iSecure logo
Blog

Prawo dostępu do danych, a wyrok (C-487/21)

Prawo do uzyskania kopii danych, znane również jako prawo do dostępu, jest jednym z podstawowych praw przewidzianych przez RODO (Rozporządzenie Ogólne o Ochronie Danych) – unijne rozporządzenie dotyczące prywatności i ochrony danych osobowych obywateli Unii Europejskiej. RODO wprowadza zasady, których należy przestrzegać podczas przetwarzania danych osobowych, a także udziela praw jednostkom, których dane dotyczą.

Prawo do uzyskania kopii danych (art. 15 RODO) daje osobom fizycznym możliwość uzyskania informacji o tym, czy i jakie ich dane osobowe są przetwarzane przez organizację, a także uzyskania kopii tych danych. Osoba, której dane dotyczą, może wystąpić z wnioskiem do administratora danych (organizacji przetwarzającej dane) o dostarczenie informacji na temat:

  1. Celów przetwarzania danych.
  2. Kategorii danych osobowych przetwarzanych.
  3. Odbiorców lub kategorii odbiorców, którym dane zostały lub zostaną ujawnione.
  4. Okresu przechowywania danych osobowych lub kryteriów wyznaczania tego okresu.
  5. Prawa osoby, której dane dotyczą, w tym prawa do sprostowania, usunięcia lub ograniczenia przetwarzania danych oraz prawo wniesienia sprzeciwu wobec przetwarzania.
  6. Prawa do wniesienia skargi do organu nadzorczego.
  7. Źródła danych, jeśli nie zostały one zebrane bezpośrednio od osoby, której dane dotyczą.
  8. Informacji o zautomatyzowanym podejmowaniu decyzji, w tym profilowaniu oraz o logice za tym stojącej oraz o przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Administrator danych jest zobowiązany dostarczyć te informacje oraz kopię danych osobowych w ciągu miesiąca od dnia otrzymania wniosku, z możliwością przedłużenia tego okresu o dwa kolejne miesiące w przypadku skomplikowanych lub licznych wniosków. W większości przypadków dostarczenie informacji i kopii danych powinno być bezpłatne, chyba że wniosek jest oczywiście bezzasadny lub nadmierny. W takim przypadku administrator może pobrać opłatę adekwatną do kosztów realizacji wniosku lub odmówić jego realizacji.

Wyrok Trybunału Sprawiedliwości UE z 4 maja 2023 r. w/s Österreichische Datenschutzbehörde / CRIF GmbH (C-487/21)

Sprawa dotyczyła agencji CRIF, która na prośbę klientów dostarcza informacje o wypłacalności osób fizycznych, przetwarzając ich dane osobowe. Pewna osoba zażądała od CRIF dostępu do swoich danych oraz kopii dokumentów, takich jak wiadomości e-mail i wyciągi z baz danych zawierające jej dane „w standardowym formacie”. W odpowiedzi, firma CRIF przekazała jej streszczenie swoich danych, co uznała za niewystarczające.

Żądający skierował skargę do austriackiego organu ochrony danych, Österreichische Datenschutzbehörde, lecz przegrał sprawę, gdyż organ stwierdził, że CRIF nie naruszyło prawa dostępu do danych osobowych. Następnie została złożona skarga do federalnego sądu administracyjnego, który zwrócił się do Trybunału Sprawiedliwości Unii Europejskiej (TSUE) z pytaniem o interpretację przepisów RODO dotyczących treści i zakresu prawa dostępu osoby, której dane są przetwarzane.

Trybunał Sprawiedliwości Unii Europejskiej wydał orzeczenie dotyczące prawa konsumentów do odszkodowania za naruszenie przepisów unijnego ogólnego rozporządzenia o ochronie danych (RODO). Sąd ustalił, że prawo do odszkodowania opiera się na standardzie opartym na trzech kryteriach, z wyjaśnieniem, że „nie każde naruszenie RODO automatycznie upoważnia do odszkodowania”. TSUE podkreślił również, że odszkodowanie nie musi być ograniczone do szkód majątkowych, a sądy krajowe będą miały swobodę podejmowania decyzji dotyczących oceny szkód.

Trybunał orzekł ponadto, że prawo osoby, której dane są przetwarzane, do uzyskania kopii swoich danych osobowych oznacza, że powinna otrzymać „wierną i zrozumiałą reprodukcję” wszystkich tych danych. Prawo to obejmuje możliwość uzyskania kopii fragmentów dokumentów lub nawet całych dokumentów, bądź wyciągów z baz danych zawierających te informacje, jeżeli jest to niezbędne dla skutecznego wykonywania praw przysługujących tej osobie na mocy RODO – stwierdził TSUE.

 

Pobierz wpis w wersji pdf

Podobne wpisy:

Szczepienia przeciw COVID-19 w zakładzie pracy

Temat szczepień w zakładach pracy jest w ostatnich tygodniach jednym z istotniejszych kwestii w każdym większym przedsiębiorstwie. Dostępność szczepionek przeciw Covid-19 stała się na tyle wysoka, że zakłady pracy starają się zapewnić swoim pracownikom możliwość zaszczepienia się. W tym czasie większość Inspektorów Ochrony Danych w Polsce zastanawia się, w jaki sposób zaprojektować proces szczepień w […]

Brak zgłoszenia naruszenia oraz niepowiadomienie osób o incydencie – przegląd kar Prezesa Urzędu Ochrony Danych Osobowych

Obowiązek zgłoszenia naruszenia do organu nadzorczego wynika wprost z art. 33 RODO. Zgodnie z przywołanym przepisem, w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, […]

Weryfikacja przestrzegania przepisów dotyczących inspektora ochrony danych – Norwegia

W ostatnich miesiąca nie cichną komentarze po kontroli przeprowadzonej przez UODO w zakresie sprawdzenia sposobu działań IOD-ów, na podstawie listy 27 pytań. Ich treść można poznać na stronie Urzędu (link: https://uodo.gov.pl/pl/138/2336), a także na naszym blogu (link: https://www.isecure.pl/blog/uodo-sprawdza-jak-pracuje-iod-czyli-o-co-chodzi-z-lista-27-pytan/). Z ciekawości przejrzałem strony innych organów ochrony danych osobowych i interesujące wyniki swojej kontroli/ankiety przedstawił w ubiegłym […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki