Prawa osoby, której dane dotyczą
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych, uchylające dyrektywę 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej jako „RODO”) oraz ustawa nr 18/2018 Dz. U. o ochronie danych osobowych, zmieniająca i uzupełniająca niektóre ustawy (dalej jako „Ustawa”), jako osobie, której dane osobowe dotyczą, przyznają Ci następujące prawa:
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych, uchylające dyrektywę 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej jako „RODO”) oraz ustawa nr 18/2018 Dz. U. o ochronie danych osobowych, zmieniająca i uzupełniająca niektóre ustawy (dalej jako „Ustawa”), jako osobie, której dane osobowe dotyczą, przyznają Ci następujące prawa:
a) Prawo Osoby, której dane dotyczą, do dostępu do danych osobowych, które obejmuje:
-
prawo do uzyskania od Administratora potwierdzenia, czy przetwarzane są dane osobowe dotyczące Osoby, której dane dotyczą;
- w przypadku przetwarzania danych osobowych Osoby, której dane dotyczą, prawo dostępu do przetwarzanych danych osobowych i prawo do uzyskania następujących informacji:
- informacje o celach przetwarzania;
- informacje na temat kategorii przedmiotowych danych osobowych;
- informacje o odbiorcach lub kategoriach adresatów, którym dane osobowe zostały lub zostaną przekazane, w szczególności o odbiorcach w krajach trzecich lub organizacjach międzynarodowych;
- w miarę możliwości, informacje o przewidywanym okresie przechowywania danych osobowych lub, jeśli nie jest to możliwe, informacje o kryteriach jego ustalania;
- informacje o istnieniu prawa do żądania od Administratora sprostowania danych osobowych dotyczących Osoby, której dane dotyczą, ich usunięcia lub ograniczenia przetwarzania oraz o istnieniu prawa do sprzeciwu wobec takiego przetwarzania;
- informacja o prawie do wniesienia skargi do organu nadzorczego;
- jeżeli dane osobowe nie zostały uzyskane od Osoby, której dane dotyczą, wszelkie dostępne informacje dotyczące ich źródła;
- informacje o istnieniu zautomatyzowanego podejmowania decyzji, w tym profilowania, o którym mowa w art. 22 ust. 1. i 4. Rozporządzenia oraz, w tych przypadkach, przynajmniej znaczące informacje na temat zastosowanej procedury, a także znaczenia i przewidywanych konsekwencji takiego przetwarzania danych osobowych dla Osoby, której dane dotyczą;
- prawo do informacji o odpowiednich zabezpieczeniach zgodnie z art. 46 Rozporządzenia, dotyczących przekazywania danych osobowych, gdy dane osobowe są przekazywane do państwa trzeciego lub organizacji międzynarodowej;
- prawo do uzupełnienia niekompletnych danych osobowych Osoby, której dane dotyczą, w tym poprzez dodatkowe oświadczenie Osoby, której dane dotyczą;
Prawo osoby, której dane dotyczą, do sprostowania danych osobowych oznacza, że możesz w dowolnym momencie zwrócić się do nas o poprawienie lub uzupełnienie swoich danych osobowych, jeśli są one niedokładne lub niekompletne. Osoba, której dane dotyczą, ma prawo uzupełniać niekompletne dane osobowe, w tym za pomocą uzupełniającego oświadczenia.
c) prawo Osoby, której dane dotyczą, do usunięcia danych osobowych (tzw. prawo „do zapomnienia”), które obejmuje:
- prawo do zażądania od Administratora usunięcia, bez zbędnej zwłoki, danych osobowych dotyczących Osoby, której dane dotyczą, jeżeli zostanie spełniony jeden z następujących powodów:
- dane osobowe nie są już potrzebne do celów, w których zostały uzyskane lub w inny sposób przetwarzane;
- Osoba, której dane dotyczą, wycofuje zgodę, na podstawie której odbywa się przetwarzanie, pod warunkiem że nie ma innej podstawy prawnej przetwarzania danych osobowych;
- Osoba, której dane dotyczą, sprzeciwia się przetwarzaniu danych osobowych w rozumieniu art. 21 ust. 1. Rozporządzenia i nie mają pierwszeństwa żadne uzasadnione przyczyny dla przetwarzania danych osobowych, albo Osoba, której dane dotyczą, sprzeciwia się przetwarzaniu danych osobowych w rozumieniu art. 21 ust. 2. Rozporządzenia
- dane osobowe były przetwarzane niezgodnie z prawem;
- dane osobowe muszą zostać usunięte w celu wypełnienia obowiązku prawnego wynikającego z prawa Unii Europejskiej lub prawa państwa członkowskiego, któremu podlega Administrator;
- dane osobowe zostały zebrane w związku z ofertą usług społeczeństwa informacyjnego w myśl art. 8 ust. 1. Rozporządzenia;
- prawo Administratora, który ujawnił dane osobowe Osoby, której dane dotyczą, do podjęcia odpowiednich środków, w tym technicznych, w związku z dostępną technologią i kosztem wdrożenia środków, do poinformowania innych administratorów przetwarzania danych, że Osoba, której dane dotyczą, prosi ich o usunięcie wszystkich odniesień do takich danych osobowych, ich kopii lub replik;
jednocześnie przyjmuje się, ze prawo do usunięcia danych osobowych zawierających prawa zgodnie z art. 17 ust. 1. i 2. Rozporządzenia [t. j. zawierające prawa określone w (i) i (ii) lit. c) punkt J. niniejszego dokumentu] nie powstaje, gdy przetwarzanie danych osobowych jest konieczne:
1. do skorzystania z prawa do wolności wypowiedzi i informacji;
2. do wypełnienia obowiązku ustawowego wymagającego przetwarzania zgodnie z prawem Unii Europejskiej lub prawa państwa członkowskiego, któremu podlega Administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach wykonywania władzy publicznej powierzonej Administratorowi;
3. ze względu na interes publiczny w dziedzinie zdrowia publicznego zgodnie z art. 9 ust. 2) h) i i) Rozporządzenia, a także art. 9 ust. 3. Rozporządzenia,;
4. do celów archiwizacji w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1. Rozporządzenia, w których istnieje prawdopodobieństwo, że prawo, o którym mowa w art. 17 ust. 1. Rozporządzenia uniemożliwia lub poważnie utrudnia osiągnięcie celów takiego przetwarzania danych osobowych; lub
5. w celu ustalenia, dochodzenia lub obrony roszczeń prawnych;
Prawo Osoby, której dane dotyczą, do usunięcia danych osobowych oznacza zatem, że musimy usunąć Twoje dane osobowe, chyba że (i) nie są one niezbędne do celów, dla których zostały zgromadzone lub w inny sposób przetwarzone, (ii) przetwarzanie jest niezgodne z prawem, (iii) sprzeciwiasz się przetwarzaniu i nie istnieją żadne nadrzędne uzasadnione powody przetwarzania lub (iv) jesteśmy do tego prawnie zobowiązani.
d) prawo Osoby, której dane dotyczą, do ograniczenia przetwarzania danych osobowych, które obejmuje:
- prawo Administratora do ograniczenia przetwarzania danych osobowych w jednym z następujących przypadków:
- Osoba, której dane dotyczą, podważy prawidłowość danych osobowych w okresie umożliwiającym Administratorowi sprawdzenie ich poprawności;
- przetwarzanie danych osobowych jest niezgodne z prawem, a Osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych i zamiast tego żąda ograniczenia ich wykorzystania;
- Administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale potrzebuje je Osoba, której dane dotyczą, celem udowodnienia, dochodzenia lub obrony roszczeń prawnych;
- Osoba, której dane dotyczą, sprzeciwiła się przetwarzaniu danych w rozumieniu art. 21 ust. 1. Rozporządzenia do czasu sprawdzenia, czy uzasadnione powody ze strony Administratora przeważają nad uzasadnionymi powodami Osoby, której dane dotyczą;
- prawo, aby w przypadku, gdy przetwarzanie danych osobowych jest ograniczone na mocy ppkt (i) niniejszej lit. (d) pkt J. niniejszego dokumentu, takie ograniczone dane osobowe były przetwarzane, wyłączając ich przechowywanie, wyłącznie za zgodą Osoby, której dane dotyczą, lub w celu ustalenia, dochodzenia lub obrony roszczeń prawnych bądź w celu ochrony praw innej osoby fizycznej lub prawnej albo z powodów ważnego interesu publicznego Unii Europejskiej lub państwa członkowskiego;
- prawo do otrzymania informacji przed zniesieniem ograniczenia przetwarzania danych osobowych;
Prawo Osoby, której dane dotyczą, do ograniczenia przetwarzania danych osobowych oznacza, że o ile nie rozwiążemy wszelkich kontrowersyjnych problemów związanych z przetwarzaniem Twoich danych osobowych, musimy ograniczyć przetwarzanie Twoich danych osobowych tak, abyśmy dane osobowe zainteresowanej osoby mogli jedynie przechowywać, a nie przetwarzać ich dalej.
e) prawo Osoby, której dane dotyczą, do wywiązania się z obowiązku powiadomienia adresatów, które obejmuje:
- prawo Administratora do powiadomienia każdego adresata, któremu przekazano dane osobowe, o każdym sprostowaniu lub usunięciu danych osobowych lub ograniczeniach przetwarzania dokonanych zgodnie z art. 16, art. 17 ust. 1 i art. 18 Rozporządzenia, chyba że okaże się to niemożliwe lub wymaga nadmiernego wysiłku;
- prawo Administratora do poinformowania Osoby, której dane dotyczą o takich adresatach, o ile zainteresowana osoba tego zażąda;
Prawo Osoby, której dane dotyczą, do wypełnienia obowiązku powiadomienia adresatów oznacza zobowiązanie Administratora do powiadomienia każdego adresata, któremu przekazał dane osobowe Osoby, której dane dotyczą, o każdej korekcie i usunięciu danych osobowych lub ograniczeniu ich przetwarzania. Administrator nie ma tego obowiązku tylko wtedy, gdy takie powiadomienie jest niemożliwe z obiektywnych przyczyn lub wymaga nieproporcjonalnego wysiłku.
f) prawo Osoby, której dane dotyczą, do przenoszenia danych osobowych, które obejmuje:
f) prawo Osoby, której dane dotyczą, do przenoszenia danych osobowych, które obejmuje:
- prawo do uzyskania danych osobowych dotyczących Osoby, której dane dotyczą, przekazanych Administratorowi w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego, a także prawo do przekazania takich danych innemu administratorowi bez wzbraniania się temu ze strony Administratora, jeżeli:
- przetwarzanie odbywa się na podstawie zgody Osoby, której dane dotyczą, zgodnie z art. 6 ust. 1. lit. a) Rozporządzenia lub art. 9 ust. 2. lit. a) Rozporządzenia lub umowy w myśl w art. 6 ust. 1 1 lit. b) Rozporządzenia, a jednocześnie;
- przetwarzanie odbywa się w sposób zautomatyzowany i jednocześnie;
- prawo do pozyskiwania danych osobowych w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego oraz prawo do przekazania takich danych innemu administratorowi bez wzbraniania się temu ze strony Administratora, nie wpłynie negatywnie na prawa i wolności innych;
- prawo do przenoszenia danych osobowych bezpośrednio od jednego Administratora do drugiego, jeżeli jest to technicznie możliwe;
Prawo do przenoszenia danych oznacza, że masz prawo do uzyskania od nas, w ustrukturyzowanym, powszechnie używanym i nadającym się do odczytu maszynowego danych osobowych, które wcześniej nam przekazałeś, i masz prawo zażądać, abyśmy przekazali Twoje dane osobowe innemu administratorowi zgodnie z warunkami prawnymi; korzystanie z tego prawa nie narusza Twojego prawa do usuwania danych osobowych. Prawo do przenoszenia dotyczy jednak tylko danych osobowych, które uzyskaliśmy od Ciebie na podstawie umowy, której jesteś stroną.
g) prawo zainteresowanej osoby do sprzeciwu, które obejmuje:
- prawo do wniesienia sprzeciwu w dowolnym momencie, z przyczyn związanych ze szczególną sytuacją Osoby, której dane dotyczą, do przetwarzania danych osobowych jej dotyczących, które odbywa się na podstawie art. 6 ust. 1 lit. e) lub f) Rozporządzenia, w tym do sprzeciwu wobec profilowania opartego na tychże przepisach Rozporządzenia;
- [w przypadku skorzystania z prawa do wniesienia sprzeciwu w dowolnym momencie z przyczyn związanych ze szczególną sytuacją Osoby, której dane dotyczą, w związku z przetwarzaniem danych osobowych jej dotyczących, które odbywa się zgodnie z art. 6 ust. 1 lit. e) lub f) Rozporządzenia,a, w tym do sprzeciwu wobec profilowania opartego na tychże przepisach Rozporządzenia] prawo, aby Administrator nie przetwarzał już danych osobowych Osoby, której dane dotyczą, chyba że wykaże niezbędne uzasadnione powody przetwarzania, przeważające nad interesem, prawami i wolnościami Osoby, której dane dotyczą, lub powody dowodzenia, dochodzenia lub obrony roszczeń prawnych;
- prawo do wniesienia sprzeciwu wobec przetwarzania danych osobowych dotyczących Osoby, której dane dotyczą, do celów marketingu bezpośredniego, w tym profilowania, w zakresie, w jakim dotyczy to marketingu bezpośredniego; czyniąc to, jeżeli osoba, której dane dotyczą, sprzeciwia się przetwarzaniu danych osobowych do celów marketingu bezpośredniego, dane osobowe nie mogą być dalejj przetwarzane do takich celów;
- (w związku z korzystaniem z usług społeczeństwa informacyjnego) prawo do sprzeciwu wobec przetwarzania danych osobowych w sposób zautomatyzowany z wykorzystaniem specyfikacji technicznych;
- prawo do wniesienia sprzeciwu z powodów związanych ze szczególną sytuacją Osoby, której dane dotyczą, wobec przetwarzania danych osobowych dotyczących Osoby, której dane dotyczą, jeżeli dane osobowe są przetwarzane do celów badań naukowych lub historycznych lub do celów statystycznych w rozumieniu art. 89 ust. 1. Rozporządzenia, z wyjątkiem przypadków, gdy przetwarzanie jest konieczne do wykonania zadania z przyczyn związanych z interesem publicznym;
Prawo Osoby, której dane dotyczą do sprzeciwu oznacza zatem, że jako Podmiot danych możesz wnieść sprzeciw wobec przetwarzania Twoich danych osobowych, które przetwarzamy w celach marketingu bezpośredniego lub z uzasadnionych powodów. Przetwarzanie danych osobowych w celach marketingowych przerwiemy niezwłocznie po otrzymaniu sprzeciwu.
h) prawo Osoby, której dane dotyczą, do zautomatyzowanego indywidualnego podejmowania decyzji, które obejmuje:
- prawo Osoby, której dane dotyczą, do niepodlegania decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu danych osobowych, w tym profilowaniu, i która wywołuje wobec niej skutki prawne lub w podobny sposób znacząco na nią wpływa, z wyjątkiem przypadków w rozumieniu art. 22 ust. 2. Rozporządzenia [t.j. z wyjątkiem sytuacji, gdy decyzja jest: (a) konieczna do zawarcia lub wykonania umowy między Osobą, której dane dotyczą a Administratorem; (b) dozwolona przez prawo Unii Europejskiej lub prawo państwa członkowskiego, któremu podlega Administrator, ustanawiającemu jednocześnie należyte środki ochrony prawa i wolności oraz uzasadnionych interesów Osoby, której dane dotyczą, lub (c) na podstawie wyraźnej zgody Osoby, której dane dotyczą];
Prawa Osoby, której dane dotyczą, związane ze zautomatyzowanym podejmowaniem indywidualnych decyzji oznaczają, że jako Osoba, której dane dotyczą, masz prawo nie podlegać decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołującej skutki prawne dotyczące Ciebie lub mają podobny znaczący wpływ. W przypadkach, gdy takie przetwarzanie jest konieczne do zawarcia lub wykonania umowy lub opiera się o wyraźną zgodę Osoby, której dane dotyczą, Administrator podejmuje odpowiednie środki w celu ochrony praw i wolności oraz uzasadnionych interesów Osoby, której dane dotyczą, w szczególności podejmując minimalne środki, takie jak rozsądna ingerencja ze strony operatora, prawo Osoby, której dane dotyczą do wyrażenia swojego stanowiska oraz prawa tej osoby do zaskarżenia decyzji.
i) Prawo Osoby, której dane dotyczą, do wszczęcia postępowania zgodnie z przepisem 100 ustawy o ochronie danych osobowych, które obejmuje:
- prawo Osoby, której dane dotyczą, która uważa, że jej dane osobowe są bezprawnie przetwarzane lub że jej dane osobowe zostały niewłaściwie wykorzystane, do złożenia wniosku do Urzędu Ochrony Danych Osobowych Republiki Słowackiej (dalej jako„Urząd”) o wszczęcie postępowania w sprawie ochrony danych osobowych;
- Wniosek o wszczęcie postępowania można złożyć na piśmie, osobiście ustnie do protokołu, drogą elektroniczną, przy czym musi on zostać podpisany bezpiecznym podpisem elektronicznym, telegraficznie lub faksem, co należy jednak uzupełnić na piśmie lub ustnie do protokołu nie później niż w ciągu 3 dni;
- Przedmiotowy wniosek, zgodnie z § 100 ust. 3 ustawy o ochronie danych osobowych, musi zawierać:
- imię, nazwisko, stały adres i podpis wnioskodawcy;
- wskazanie osoby, przeciwko której skierowany jest wniosek; firmę lub imię lub nazwisko, siedzibę lub miejsce stałego zamieszkania, formę prawną i numer identyfikacyjny, jeżeli dotyczy;
- przedmiot wniosku, wskazujący, które zdaniem wnioskodawcy prawa zostały naruszone przy przetwarzaniu danych osobowych;
- dowody na poparcie twierdzeń zawartych we wniosku;
- kopię dokumentu poświadczającego zastosowanie prawa określonego w 28, jeżeli prawo to można wykonać, lub wskazanie przyczyn, które zasługują na szczególną uwagę;
- wskazanie osoby, przeciwko której skierowany jest wniosek; firmę lub imię lub nazwisko, siedzibę lub miejsce stałego zamieszkania, formę prawną i numer identyfikacyjny, jeżeli dotyczy;
- przedmiot wniosku, wskazujący, które zdaniem wnioskodawcy prawa zostały naruszone przy przetwarzaniu danych osobowych;
- dowody na poparcie twierdzeń zawartych we wniosku;
- kopię dokumentu poświadczającego zastosowanie prawa określonego w 28, jeżeli prawo to można wykonać, lub wskazanie przyczyn, które zasługują na szczególną uwagę;
- Następnie Urząd podejmuje decyzję w sprawie wniosku swnioskodawcy w ciągu 60 dni od daty wszczęcia postępowania. W uzasadnionych przypadkach Urząd może odpowiednio przedłużyć ten okres, lecz nie dłużej niż o 6 miesięcy. Urząd poinformuje strony na piśmie o przedłużeniu terminu;
- Wzór wniosku o wszczęcie postępowania ws. ochrony prywatności można znaleźć na stronie internetowej Urzędu (https://dataprotection.gov.sk/uoou/sites/default/files/vzor_navrhu_na_zacatie_konania_podla_nove o_zakona.docx)