Przedstawiamy Ci drugą część naszego Kompletnego poradnika o danych osobowych dla MŚP. W pierwszej części przedstawiliśmy czym są dane osobowe, przetwarzanie oraz jakie są kluczowe zasady RODO w zakresie danych osobowych. Dzisiaj omówimy jakie prawa mają osoby, których dane osobowe przetwarzamy.
Pamiętaj, że przestrzeganie praw osób, których dane zbierasz jest przede wszystkim spełnieniem przez Ciebie wymogów w nałożonych przez RODO. Ponadto prawidłowe reagowanie na zgłoszone żądania przez te osoby buduje zaufanie do Twojej firmy.
Zatem jakie prawa mają osoby fizyczne, których dane osobowe przetwarzasz?
- Prawo do informacji oznacza podanie przez administratora osobie fizycznej, której dane dotyczą, informacji m.in. w zakresie jakie dane o niej są zbierane, w jakim celu, jak długo będą przechowywane i komu będą udostępniane.
- Prawo dostępu oznacza uprawnienie osoby fizycznej, której dane dotyczą, do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, uprawnienie do uzyskania dostępu do nich oraz informacji w zakresie m.in. celów przetwarzania, planowanym okresie przechowywania danych, prawie wniesienia skargi do organu nadzorczego.
- Prawo do sprostowania oznacza uprawnienie osoby fizycznej, której dane dotyczą, do sprostowania jej danych osobowych, zbieranych przez administratora, które są nieprawidłowe lub do uzupełnienia danych, które są niekompletne.
- Prawo do usunięcia danych (prawo do bycia zapomnianym) oznacza uprawnienie osoby fizycznej, której dane dotyczą, do żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych.
- Prawo do ograniczenia przetwarzania oznacza, że w pewnych okolicznościach osoba fizyczna, której dane dotyczą, mogą zażądać ograniczenia przetwarzania ich danych osobowych.
- Prawo do przenoszenia danych oznacza uprawnienie osoby fizycznej, której dane dotyczą, do otrzymania od administratora swoich danych, które dostarczyła temu administratorowi, w ustrukturyzowanym, powszechnie używanym formacie i przekazania je innemu podmiotowi.
- Prawo do sprzeciwu oznacza, że w pewnych przypadkach, osoby fizyczne, których dane dotyczą, mogą wnieść sprzeciw wobec przetwarzania swoich danych.
- Prawo do niepodlegania decyzjom opartych na zautomatyzowanym przetwarzaniu, w tym profilowaniu oznacza, że jeżeli decyzje dotyczące osoby fizycznej, której dane dotyczą, są podejmowane wyłącznie na podstawie zautomatyzowanego przetwarzania danych, osoba ta ma prawo by nie podlegać takiej decyzji.
Co możesz zrobić by realizować prawa osób fizycznych, których dane osobowe przetwarzasz?
Przygotuj dokumentację w swojej firmie, opracuj systemy i procedury reagowania na wnioski dotyczące praw osób fizycznych, których dane dotyczą. Stwórz czytelne i napisane zrozumiałym językiem dokumenty, z których osoby te będą mogły dowiedzieć się jakie dane zbierasz, dlaczego to robisz, jak długo je przechowujesz i komu je udostępniasz. Zbieraj i dokumentuj wnioski dotyczące praw osób fizycznych, których dane dotyczą.
Ułatw osobom, których dane dotyczą, zapoznanie się z przysługującymi im prawami oraz kontaktu z Tobą w zakresie respektowania tych praw.
Na wnioski dotyczące praw osób fizycznych, których dane dotyczą, odpowiadaj w przeciągu 1 miesiąca. W razie potrzeby termin ten można przedłużyć o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań. Wtedy w terminie miesiąca musisz poinformować o przedłużeniu tego terminu z uwagi na powyższe okoliczności.
Znaj przepływ danych osobowych w Twojej firmie, by szybko identyfikować oraz sprawnie lokalizować i wyszukiwać informacje w zakresie zgłoszonych przez osoby fizyczne żądań.
Jak powinieneś postąpić z wnioskiem o realizację praw osoby, której dane dotyczą?
Po pierwsze, odpowiedz w tej samej formie w której został złożony wniosek. Dla celów dowodowych konieczne jest by odpowiedź była w formie pisemnej (w tym w formie wiadomości email). Nie jest zalecane udzielanie odpowiedzi w formie ustnej, gdyż utrudnione będzie wykazanie, że odpowiedziałeś na wniosek.
Po drugie, odpowiedz na wniosek w terminie miesiąca lub poinformuj o przedłużeniu terminu rozpatrywania wniosku (z uwagi na charakter skomplikowany charakter żądania lub liczbę żądań). W przypadku przedłużenia terminu, jesteś zobowiązany udzielić odpowiedzi na wniosek w maksymalnym terminie kolejnych dwóch miesięcy.
Po trzecie, zapewnij by odpowiedź na wniosek była wolna od opłat. Jednak pamiętaj, że w przypadku żądania osoby, której dane dotyczą, są ewidentnie nieuzasadnione lub nadmierne, w szczególności ze względu na swój ustawiczny charakter, możesz pobrać rozsądną opłatę, uwzględniając administracyjne koszty udzielenia informacji, prowadzenia komunikacji lub podjęcia żądanych działań; albo odmówić podjęcia działań w związku z żądaniem.
Respektowanie praw osób, których dane przetwarzasz, to nie tylko Twój obowiązek prawny, ale również krok w kierunku budowania zaufania i lojalności klientów. W MŚP często bliskie relacje z klientami są kluczowe, więc tym bardziej ważne jest, aby pokazywać, że troszczysz się o ich prywatność i bezpieczeństwo ich danych osobowych.
Jeśli prowadzisz małą lub średnią firmę, zespół SecHub jest tu, aby pomóc Ci zrozumieć i wdrożyć wszystkie niezbędne procedury związane prawami osób, których dane dotyczą. Nie zwlekaj, skontaktuj się z nami!