iSecure logo
Blog

Prawo dostępu do danych, a wyrok (C-487/21)

Prawo do uzyskania kopii danych, znane również jako prawo do dostępu, jest jednym z podstawowych praw przewidzianych przez RODO (Rozporządzenie Ogólne o Ochronie Danych) – unijne rozporządzenie dotyczące prywatności i ochrony danych osobowych obywateli Unii Europejskiej. RODO wprowadza zasady, których należy przestrzegać podczas przetwarzania danych osobowych, a także udziela praw jednostkom, których dane dotyczą.

Prawo do uzyskania kopii danych (art. 15 RODO) daje osobom fizycznym możliwość uzyskania informacji o tym, czy i jakie ich dane osobowe są przetwarzane przez organizację, a także uzyskania kopii tych danych. Osoba, której dane dotyczą, może wystąpić z wnioskiem do administratora danych (organizacji przetwarzającej dane) o dostarczenie informacji na temat:

  1. Celów przetwarzania danych.
  2. Kategorii danych osobowych przetwarzanych.
  3. Odbiorców lub kategorii odbiorców, którym dane zostały lub zostaną ujawnione.
  4. Okresu przechowywania danych osobowych lub kryteriów wyznaczania tego okresu.
  5. Prawa osoby, której dane dotyczą, w tym prawa do sprostowania, usunięcia lub ograniczenia przetwarzania danych oraz prawo wniesienia sprzeciwu wobec przetwarzania.
  6. Prawa do wniesienia skargi do organu nadzorczego.
  7. Źródła danych, jeśli nie zostały one zebrane bezpośrednio od osoby, której dane dotyczą.
  8. Informacji o zautomatyzowanym podejmowaniu decyzji, w tym profilowaniu oraz o logice za tym stojącej oraz o przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Administrator danych jest zobowiązany dostarczyć te informacje oraz kopię danych osobowych w ciągu miesiąca od dnia otrzymania wniosku, z możliwością przedłużenia tego okresu o dwa kolejne miesiące w przypadku skomplikowanych lub licznych wniosków. W większości przypadków dostarczenie informacji i kopii danych powinno być bezpłatne, chyba że wniosek jest oczywiście bezzasadny lub nadmierny. W takim przypadku administrator może pobrać opłatę adekwatną do kosztów realizacji wniosku lub odmówić jego realizacji.

Wyrok Trybunału Sprawiedliwości UE z 4 maja 2023 r. w/s Österreichische Datenschutzbehörde / CRIF GmbH (C-487/21)

Sprawa dotyczyła agencji CRIF, która na prośbę klientów dostarcza informacje o wypłacalności osób fizycznych, przetwarzając ich dane osobowe. Pewna osoba zażądała od CRIF dostępu do swoich danych oraz kopii dokumentów, takich jak wiadomości e-mail i wyciągi z baz danych zawierające jej dane “w standardowym formacie”. W odpowiedzi, firma CRIF przekazała jej streszczenie swoich danych, co uznała za niewystarczające.

Żądający skierował skargę do austriackiego organu ochrony danych, Österreichische Datenschutzbehörde, lecz przegrał sprawę, gdyż organ stwierdził, że CRIF nie naruszyło prawa dostępu do danych osobowych. Następnie została złożona skarga do federalnego sądu administracyjnego, który zwrócił się do Trybunału Sprawiedliwości Unii Europejskiej (TSUE) z pytaniem o interpretację przepisów RODO dotyczących treści i zakresu prawa dostępu osoby, której dane są przetwarzane.

Trybunał Sprawiedliwości Unii Europejskiej wydał orzeczenie dotyczące prawa konsumentów do odszkodowania za naruszenie przepisów unijnego ogólnego rozporządzenia o ochronie danych (RODO). Sąd ustalił, że prawo do odszkodowania opiera się na standardzie opartym na trzech kryteriach, z wyjaśnieniem, że „nie każde naruszenie RODO automatycznie upoważnia do odszkodowania”. TSUE podkreślił również, że odszkodowanie nie musi być ograniczone do szkód majątkowych, a sądy krajowe będą miały swobodę podejmowania decyzji dotyczących oceny szkód.

Trybunał orzekł ponadto, że prawo osoby, której dane są przetwarzane, do uzyskania kopii swoich danych osobowych oznacza, że powinna otrzymać „wierną i zrozumiałą reprodukcję” wszystkich tych danych. Prawo to obejmuje możliwość uzyskania kopii fragmentów dokumentów lub nawet całych dokumentów, bądź wyciągów z baz danych zawierających te informacje, jeżeli jest to niezbędne dla skutecznego wykonywania praw przysługujących tej osobie na mocy RODO – stwierdził TSUE.

 

Pobierz wpis w wersji pdf

Podobne wpisy:

[PL] Kary organów nadzorczych – Polska [ENG] Regulatory fines – Poland

[PL] (English version below) W Polsce została wydana kolejna decyzja za naruszenia RODO. PUODO nałożył drugą już karę na Głównego Geodetę Kraju (GGK) – w wysokości 100 tys. zł (maksymalna kara finansowa, jaka jest przewidziana dla podmiotów sektora publicznego w Polsce). Poprzednia, pierwsza kara pieniężna dla GGK związana była z brakiem współpracy w trakcie postępowania […]

Weryfikowanie kontrahentów, a kwestie ochrony danych osobowych

W dzisiejszych czasach bardzo ważne jest, by posiadać wiedzę w zakresie rynku, na którym świadczy się usługi. Tutaj zawsze pojawia się wątpliwość jak takie dane pozyskiwać oraz jak sprawdzić, czy aktualna sytuacja kredytowa, biznesowa, czy też gospodarcza przyszłych kontrahentów może wpłynąć na nasze przedsiębiorstwo. Aktualnie wiele podmiotów gospodarczych prowadzi tzw. „biały wywiad gospodarczy”. Niejednokrotnie jest […]

Dokładnie przeczytaj regulamin. Nie akceptuj, jeśli nie rozumiesz

Zmiana celu przetwarzania danych osobowych na gruncie RODO

Autor tekstu: Aleksandra Eluszkiewicz Przetwarzanie danych osobowych na gruncie RODO rządzi się swoimi prawami i powinno odbywać się w oparciu o zasady w nim określone. Jedną z naczelnych zasad jest zasada ograniczenia celu, według której dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki