Według RODO prawo do ochrony danych osobowych jest prawem podstawowym każdego człowieka. Z tego względu nałożone zostały na administratorów danych obowiązki związane z koniecznością zapewnienia niezwykle silnej ochrony tych danych.
Prawa osób, których dane dotyczą zostały też jasno określone w rozporządzeniu.
Prawo dostępu do danych.
Osoba, której dane dotyczą ma prawo do uzyskania potwierdzenia, czy dotyczące jej dane są przetwarzane przez Administratora, a jeśli ma to miejsce – do uzyskania dostępu do tych danych oraz do informacji o sposobie ich przetwarzania.
Złożenie wniosku o dostęp do danych powinno być bezpłatne, a Administrator powinien odpowiedzieć na wniosek w ciągu miesiąca.
Prawo do sprostowania danych.
Osoba, której dane dotyczą ma prawo żądania od Administratora sprostowania nieprawidłowych danych osobowych oraz do uzupełnienia niekompletnych danych. Dane osobowe powinny być przechowywane w takiej formie, by dostęp do nich i ewentualne wprowadzenie zmian, dotyczących sprostowania były łatwe do wykonania dla osób upoważnionych .
Prawo do bycia zapomnianym (Prawo do usunięcia danych).
Na Administratorze ciąży obowiązek niezwłocznego usunięcia danych, między innymi gdy:
Prawo do ograniczenia przetwarzania.
Osoba, której dane dotyczą, ma również prawo do żądania ograniczenia przetwarzania danych osobowych, jeśli:
W przypadku, gdy ma miejsce ograniczone przetwarzanie danych osobowych bez zgody osoby, której dane dotyczą – można dane wyłącznie przechowywać. Zabronione jest więc wykonywanie na nich operacji związanych z przetwarzaniem danych. Wyjątkiem jest obrona i dochodzenie roszczeń oraz obrona praw innego podmiotu.
Prawo do przenoszenia danych.
Osoba, której dane dotyczą , ma prawo otrzymać od Administratora dostarczone przez siebie dane osobowe, w powszechnie używanym formacie, nadającym się do odczytu przez komputer. Ponadto ma ona prawo żądać przesłania danych innemu Administratorowi , bez przeszkód ze strony „pierwotnego” Administratora w przypadku gdy:
W przypadku zgłoszenia prośby o przeniesienie danych, pracownicy upoważnieni i Administrator muszą być w stanie w łatwy sposób przekazać dane osoby, której one dotyczą (na przykład stworzony dokument doc., zgrany plik projektowy).
Prawo sprzeciwu.
Jeżeli dane osobowe są przetwarzane na podstawie prawnie uzasadnionych interesów realizowanych przez Administratora, osoba, której dane dotyczą może, ze względu na swoją szczególną sytuację, wnieść sprzeciw wobec przetwarzania jej danych, w tym profilowania.
Po wniesieniu sprzeciwu przez osobę, której dane dotyczą, Administrator nie może dalej przetwarzać danych osobowych (chyba, że wykaże istnienie uzasadnionej, nadrzędnej podstawy przetwarzania) .
W przypadku przetwarzania danych na potrzeby marketingu bezpośredniego, osoba, której dane dotyczą , zawsze ma prawo wnieść sprzeciw wobec dalszego przetwarzania jej danych w tym celu (w tym profilowania). Należy respektować to prawo, zaprzestając dalszego przetwarzania.
Prawo do wycofania zgody.
Podmiot danych ma prawo do wycofania zgody na przetwarzanie danych w dowolnym momencie. Wycofanie zgody nie ma jednak wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Wycofanie zgody musi być natomiast równie łatwe jak jej wyrażenie.
Prawo do informacji.
Administratorzy zobligowani są do przekazania informacji określonych w RODO osobom, których dane będą przetwarzać.
RODO wprowadza nowy, dużo szerszy katalog informacji, które muszą zostać przekazane osobom, których dane dotyczą. Informacje powinny zostać podane w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem.
Zgodnie z nowymi przepisami należy poinformować o :
Prawo, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu.
Osoba, której dane dotyczą ma prawo nie podlegać decyzji opartych wyłącznie o zautomatyzowane przetwarzanie (w tym profilowanie) i decyzja taka wywołuje wobec osoby skutki prawne lub w podobny sposób istotnie wpływa na podmiot. Wyjątkiem są sytuacje, w których ta decyzja:
W przypadku, gdy zautomatyzowane podejmowanie decyzji jest niezbędne do zawarcia umowy lub opiera się na wyraźnej zgodzie podmiot danych może żądać interwencji człowieka, a także ma prawo do wyrażenia własnego stanowiska i do zakwestionowania decyzji.
Prawo wniesienia skargi do organu nadzorczego.
W art. 77 RODO prawo do wniesienia skargi do organu nadzorczego zostało uregulowane jako jeden ze środków ochrony prawnej osób, których dane dotyczą. Każda osoba, której dane dotyczą, ma prawo wnieść skargę do organu nadzorczego jeżeli sądzi, że przetwarzanie danych osobowych jej dotyczące narusza przepisy RODO. Wniesienie skargi powinno mieć miejsce w szczególności w państwie członkowskim zwykłego pobytu osoby, jej miejsca pracy lub miejsca popełnienia domniemanego naruszenia. Co ważne, prawo do wniesienia skargi osoba, której dane dotyczą może realizować bez uszczerbku dla innych środków administracyjnych oraz innych środków ochrony prawnej przed sądem. Oznacza to, że nic nie stoi na przeszkodzie, aby w razie jednego naruszenia osoba zarówno wniosła skargę do Urzędu Ochrony Danych, jak i wniosła do sądu powództwo cywilne przeciwko administratorowi lub procesorowi, który dopuścił się uchybień w zakresie zgodnego z prawem przetwarzania danych.