Jak reagować na żądania osób fizycznych związane z rodo?

JAK REAGOWAĆ NA ŻĄDANIA ZWIĄZANE Z RODO?

Od 25 maja 2018 r., czyli od dnia kiedy Ziemia się zatrzymała.... Stop.... To nie to! .... Czyli od kiedy wszyscy „zwariowali” na punkcie RODO - zaczęły pojawiać się informacje o próbach wyłudzeń wobec przedsiębiorców, mających rzekome podstawy w niezastosowaniu wymogów tego unijnego rozporządzenia.

Jak zabezpieczyć się przed taki oszustami?

Należy oczywiście zapoznać się z prawami, jakie FAKTYCZNIE przysługują osobom fizycznym wobec administratora danych. Żeby to zrobić należy odpowiednio podejść do POLITYKI OCHRONY DANYCH W FIRMIE. Nie do RODO, tylko do systemu ochrony danych w firmie, przepływu danych itd. O tym znajdziecie informacje już w poprzednich postach.

Dzisiaj skupimy się jednak tylko na prawach osób, których dane dotyczą.

Są to prawa:

1. dostępu do danych,
2. sprostowania,
3. usunięcia,
4. ograniczenia przetwarzania,
5. przenoszenia danych,
6. cofnięcia zgody, jeśli przetwarzanie oparto na zgodzie,
7. sprzeciwu,
8. skargi do organu nadzorczego.

Najczęściej w Waszej działalności mogą zdarzyć się żądania związane z:

--> Prawem do usunięcia danych:
Zgodnie z art. 17 ust. 1 RODO osoba, której dane dotyczą, będzie mogła żądać od administratora niezwłocznego usunięcia dotyczących jej danych osobowych w następujących przypadkach:
• dane nie są już niezbędne do celów, dla których zostały zebrane lub były przetwarzane,
• podmiot danych cofnął zgodę na przetwarzanie danych osobowych, jeżeli była ona podstawą przetwarzania (i nie ma innej podstawy prawnej przetwarzania),
• podmiot danych wniósł wobec przetwarzania sprzeciw,
• dane osobowe były przetwarzane niezgodnie z prawem,
• dane osobowe muszą być usunięte w celu wywiązania się z obowiązków nałożonych przez przepisy krajowe lub unijne,
• dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego (np. aplikacji lub gier mobilnych) dziecku.

W takich okolicznościach macie obowiązek usunąć dane osobowe ze swoich zasobów. Powinno nastąpić to bez zbędnej zwłoki.

--> Prawem dostępu do danych
Prawo dostępu do danych polega na wydaniu wygenerowanej z systemu kopii danych. Pierwsza kopia danych jest bezpłatna. Kolejne mogą być obciążone opłatą w rozsądnej wysokości wynikającej z kosztów administracyjnych. Odmowa może nastąpić, gdy takie żądanie jest nadmierne, np. dokonywane za często.

--> Prawem do sprostowania danych
W ramach prawa do sprostowania osobie przysługują w istocie dwa odrębne uprawnienia:
1) do sprostowania danych nieprawidłowych,
2) do uzupełnienia danych niekompletnych (m.in. dodanie telefonu komórkowego czy e maila lub adresu zamieszkania).

--> Prawem do ograniczenia przetwarzania
Wskutek ograniczenia przetwarzania danych administrator może posiadać (przechowywać) dane oraz wykonywać tylko te operacje, na które:
- zgadza się podmiot danych,
- są potrzebne do sporów lub ochrony praw innego podmiotu,
- gdy zachodzi ważny interes publiczny.

Żądanie takie można spełnić poprzez:
1) czasowe przeniesienie wybranych danych osobowych do innego systemu przetwarzania,
2) uniemożliwienie użytkownikom dostępu do wybranych danych lub czasowe usunięcie opublikowanych danych ze strony internetowej,
3) w zautomatyzowanych zbiorach danych ograniczenie przetwarzania zasadniczo środkami technicznymi w taki sposób, aby dane osobowe nie podlegały dalszemu przetwarzaniu ani nie mogły być zmieniane,
4) wyraźne zaznaczenie w systemie faktu ograniczenia przetwarzania danych osobowych.

--> Prawem do przeniesienia danych
Rozumie się przez to:
1) możliwości otrzymania przez podmiot danych w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego danych osobowych jego dotyczących (-> dane muszą być w przekazane osobie w takiej formie, aby nadawały się do wprowadzenia do innego systemu komputerowego/informatycznego, np. w formie pliku), a następnie:
2) przesłania danych osobowych innemu administratorowi (wskazanemu przez osobę występującą z żądaniem przeniesienia).

W przypadkach zgłoszenia takich żądań przez osoby, których dane przetwarzacie, należy podjąć następujące kroki w terminie miesiąca od dnia otrzymania żądania:

I ETAP
1) potwierdzenie tożsamości wnioskodawcy! – w razie braku możliwości potwierdzenia tożsamości wysyłamy odpowiedź o braku możliwości rozpoznania żądania, z wyjaśnieniem powodu,
2) ustalenie, czy przetwarzamy dane wnioskodawcy – w razie niezidentyfikowania przetwarzania danych wnioskodawcy odpowiedź, że nie przetwarzamy danych wnioskodawcy;
Należy też pamiętać, że przetwarzanie danych to – zgodnie z RODO - także ich przechowywanie!
3) prośba o uściślenie żądania - jeśli jest taka potrzeba;

II ETAP- rozstrzygnięcie żądania

4) w przypadkach otrzymywania żądań ewidentnie nieuzasadnionych lub nadmiernych, zwłaszcza ze względu na zbyt dużą częstotliwość- odmowa uwzględnienia wniosku wraz z informacją o prawie wniesienia skargi do organu nadzorczego oraz skorzystania ze środków ochrony prawnej przed sądem,
5) odpowiedź o spełnieniu żądania zawartego we wniosku- gdy było ono zasadne,
6) w przypadku opóźnienia w rozpoznaniu żądania przekazanie pytającemu informacji o przedłużeniu terminu!, ze wskazaniem przyczyn opóźnienia oraz planowanego terminu udzielenia odpowiedzi -> o maksymalnie!!! dwa miesiące ze względu na skomplikowany charakter żądania lub ich liczbę.

Zastosowanie takiego schematu działania pozwala na zabezpieczenie się przed „grasującymi” w sieci oszustami, którzy liczą na łatwy zarobek.
Powodzenia!

Autorką dzisiejszego postu jest Karolina Wiencek, studentka prawa Uniwersytetu Śląskiego.

Spodobał Ci się artykuł – polub, udostępnij, zostaw komentarz. Będzie mi bardzo miło!

Do napisania :)