Blog Omni Modo

Prawo indywidualnej kontroli


Osobie, której dane dotyczą przysługuje prawo do indywidualnej kontroli procesu przetwarzania jej danych osobowych. Uprawnienia te znajdują odzwierciedlenie w obowiązkach ADO.

Informacje, których możemy wymagać od administratora

Osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dotyczące jej dane osobowe. Jeżeli nasze dane są przez dany podmiot przetwarzane, to możemy wnioskować o udzielenie następujących informacji:

  1. cele przetwarzania;
  2. kategorie danych osobowych;
  3. informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych;
  4. w miarę możliwości planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
  5. informacje o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania;
  6. informacje o prawie wniesienia skargi do organu nadzorczego;
  7. jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą – wszelkie dostępne informacje o ich źródle;
  8. informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą;
  9. jeżeli dane osobowe są przekazywane do państwa trzeciego lub organizacji międzynarodowej, osoba, której dane dotyczą, ma prawo zostać poinformowana o odpowiednich zabezpieczeniach związanych z przekazaniem.

Ułatwianie wykonywania praw osoby, której dane dotyczą, jako obowiązek ADO

Administrator ma obowiązek ułatwiania osobie, której dane dotyczą, wykonanie praw przysługujących jej na mocy art. 15–22.

Również w przypadkach przetwarzania niewymagającego identyfikacji, administrator nie może odmawiać podjęcia działań na żądanie osoby chcącej zrealizować prawa przysługujące jej na mocy art. 15–22, chyba że wykaże, iż nie jest w stanie zidentyfikować osoby, której dane dotyczą.

Obowiązek informowania przez ADO o działaniach podjętych w związku z żądaniem opartym o prawa osoby, której dane dotyczą

Administrator udziela osobie, której dane dotyczą, informacji o działaniach podjętych w związku z żądaniem na podstawie art. 15–22, terminy na wywiązanie się z tego obowiązku to:

  1. bez zbędnej zwłoki – a w każdym razie w terminie miesiąca od otrzymania żądania- zasadniczo
  2. trzy miesiące – w razie potrzeby ww. termin jednego miesiąca można przedłużyć o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań.

W terminie miesiąca od otrzymania żądania administrator informuje osobę, której dane dotyczą o takim przedłużeniu terminu, z podaniem przyczyn opóźnienia.

Jeśli osoba, której dane dotyczą, przekazała swoje żądanie elektronicznie, w miarę możliwości informacje także są przekazywane elektronicznie, chyba że osoba, której dane dotyczą, zażąda innej formy.

Obowiązek uzasadnienia przez ADO odrzucenia żądania i pouczenia o prawie skargi

Jeżeli administrator nie podejmuje działań w związku z żądaniem osoby, której dane dotyczą, to niezwłocznie – najpóźniej w terminie miesiąca od otrzymania żądania – informuje osobę, której dane dotyczą, o:

  1. powodach niepodjęcia działań; oraz
  2. możliwości wniesienia skargi do organu nadzorczego oraz skorzystania ze środków ochrony prawnej przed sądem.

Wolność od opłat

Komunikacja i działania podejmowane na mocy art. 15–22 i 34 są wolne od opłat.

Jeżeli żądania osoby, której dane dotyczą, są ewidentnie nieuzasadnione lub nadmierne, w szczególności ze względu na swój ustawiczny charakter, administrator może:

  1. pobrać rozsądną opłatę, uwzględniając administracyjne koszty udzielenia informacji, prowadzenia komunikacji lub podjęcia żądanych działań; albo
  2. odmówić podjęcia działań w związku z żądaniem.

Obowiązek wykazania, że żądanie ma ewidentnie nieuzasadniony lub nadmierny charakter, spoczywa na administratorze.

Obowiązki osoby, której dane dotyczą, względem ADO

Jeżeli administrator ma uzasadnione wątpliwości co do tożsamości osoby fizycznej składającej żądanie, o którym mowa w art. 15–21, może zażądać dodatkowych informacji niezbędnych do potwierdzenia tożsamości osoby, której dane dotyczą.

To, że wątpliwości muszą być uzasadnione, oznacza że administrator powinien skorzystać z wszelkich rozsądnych środków w celu zweryfikowania tożsamości żądającej dostępu osoby, której dane dotyczą, w szczególności w kontekście usług internetowych i identyfikatorów internetowych. Administrator nie powinien zatrzymywać danych osobowych wyłącznie w celu reagowania na ewentualne żądania.

Jeżeli administrator przetwarza duże ilości informacji o osobie, której dane dotyczą, może zażądać, przed podaniem informacji, by osoba, której dane dotyczą, sprecyzowała informacje lub czynności przetwarzania, których dotyczy jej żądanie.



15 lat Omni Modo