iSecure logo
Blog

Prawo dostępu do danych, a wyrok (C-487/21)

Prawo do uzyskania kopii danych, znane również jako prawo do dostępu, jest jednym z podstawowych praw przewidzianych przez RODO (Rozporządzenie Ogólne o Ochronie Danych) – unijne rozporządzenie dotyczące prywatności i ochrony danych osobowych obywateli Unii Europejskiej. RODO wprowadza zasady, których należy przestrzegać podczas przetwarzania danych osobowych, a także udziela praw jednostkom, których dane dotyczą.

Prawo do uzyskania kopii danych (art. 15 RODO) daje osobom fizycznym możliwość uzyskania informacji o tym, czy i jakie ich dane osobowe są przetwarzane przez organizację, a także uzyskania kopii tych danych. Osoba, której dane dotyczą, może wystąpić z wnioskiem do administratora danych (organizacji przetwarzającej dane) o dostarczenie informacji na temat:

  1. Celów przetwarzania danych.
  2. Kategorii danych osobowych przetwarzanych.
  3. Odbiorców lub kategorii odbiorców, którym dane zostały lub zostaną ujawnione.
  4. Okresu przechowywania danych osobowych lub kryteriów wyznaczania tego okresu.
  5. Prawa osoby, której dane dotyczą, w tym prawa do sprostowania, usunięcia lub ograniczenia przetwarzania danych oraz prawo wniesienia sprzeciwu wobec przetwarzania.
  6. Prawa do wniesienia skargi do organu nadzorczego.
  7. Źródła danych, jeśli nie zostały one zebrane bezpośrednio od osoby, której dane dotyczą.
  8. Informacji o zautomatyzowanym podejmowaniu decyzji, w tym profilowaniu oraz o logice za tym stojącej oraz o przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Administrator danych jest zobowiązany dostarczyć te informacje oraz kopię danych osobowych w ciągu miesiąca od dnia otrzymania wniosku, z możliwością przedłużenia tego okresu o dwa kolejne miesiące w przypadku skomplikowanych lub licznych wniosków. W większości przypadków dostarczenie informacji i kopii danych powinno być bezpłatne, chyba że wniosek jest oczywiście bezzasadny lub nadmierny. W takim przypadku administrator może pobrać opłatę adekwatną do kosztów realizacji wniosku lub odmówić jego realizacji.

Wyrok Trybunału Sprawiedliwości UE z 4 maja 2023 r. w/s Österreichische Datenschutzbehörde / CRIF GmbH (C-487/21)

Sprawa dotyczyła agencji CRIF, która na prośbę klientów dostarcza informacje o wypłacalności osób fizycznych, przetwarzając ich dane osobowe. Pewna osoba zażądała od CRIF dostępu do swoich danych oraz kopii dokumentów, takich jak wiadomości e-mail i wyciągi z baz danych zawierające jej dane “w standardowym formacie”. W odpowiedzi, firma CRIF przekazała jej streszczenie swoich danych, co uznała za niewystarczające.

Żądający skierował skargę do austriackiego organu ochrony danych, Österreichische Datenschutzbehörde, lecz przegrał sprawę, gdyż organ stwierdził, że CRIF nie naruszyło prawa dostępu do danych osobowych. Następnie została złożona skarga do federalnego sądu administracyjnego, który zwrócił się do Trybunału Sprawiedliwości Unii Europejskiej (TSUE) z pytaniem o interpretację przepisów RODO dotyczących treści i zakresu prawa dostępu osoby, której dane są przetwarzane.

Trybunał Sprawiedliwości Unii Europejskiej wydał orzeczenie dotyczące prawa konsumentów do odszkodowania za naruszenie przepisów unijnego ogólnego rozporządzenia o ochronie danych (RODO). Sąd ustalił, że prawo do odszkodowania opiera się na standardzie opartym na trzech kryteriach, z wyjaśnieniem, że „nie każde naruszenie RODO automatycznie upoważnia do odszkodowania”. TSUE podkreślił również, że odszkodowanie nie musi być ograniczone do szkód majątkowych, a sądy krajowe będą miały swobodę podejmowania decyzji dotyczących oceny szkód.

Trybunał orzekł ponadto, że prawo osoby, której dane są przetwarzane, do uzyskania kopii swoich danych osobowych oznacza, że powinna otrzymać „wierną i zrozumiałą reprodukcję” wszystkich tych danych. Prawo to obejmuje możliwość uzyskania kopii fragmentów dokumentów lub nawet całych dokumentów, bądź wyciągów z baz danych zawierających te informacje, jeżeli jest to niezbędne dla skutecznego wykonywania praw przysługujących tej osobie na mocy RODO – stwierdził TSUE.

 

Pobierz wpis w wersji pdf

Podobne wpisy:

6 sprawdzonych sposobów na edukację pracowników z zakresu RODO

„Nie takie ważne, żeby człowiek dużo wiedział, ale żeby dobrze wiedział; nie żeby umiał na pamięć, a żeby rozumiał; nie żeby go wszystko troszkę obchodziło, a żeby go coś naprawdę zajmowało.” –Janusz Korczak Myślę, że to trafne spostrzeżenie można śmiało przenieść na grunt tego, czym zajmuję się na co dzień, czyli przepisów o ochronie danych […]

Skuteczne informowanie klientów o przetwarzaniu ich danych osobowych w celach marketingowych

Newsletter, zapis do subskrypcji SMS, a może akcja promocyjna? Formularz na firmowej stronie internetowej, papierowy druczek przystąpienia do programu lojalnościowego, czy wtyczka typu „zostaw wiadomość, a oddzwonimy z ofertą”? Zbieranie danych osobowych w celach marketingowych ma różne formy, ale zawsze w takich przypadkach trzeba pamiętać o tym, żeby prawidłowo poinformować osobę, która podaje swoje dane […]

[PL] Kary organów nadzorczych – Polska [ENG] Regulatory fines – Poland

[PL] (English version below) W Polsce została wydana kolejna decyzja za naruszenia RODO. PUODO nałożył drugą już karę na Głównego Geodetę Kraju (GGK) – w wysokości 100 tys. zł (maksymalna kara finansowa, jaka jest przewidziana dla podmiotów sektora publicznego w Polsce). Poprzednia, pierwsza kara pieniężna dla GGK związana była z brakiem współpracy w trakcie postępowania […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki