Nie wprowadzaj w błąd osób, których dane przetwarzasz!
Nie wprowadzaj w błąd osób, których dane przetwarzasz!
Każdy administrator musi spełnić wobec osób, których dane przetwarza, obowiązek informacyjny, w którym poinformuje m.in. o tym dlaczego, jak długo i na jakiej podstawie prawnej przetwarza dane, ale również o tym z jakich praw mogą skorzystać informowane osoby względem administratora.
Jakie prawa przysługują osobom na gruncie RODO?
Z przepisów, które nakładają wymóg informowania o prawach związanych z przetwarzaniem danych osobowych wynika, że administrator powinien informować o prawie:
dostępu do danych,
sprostowania danych,
usunięcia danych,
ograniczenia przetwarzania,
prawie wniesienia sprzeciwu wobec przetwarzania,
prawie do przenoszenia danych.
Informowanie o wszystkich prawach – czy na pewno prawidłowo?
Niestety częstą praktyką jest błędne informowanie przez administratorów o wszystkich prawach, które zostały wymienione w przepisach RODO, a nie o tych, które w danej sytuacji faktycznie przysługują osobom, których dane są przetwarzanie. Warto pamiętać, że taka nieprecyzyjność może nie spotkać się z aprobatą organów kontroli, co więcej, może spotkać się z sankcjami z ich strony. Zasadą jest bowiem, że przekazanie osobom, których dane są przetwarzane informacji o przysługujących prawach ma zapewnić rzetelność i przejrzystość przetwarzania, a nie pokazać niesumienność i niezrozumiałość przepisów.
Powyżej wskazany katalog praw jest wyczerpujący, co najpewniej niesłusznie skłania administratorów do jego przytaczania w całości, natomiast nie zawsze jest on adekwatny. Dla przykładu, nie należy informować o możliwości skorzystania z prawa do usunięcia danych, gdy administrator przetwarza dane w celu wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi, gdyż w tych przypadkach prawo to nie przysługuje. Trudno również wyobrazić sobie sytuację, w której osoba, która zostaje nagrana na monitoringu wizyjnym mogła skorzystać z prawa do sprostowania danych, w ramach którego mogłaby teoretycznie żądać poprawienia nieprawidłowych danych lub ich uzupełnienia, jeżeli byłby niekompletne. To prawo w sytuacji, gdy przetwarzaniu podlega wyłącznie wizerunek danej osoby, nie jest możliwe do zrealizowania, ponieważ wizerunku nie sprostujemy i nie uzupełnimy. Zwrócić uwagę należy również na prawo do przenoszenia danych osobowych, które przysługuje wyłącznie, gdy mamy do czynienia z przetwarzaniem, które odbywa się w sposób zautomatyzowany oraz gdy dodatkowo spełniona jest druga przesłanka czyli przetwarzanie odbywa się na podstawie zgody osoby lub umowy łączącej ją z administratorem. Nie powinniśmy zatem wprowadzać w błąd uprawnionych informując ich o prawie do przenoszenia danych, gdy przetwarzamy dane wypełniając obowiązek prawny lub na podstawie prawnie uzasadnionego interesu (np. prowadząc marketing bezpośredni produktów i usług). Ostatnim z praw, któremu należy poświęcić uwagę przed jego zastosowaniem we wzorze klauzuli informacyjnej, jest prawo do sprzeciwu. Prawo to przysługuje wyłącznie w sytuacji, gdy administrator przetwarza dane na podstawie prawnie uzasadnionego interesu lub gdy jest to niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. Błędem zatem będzie informowanie o prawie do sprzeciwu osób, których dane przetwarzane są na podstawie umowy czy zgody osoby, której dane dotyczą.
Rzetelność przede wszystkim
Należy pamiętać, że administrator musi przedsięwziąć odpowiednie środki, aby udzielić osobom, których dane dotyczą informacji o przysługujących prawa w sposób przejrzysty, zrozumiały i zwięzły. Na jednym końcu mamy więc administratora, na którym ciąży obowiązek rzetelnego informowania osób, których dane przetwarza, a na drugim końcu mamy osoby, która stają się uprawnionymi do skorzystania z prawa do bycia w ten sposób poinformowanymi. Wobec tego warto z większą uwagą formułować obowiązki informacyjne, aby rzeczywiście rzetelnie informowały, a nie dezinformowały podmioty danych o przysługujących prawach.
Anita Malicka,
Konsultant ds. ochrony danych osobowych w PBSG
Ta strona używa pliki cookies, dzięki którym serwis może działać poprawnie. Korzystając ze strony wyrażasz zgodę na używanie cookie, zgodnie z aktualnymi ustawieniami przeglądarki. AkceptujęCzytaj więcej
Privacy & Cookies Policy
Privacy Overview
This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.
Any cookies that may not be particularly necessary for the website to function and is used specifically to collect user personal data via analytics, ads, other embedded contents are termed as non-necessary cookies. It is mandatory to procure user consent prior to running these cookies on your website.
