Z uwagi na to, że RODO przyznało osobom, których dane dotyczą, szereg uprawnień, konieczne było wskazanie trybu dochodzenia tych praw.

Ogólne zasady wykonywania swoich praw przez osoby, których dane dotyczą, znajdują się w art. 12 ust. 2 i nast. Administrator ma przede wszystkim obowiązek ułatwiać podmiotom danych osobowych wykonywanie tych praw. Co więcej, administrator nie może odmówić podjęcia działań na żądanie osoby pragnącej wykonać swoje uprawnienie w sytuacji określonej w art. 11 ust. 2 (przetwarzanie niewymagające identyfikacji), chyba że nie będzie mógł tej osoby zidentyfikować.

W art. 12 ust. 3 wskazano natomiast terminy załatwiania spraw, które można rozłożyć w taki schemat:

  1. obowiązek poinformowania o podjętych działaniach bez zbędnej zwłoki – najpóźniej w ciągu 1 miesiąca;
  2. z uwagi na skomplikowany charakter żądania lub liczbę żądań – termin można przedłużyć o kolejne 2 miesiące;
  3. o przedłużeniu informuje się w terminie wskazanym w punkcie pierwszym wraz z podaniem przyczyn opóźnienia;
  4. jeśli żądanie złożono elektronicznie – w takiej samej formie powinna być odpowiedź (podmiot danych może zastrzec inną formę).

Jeśli administrator nie podejmuje działań w związku z żądaniem, ma obowiązek niezwłocznie (najpóźniej 1 miesiąc od żądania) poinformować o tym podmiot danych wraz z podaniem przyczyn braku działań oraz możliwości wniesienia skargi do organu nadzoru lub skierowania sprawy na drogę sądową.

Co do zasady uzyskanie od administratora informacji oraz wykonywanie swoich praw jest wolne od opłat. Istnieje jednak wyjątek – jeśli żądanie jest ewidentnie nieuzasadnione lub nadmierne (np. z uwagi na ponawianie go w krótkich odstępach czasu), administrator może według swojego wyboru:

  1. pobrać rozsądną opłatę, uwzględniając administracyjne koszty udzielania informacji, prowadzenia komunikacji lub podjęcia żądanych działań albo
  2. odmówić podjęcia jakichkolwiek działań.

RODO przyznaje także administratorowi prawo żądania dodatkowych informacji, jeśli ma uzasadnione wątpliwości co do tożsamości osoby składającej żądanie.

Przekazując informacje zainteresowanym, administrator może korzystać ze standardowych znaków graficznych, które w widoczny, zrozumiały i czytelny sposób przedstawią sens zamierzonego przetwarzania. Znaki w formie elektronicznej muszą nadawać się do maszynowego przedstawiania.

Michał Wysocki

Bibliografia:

  1. E. Bielak-Jomaa, D. Lubasz (red.), RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, Wolters Kluwer Polska, 2017;
  2. P. Litwiński (red.), Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, C.H. Beck, 2018