iSecure logo
Blog

Prawo dostępu do danych, a wyrok (C-487/21)

Prawo do uzyskania kopii danych, znane również jako prawo do dostępu, jest jednym z podstawowych praw przewidzianych przez RODO (Rozporządzenie Ogólne o Ochronie Danych) – unijne rozporządzenie dotyczące prywatności i ochrony danych osobowych obywateli Unii Europejskiej. RODO wprowadza zasady, których należy przestrzegać podczas przetwarzania danych osobowych, a także udziela praw jednostkom, których dane dotyczą.

Prawo do uzyskania kopii danych (art. 15 RODO) daje osobom fizycznym możliwość uzyskania informacji o tym, czy i jakie ich dane osobowe są przetwarzane przez organizację, a także uzyskania kopii tych danych. Osoba, której dane dotyczą, może wystąpić z wnioskiem do administratora danych (organizacji przetwarzającej dane) o dostarczenie informacji na temat:

  1. Celów przetwarzania danych.
  2. Kategorii danych osobowych przetwarzanych.
  3. Odbiorców lub kategorii odbiorców, którym dane zostały lub zostaną ujawnione.
  4. Okresu przechowywania danych osobowych lub kryteriów wyznaczania tego okresu.
  5. Prawa osoby, której dane dotyczą, w tym prawa do sprostowania, usunięcia lub ograniczenia przetwarzania danych oraz prawo wniesienia sprzeciwu wobec przetwarzania.
  6. Prawa do wniesienia skargi do organu nadzorczego.
  7. Źródła danych, jeśli nie zostały one zebrane bezpośrednio od osoby, której dane dotyczą.
  8. Informacji o zautomatyzowanym podejmowaniu decyzji, w tym profilowaniu oraz o logice za tym stojącej oraz o przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Administrator danych jest zobowiązany dostarczyć te informacje oraz kopię danych osobowych w ciągu miesiąca od dnia otrzymania wniosku, z możliwością przedłużenia tego okresu o dwa kolejne miesiące w przypadku skomplikowanych lub licznych wniosków. W większości przypadków dostarczenie informacji i kopii danych powinno być bezpłatne, chyba że wniosek jest oczywiście bezzasadny lub nadmierny. W takim przypadku administrator może pobrać opłatę adekwatną do kosztów realizacji wniosku lub odmówić jego realizacji.

Wyrok Trybunału Sprawiedliwości UE z 4 maja 2023 r. w/s Österreichische Datenschutzbehörde / CRIF GmbH (C-487/21)

Sprawa dotyczyła agencji CRIF, która na prośbę klientów dostarcza informacje o wypłacalności osób fizycznych, przetwarzając ich dane osobowe. Pewna osoba zażądała od CRIF dostępu do swoich danych oraz kopii dokumentów, takich jak wiadomości e-mail i wyciągi z baz danych zawierające jej dane „w standardowym formacie”. W odpowiedzi, firma CRIF przekazała jej streszczenie swoich danych, co uznała za niewystarczające.

Żądający skierował skargę do austriackiego organu ochrony danych, Österreichische Datenschutzbehörde, lecz przegrał sprawę, gdyż organ stwierdził, że CRIF nie naruszyło prawa dostępu do danych osobowych. Następnie została złożona skarga do federalnego sądu administracyjnego, który zwrócił się do Trybunału Sprawiedliwości Unii Europejskiej (TSUE) z pytaniem o interpretację przepisów RODO dotyczących treści i zakresu prawa dostępu osoby, której dane są przetwarzane.

Trybunał Sprawiedliwości Unii Europejskiej wydał orzeczenie dotyczące prawa konsumentów do odszkodowania za naruszenie przepisów unijnego ogólnego rozporządzenia o ochronie danych (RODO). Sąd ustalił, że prawo do odszkodowania opiera się na standardzie opartym na trzech kryteriach, z wyjaśnieniem, że „nie każde naruszenie RODO automatycznie upoważnia do odszkodowania”. TSUE podkreślił również, że odszkodowanie nie musi być ograniczone do szkód majątkowych, a sądy krajowe będą miały swobodę podejmowania decyzji dotyczących oceny szkód.

Trybunał orzekł ponadto, że prawo osoby, której dane są przetwarzane, do uzyskania kopii swoich danych osobowych oznacza, że powinna otrzymać „wierną i zrozumiałą reprodukcję” wszystkich tych danych. Prawo to obejmuje możliwość uzyskania kopii fragmentów dokumentów lub nawet całych dokumentów, bądź wyciągów z baz danych zawierających te informacje, jeżeli jest to niezbędne dla skutecznego wykonywania praw przysługujących tej osobie na mocy RODO – stwierdził TSUE.

 

Pobierz wpis w wersji pdf

Podobne wpisy:

Współpraca z procesorem w praktyce – kilka ważnych kwestii

W dzisiejszym artykule nie będziemy skupiać się na samym pojęciu procesora oraz kwestiach związanych z trudnościami w ustaleniu, czy dany podmiot jest procesorem, czy też nie. Skupimy się natomiast na opisaniu etapów, jakie wiążą się ze współpracą z procesorami oraz przydatnej w tej współpracy dokumentacji. Wybieramy procesora (podmiot przetwarzający) Zgodnie z RODO powierzając dane osobowe […]

Księgi akcyjne

Wyrok WSA w sprawie pierwszej administracyjnej kary pieniężnej nałożonej w Polsce na podstawie RODO

W ubiegłym tygodniu zostało opublikowane uzasadnienie wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie (WSA) z dnia 11 grudnia 2019 r. (II SA/Wa 1030/19). Orzeczenie to zostało wydane w wyniku rozpatrzenia odwołania spółki Bisnode od decyzji Prezesa Urzędu Ochrony Danych Osobowych (PUODO), nakładającej na wskazany podmiot administracyjną karę pieniężną za naruszenie przepisów RODO, w wysokości stanowiącej równowartość […]

Omówienie wytycznych AEPD dotyczących walidacji systemów kryptograficznych do ochrony przetwarzania danych osobowych

W dobie cyfrowej, gdzie dane osobowe stają się coraz bardziej cenne, ochrona tych danych jest kluczowa. W tym kontekście, Agencja Ochrony Danych w Hiszpanii (AEPD) opracowała szereg wytycznych dotyczących walidacji systemów kryptograficznych, które mają na celu ochronę przetwarzania danych osobowych. Te wytyczne są nie tylko odpowiedzią na rosnące zagrożenia dla prywatności, ale także próbą zdefiniowania standardów, które pomogą organizacjom w zabezpieczaniu danych, którymi zarządzają.

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki