR ważne, prawnie uzasadnione podstawy do przetwarzania, nadrzędne wobec interesów, praw i wolności osoby zgłaszającej sprzeciw lub podstawy do ustalenia, dochodzenia albo obrony roszczeń.

Sprzeciw względem marketingu bezpośredniego

Jeżeli osoba zgłosi sprzeciw względem przetwarzania jej danych przez WODR na potrzeby marketingu bezpośredniego (w tym ewentualnego profilowania), WODR uwzględni sprzeciw i zaprzestanie takiego przetwarzania.

Prawo do ludzkiej interwencji przy automatycznym przetwarzaniu

WODR nie profiluje danych oraz nie podejmuje na tej podstawie zautomatyzowanych decyzji, jednak, gdyby w przyszłości podjął takie działania, będzie realizować prawa podmiotów w tym zakresie.

Jeżeli WODR będzie przetwarzać dane w sposób zautomatyzowany, w tym w szczególności będzie profilować osoby i w konsekwencji podejmować względem nich decyzje wywołujące skutki prawne lub inaczej istotnie wpływające na nie, WODR zapewni możliwość odwołania się do interwencji decyzji człowieka po stronie WODR, chyba że taka automatyczna decyzja będzie niezbędna do zawarcia lub wykonania umowy, między odwołującą się osobą, a WODR, będzie wprost dozwolona przepisami prawa lub będzie opierała się o wyraźną zgodę odwołującej się osoby.

Powrót na górę