Zgodnie z RODO obywatele otrzymali szereg praw, dających im większą kontrolę nad danymi osobowymi. Osoby, których dane są przetwarzane mają swoje prawa w związku z tym przetwarzaniem. Administratorzy danych nie mogę sobie bezkarnie działać na danych osobowych. Osoby, których dane dotyczą mają więcej kontroli nad swoimi danymi osobowymi.

Organizacje, które przetwarzają dane osobowe mogą otrzymać wniosek od osoby, która chce skorzystać ze swoich praw. Taka organizacja powinna bez zbędnej zwłoki, a w każdym razie najpóźniej w ciągu 1 miesiąca od otrzymania wniosku odpowiedzieć. Czas ten może zostać wydłużony o kolejne 2 miesiące w przypadku skomplikowanych wniosków. Administrator musi poinformować o tym wnioskującego. Rozpatrywanie wniosków powinno być bezpłatne. Jeśli administrator odrzuci wniosek należy powiadomić osobę, której dane dotyczą o przysługującym prawie do złożenia skargi do organu nadzorczego – Prezesa Urzędu Ochrony Danych Osobowych.

Prawa osób, których dane dotyczą:

Prawo żądania dostępu do danych (art. 15 RODO).

Prawo żądania dostępu do danych polega na tym, że administrator danych ma obowiązek udzielić informacji o procesie przetwarzania.

Prawo umożliwia dostęp do swoich danych osobowych, które dana organizacja posiada. Osoba, której dane dotyczą ma prawo do otrzymania kopii swoich danych w powszechnie dostępnym formacie, bez ponoszenia opłat, np. osoba, której dane dotyczą chce dowiedzieć się, jakie konkretnie o niej informacje posiada sklep internetowy.

Osoba, której dane dotyczą może otrzymać od administratora danych następujące informacje:

  • cele przetwarzania;
  • kategorie danych osobowych;
  • informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach państw trzecich lub organizacjach międzynarodowych;
  • jeśli to możliwe planowany okres przechowywania danych osobowych, a jeśli to nie jest możliwe kryteria ustalenia tego okresu;
  • informacje o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą oraz do wniesienia sprzeciwi wobec takiego przetwarzania;
  • informacje o prawie wniesienia skargi do organu nadzorczego – Prezesa Urzędu Ochrony Danych Osobowych;
  • jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą – wszelkie dostępne informacje o ich źródle;
  • informacje o zautomatyzowanym podejmowaniu decyzji, również o profilowaniu.

Prawo do przenoszenia danych (art. 20 RODO).

Prawo do przenoszenia danych polega na tym, że administrator danych ma obowiązek zwrócenia danych osobowych lub przekazania ich innemu administratorowi (w przypadku udzielonej zgody lub umowy). Dane należy przekazać w powszechnie używanym formacie nadającym się do odczytu maszynowego. Przenoszenie danych ułatwi osobie, której dane dotyczą dostęp do innych rynków i dostawców, np. osoba znalazła tańszego dostawcę, to może poprosić dotychczasowego dostawcę o przekazanie danych bezpośrednio do nowego dostawcy, jeżeli jest to technicznie wykonalne.

Prawo do poprawienia (sprostowania) danych (art. 16 RODO).

Prawo do poprawienia (sprostowania) danych polega na tym, że administrator danych ma obowiązek poprawić błędne dane osobowe. Osoba, której dane dotyczą ma prawo do żądania sprostowania lub uzupełnienia swoich danych, w sytuacji, kiedy uważa, że jej dane osobowe są nieprawidłowe, niekompletne lub niedokładne. Osoba, która zmieniła lub usunęła dane osobowe, które wcześniej udostępniła podmiotowi, powinna poinformować o tym każdego, kto widział takie dane, chyba że wymagałoby to nieproporcjonalnego wysiłku. Takie błędy w danych osobowych mogą mieć istotny wpływ na życie osoby, której dane dotyczą, np. w sytuacji ubiegania się o pożyczkę, ubezpieczenie, kredyt itp.

Prawo do usunięcia danych oraz do bycia zapomnianym (art. 17 RODO).

Prawo do usunięcia danych oraz do bycia zapomnianym polega na tym, że administrator danych musi usunąć dane osobowe na żądanie osoby, której dane dotyczą. Są sytuacje, kiedy dane osobowe nie są już potrzebne do celu ich przetwarzania lub są przetwarzane niezgodnie z prawem to wtedy osoba, której dane dotyczą może zażądać, żeby administrator usunął jej dane.

Administrator danych nie zawsze musi zrealizować żądanie usunięcia danych osobowych. Wyjątek stanowią okoliczności, kiedy przetwarzanie jest niezbędne:

  • do korzystania z prawda do wolności wypowiedzi i informacji;
  • do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa członkowskiego, któremu podlega administrator;
  • dane muszą być przechowywane z innych względów związanych z interesem publicznym, takich jak zdrowie publiczne lub badania naukowe i historyczne lub do celów statystycznych;
  • do ustalenia, dochodzenia lub obrony roszczeń.

Przykładem może być kontrowersyjna wypowiedź osób publicznych, która nie może zostać usuwana, jeżeli interes publiczny wymaga, aby pozostała dostępna w Internecie.

Prawo do ograniczenia przetwarzania (art. 18 RODO).

Prawo do ograniczenia przetwarzania polega na tym, że administrator danych musi powstrzymać się od wykorzystywania (w tym usunięcia) danych osobowych, kiedy osoba, której dane dotyczą uważa, że dane są niepoprawne lub niekompletne. Osoba, której dane dotyczą może żądać ograniczenia zakresu przetwarzania swoich danych osobowych na czas ustalania, czyj interes jest nadrzędny.

Prawo do sprzeciwu

Prawo do sprzeciwu (art. 21 RODO) polega na tym, że administrator danych musi zakończyć przetwarzanie na wniosek osoby, której dane dotyczą. Osoba, której dane dotyczą może sprzeciwić się przetwarzaniu swoich danych osobowych w konkretnym celu, gdy podstawą prawną przetwarzania danych jest uzasadniony interes administratora lub zadanie wykonywane w interesie publicznym. Jeżeli uzasadniony interes administratora jest nadrzędny wobec interesu osoby, której dane dotyczą, musi zaprzestać przetwarzania danych osobowych. Wyjątkiem są sytuacje, w których przeważa interes publiczny, np. badania naukowe lub historyczne. Prawo do sprzeciwu osoba, której dane dotyczą ma np. jeżeli organizacja przetwarza dane osobowe w celu przesłania zindywidualizowanych reklam. Jeżeli podmiot danych nie chce otrzymywać reklam marketingu bezpośredniego zawsze może się sprzeciwić ich otrzymywaniu. Zazwyczaj nie powinno to oznaczać utraty dostępu do usług świadczonych przez platformę internetową. Jeżeli osoba, której dane dotyczą zostanie postawiona przed wyborem na zasadzie akceptacji warunków lub konieczności opuszczenia witryny, to istnieje duże prawdopodobieństwo, że takie działanie stanowi naruszenie ochrony danych osobowych.

Prawo do wniesienia skargi do organu nadzorczego

Prawo do wniesienia skargi do organu nadzorczego polega na tym, że jeżeli osoba, której dane dotyczą uważa, że przepisy o ochronie danych osobowych są niezgodne z przepisami prawa może złożyć skargę w krajowym organie ochrony danych. W Polsce organem nadzorczym jest Prezes Urzędu Ochrony Danych Osobowych (PUODO). Organy ochrony danych mogą nakładać na organizacje szereg sankcji, w tym zawiesić lub wstrzymać przetwarzanie danych oraz nałożyć grzywnę w wysokości do 20 mln EUR lub 4% łącznych rocznych obrotów przedsiębiorstwa.

Prawo do informacji o przetwarzaniu danych osobowych

Prawo do informacji o przetwarzaniu danych osobowych (art. 12-14 RODO), które polega na tym, że administrator danych ma obowiązek przekazać osobie, której dane dotyczą jasne informacje związane z ich przetwarzaniem. Informacje te powinny zawierać:

  • Dane kontaktowe organizacji odpowiedzialnej za przetwarzanie danych osobowych oraz (jeżeli został powołany) dane kontaktowe do inspektora ochrony danych.
  • Cele przetwarzania danych osobowych oraz podstawę prawną przetwarzania.
  • Informacje o odbiorcach danych osobowych lub jeśli istnieją o kategoriach odbiorców.
  • Jeśli ma to zastosowanie, informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej
  • Okres przez który dane osobowe będą przetwarzane
  • Informację o przysługujących prawach w zakresie ochrony danych.
  • Informację o możliwości złożenia skargi do organu nadzorczego – Prezesa Urzędu Ochrony Danych Osobowych (PUODO).

Informacje powinny być przekazane jasnym i prostym językiem.

Prawo do cofnięcia wyrażonej zgody

Prawo do cofnięcia wyrażonej zgody polega na tym, że osoba, której dane dotyczą może zażądać zaprzestania przetwarzania tych danych poprzez wycofanie swojej zgody. Administrator danych ma obowiązek spełnić to żądanie. Wycofanie zgody powinno być tak samo proste jak jej wyrażenie.

Prawo do głosu w przypadku zautomatyzowanego podejmowania decyzji

Prawo do głosu w przypadku zautomatyzowanego podejmowania decyzji (art. 22 RODO) polega na tym, że osoba, której dane dotyczą ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa. Przykładem jest tutaj działalność banków, urzędów podatkowych i szpitali, które używają algorytmów, aby podejmować decyzje na temat osoby, której dane dotyczą z wykorzystaniem danych osobowych. Takie decyzje mogą mieć dla osoby skutki prawne lub w inny istotny sposób wpływać na życie osoby, której dane dotyczą.

Administrator danych w takich sytuacjach musi:

  • Poinformować osobę, której dane dotyczą, jeżeli jego decyzja została podjęta w sposób zautomatyzowany.
  • Dać osobie, której dane dotyczą prawo do zweryfikowania zautomatyzowanej decyzji przez człowieka.
  • Umożliwić osobie, której dane dotyczą zakwestionowania zautomatyzowanej decyzji.

Podejmowanie decyzji opartych na zautomatyzowanym przetwarzaniu jest dozwolone w niektórych sytuacjach, np. gdy pozwalają na to przepisy prawa.

Prawo do powiadomienia w przypadku wycieku danych

Prawo do powiadomienia w przypadku wycieku danych polega na tym, że administrator danych ma obowiązek powiadomić osoby, których dane dotyczą o naruszeniu bezpieczeństwa jego danych, w przypadku, kiedy naruszenie stanowi duże ryzyko dla osoby, której dane dotyczą, np. jeżeli w wyniku wycieku zostały ujawnione dane karty kredytowe.