Każdej osobie, której dane są przetwarzane przysługuje prawo ich kontroli (art. 32. ust. 1. ustawy). Wyraża się ono m.in. możliwością wniesienia sprzeciwu wobec ich wykorzystania w celach marketingowych lub przekazywania innemu administratorowi danych.

Prawo do sprzeciwu

Z prawa sprzeciwu można skorzystać, gdy administrator uzasadnia przetwarzanie danych spełnieniem warunków, o których mowa w art. 23. ust. 1. pkt 4. i 5. ustawy, tj wtedy, gdy przetwarzanie danych jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego lub jest niezbędne do wypełnienia jego prawnie usprawiedliwionych celów lub osób trzecich, którym dane te przekazuje. Prawo to nie przysługuje, gdy np. podstawę przetwarzania danych stanowi zgoda, szczególny przepis prawa lub są one przetwarzane w związku z wykonaniem umowy zawartej z administratorem.

W przypadku wniesienia sprzeciwu dalsze przetwarzanie kwestionowanych danych jest niedopuszczalne. Administrator może jednak pozostawić w zbiorze imię lub imiona i nazwisko osoby oraz numer PESEL lub adres w celu uniknięcia ponownego wykorzystania danych tej osoby, w celach objętych sprzeciwem (art. 32. ust. 3. ustawy).

Prawo do kontroli i informacji

Każda osoba ma prawo do kontroli swoich danych osobowych, które może realizować m.in. poprzez żądanie informacji, odnośnie przetwarzania swoich danych.

Na podstawie art. 32. ust. pkt 1-5a, osoba, której dane dotyczą może żądać (odnośnie przetwarzania jej danych osobowych) następujących informacji:

• czy zbiór istnieje,
• kto jest jego administratorem,
• od kiedy dane są przetwarzane,
• jakie jest źródło pozyskania danych,
• w jaki sposób dane są udostępniane,
• jakie przesłanki przesądziły o podjęciu rozstrzygnięcia wyłącznie w wyniku operacji na danych osobowych prowadzonych w systemie informatycznym (ale tylko w przypadku gdy zostało ono podjęte podczas zawierania lub wykonywania umowy i uwzględnia wniosek osoby, której dane dotyczą, w innej sytuacji bowiem podjęcie takiego rozstrzygnięcia nie jest dopuszczalne),
• podania w powszechnie zrozumiałej formie treści przetwarzanych danych.

Z żądaniem udzielenia powyższych informacji (wyłączając prawo ustalenia przesłanek, które przesądziły o podjęciu rozstrzygnięcia wyłącznie w wyniku operacji na danych osobowych prowadzonych w systemie informatycznym) osoba, której dane dotyczą może skorzystać nie częściej niż raz na sześć miesięcy.

Art. 33. ustawy nakłada na administratora obowiązek udzielenia (na wniosek osoby, której dane dotyczą) informacji o zasadach przetwarzania jej danych osobowych. W celu jej uzyskania osoba zainteresowana powinna wystąpić do administratora ze stosownym wnioskiem. Obowiązkiem administratora jest udzielenie informacji w terminie 30 dni. Informacja powinna być udzielona w zrozumiałej formie. Jeśli osoba o to wnioskuje, udziela się jej na piśmie.

Administrator zobowiązany jest poinformować osobę zwracającą się do niego o przysługujących jej prawach i udzielić informacji odnośnie przetwarzania jej danych osobowych.

Administrator danych jest szczególnie zobowiązany do wskazania w formie zrozumiałej:

• jakie dane osobowe zawiera zbiór,
• w jaki sposób zebrano dane,
• w jakim celu i zakresie dane są przetwarzane,
• w jakim zakresie oraz komu dane udostępniono.

Administrator może odmówić udzielenia żądanych informacji, w przypadku gdy spowodowałoby to:

• ujawnienie wiadomości stanowiących tajemnicę państwową,
• zagrożenie dla obronności lub bezpieczeństwa państwa, życia i zdrowia ludzi lub bezpieczeństwa i porządku publicznego, - zagrożenie dla podstawowego interesu gospodarczego lub finansowego państwa,
• istotne naruszenie dóbr osobistych innych osób.

Prawo do poprawienia danych

Na podstawie art. 32. ust. 6. ustawy, każda osoba może zażądać uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeśli są niekompletne, nieaktualne, nieprawdziwe lub zebrane z naruszeniem ustawy albo są już zbędne do realizacji celu, dla którego zostały zebrane.

Jeśli osoba, której dane dotyczą stwierdzi, że jej dane osobowe, którymi dysponuje administrator są niekompletne, nieaktualne, nieprawdziwe, zebrane z naruszeniem ustawy lub są zbędne do realizacji celu, dla którego je zebrano i wykaże, że tak jest rzeczywiście, administrator danych ma obowiązek ich uzupełnienia, uaktualnienia, sprostowania, czasowego lub stałego wstrzymania przetwarzania kwestionowanych danych lub ich usunięcia ze zbioru. Administrator danych nie ma takiego obowiązku, jeśli żądanie dotyczy danych, których tryb uzupełnienia, uaktualnienia lub sprostowania określają odrębne ustawy. Wykonanie żądanych czynności powinno nastąpić bez zbędnej zwłoki. Jednocześnie administrator danych jest zobowiązany poinformować o dokonanym uaktualnieniu lub sprostowaniu danych (także bez zbędnej zwłoki) innych administratorów, którym udostępnił zbiór danych.

W przypadku gdyby administrator nie spełnił żądania uzupełnienia, uaktualnienia, sprostowania danych albo czasowego lub stałego wstrzymania ich przetwarzania, osoba, której dane dotyczą może zwrócić się do Generalnego Inspektora z wnioskiem o nakazanie dopełnienia tego obowiązku.

Udostępnianie danych osobom trzecim

W przypadku udostępniania danych osobowych w celach innych niż włączenie do zbioru, administrator danych udostępnia posiadane w zbiorze dane osobom lub podmiotom uprawnionym do ich otrzymania na mocy przepisów prawa (np. Policja, Straż Graniczna, Służba Celna, ABW, Żandarmeria Wojskowa).

Dane osobowe (z wyłączeniem danych, o których mowa w art. 27. ust. 1.) mogą być także udostępnione w celach innych niż włączenie do zbioru, innym osobom i podmiotom niż ww., jeśli w sposób wiarygodny uzasadnią potrzebę posiadania tych danych, a ich udostępnienie nie naruszy praw i wolności osób, których dane dotyczą.

Dane osobowe udostępnia się na pisemny, umotywowany wniosek, chyba że przepis innej ustawy stanowi inaczej. Wniosek powinien zawierać informacje umożliwiające wyszukanie w zbiorze żądanych danych osobowych oraz wskazywać ich zakres i przeznaczenie. Udostępnione dane osobowe można wykorzystać tylko zgodnie z przeznaczeniem, dla którego je udostępniono (art. 29. ustawy).

Ustawodawca w art. 29. ustawy rozróżnia dwie kategorie podmiotów starających się o udostępnienie danych:

• uprawnionych do otrzymania danych na podstawie przepisów ustawy,
• takich, którzy nie mogą wykazać się prawną podstawą domagania się uzyskania danych.

W pierwszym przypadku na administratorze ciąży obowiązek udostępniania danych (udostępnienie ma charakter obligatoryjny). W drugim z kolei ma charakter fakultatywny, co nie oznacza, że decyzje administratora posiadają samowolny, autorytarny charakter i nie podlegają kontroli. Na marginesie muszę zaznaczyć, że w pełni swobodne (a więc niezależne od wykazania ustawowego upoważnienia lub uzasadnionej potrzeby po stronie ubiegającego się o uzyskanie danych) jest udostępnianie:

• danych, których nie da się przypisać oznaczonej osobie fizycznej,
• danych osobowych, jeśli na udostępnienie wyraziła zgodę osoba zainteresowana (osoba, której dane dotyczą).

Podmioty uprawnione do otrzymania danych na podstawie przepisów prawa mogą uzyskać te dane tylko wtedy, gdy:

• złożą w tej sprawie umotywowany pisemny wniosek, chyba że przepis innej ustawy będzie stanowił inaczej (nie jest zatem zasadniczo dozwolone udostępnianie danych w związku z prośbą lub zapytaniem złożonym przez telefon albo pocztę elektroniczną, nawet jeśli towarzyszy temu odpowiednie uzasadnienie i informacje, do czego dane będą wykorzystane),
• we wniosku podadzą informacje umożliwiające wyszukanie w zbiorze żądanych danych osobowych oraz wskażą ich zakres i przeznaczenie.

 

Podmiotom tym mogą być udostępniane (o ile tak stanowią szczególne przepisy) wszelkie dane, w tym te o wrażliwym charakterze.

Osoby, które nie legitymują się tego rodzaju uprawnieniem, także mogą otrzymać dane osobowe (z wyłączeniem danych wrażliwych) ,pod warunkiem że:

• złożą w tej sprawie pisemny wniosek, w którym w sposób wiarygodny uzasadnią potrzebę posiadania określonych danych,
• we wniosku podadzą informacje umożliwiające wyszukanie w zbiorze żądanych danych osobowych oraz wskażą ich zakres i przeznaczenie,
• udostępnienie im danych nie naruszy praw i wolności osób, których dane dotyczą.

Jednak nie otrzymają takich danych, jeśli spowodowałoby one ujawnienie wiadomości stanowiącej tajemnicę państwową; zagrożenie dla obronności lub bezpieczeństwa państwa, życia i zdrowia ludzi lub bezpieczeństwa i porządku publicznego; zagrożenie dla podstawowego interesu gospodarczego lub finansowego państwa czy istotne naruszenie dóbr osobistych osób, których dane dotyczą lub innych osób (art. 30. ustawy).

W kategoriach istnienia uzasadnionego interesu ujmowane są sytuacje, gdy wiarygodnie wykazano, iż dane (w sprawie uzyskania których złożono wniosek) mogą być pożyteczne dla gospodarczej działalności wnioskodawcy. Chodzi np. o uzyskanie informacji pozwalających ocenić solidność partnera w kontekście zawarcia wielkiej umowy handlowej, poręczenia kredytu, umowy ubezpieczenia.

Ocena wiarygodności przesłanek – podobnie jak ocena, czy udostępnienie wnioskodawcy określonych danych nie naruszy praw i wolności osób, których dane dotyczą – dokonywana jest przez samego administratora.

Odpowiedzialność karna

Ustawa penalizuje następujące czyny przeciwko ochronie danych osobowych:

• przetwarzanie w zbiorze danych osobowych, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony. Kara: grzywna, ograniczenie wolności albo pozbawienie wolności do dwóch lat,
• przechowywanie w zbiorze danych osobowych niezgodnie z celem utworzenia zbioru. Kara: grzywna, ograniczenie wolności albo pozbawienie wolności do roku,
• udostępnianie lub umożliwianie dostępu do danych osobom nieupoważnionym. Kara: grzywna, ograniczenie wolności albo pozbawienia wolności do dwóch lat. Jeśli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku,
• naruszenie, choćby nieumyślnie, obowiązku zabezpieczenia danych przed zabraniem przez osobę nieuprawnioną,
• uszkodzeniem lub zniszczeniem. Kara: grzywna, ograniczenie wolności albo pozbawienie wolności do roku,
• brak zgłoszenia do rejestracji (mimo obowiązku) zbioru danych. Kara: grzywna, ograniczenie wolności albo pozbawienie wolności do roku,
• brak dopełnienia obowiązku poinformowania osoby, której dane dotyczą, o jej prawach lub brak przekazania tej osobie informacji umożliwiających korzystanie z praw przyznanych w ustawie. Kara: grzywna, ograniczenie wolności albo pozbawienie wolności do roku (art. 49-54 ustawy).

Michał Koralewski