Czy zgodnie z RODO będzie można pobierać opłaty za realizację praw podmiotów danych

Agnieszka Kręcisz-Sarna

Autor: Agnieszka Kręcisz-Sarna

Dodano: 19 kwietnia 2018
Czy zgodnie z RODO będzie można pobierać opłaty za realizację praw podmiotów danych

Ogólne rozporządzenie o ochronie danych (RODO) nakłada na administratora szerszy niż obecnie obowiązek informacyjny. Nakazuje także określone działania w związku z realizacją przez osoby, których dane dotyczą, ich praw z zakresu ochrony danych osobowych. Dowiedz się, czy i w jakich okolicznościach administrator będzie mógł pobierać opłaty za realizację żądań osób, których dane przetwarza.

W ogólnym rozporządzeniu o ochronie danych (RODO) duży nacisk położono na zapewnienie osobom, których dane dotyczą, możliwości realizacji ich praw z zakresu ochrony danych osobowych. Administrator danych został nie tylko zobowiązany do przekazania tym osobom określonych informacji o zasadach przetwarzania danych, ale także do podjęcia aktywnych działań w celu ułatwienia im korzystania z ich praw. Co więcej, musi zadbać o to, aby komunikacja z osobami, których dane dotyczą, odbywała się w sposób dla nich zrozumiały, jasny i w łatwo dostępnej formie. Wiążą go także określone w RODO terminy rozpatrywania żądań i podejmowania działań wobec podmiotów danych. Wszystkie te obowiązki generują dodatkowe koszty dla administratora danych.

Administrator danych musi ułatwiać wykonywanie osobom, których dane dotyczą, prawprzyznanych im przez RODO. Przede wszystkim jest zobowiązany udzielać podmiotom danych określonych, wymaganych przez RODO informacji (wskazują je art. 13 i 14 RODO). Administrator danych musi zadbać o to, aby przekazywane informacje zawierały wszystkie wymagane przez RODO w konkretnych okolicznościach faktycznych elementy. Przy czym katalog tych informacji jest znacznie szerszy, niż wynika to z ustawy o ochronie danych osobowych z 29 sierpnia 1997 r.

Ważne:

Informacja o zasadach przetwarzania danych osobowych skierowana do osoby, której dane dotyczą, powinna być zwięzła, przejrzysta, sporządzona w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem.

Jakie prawa zgodnie z RODO przysługują podmiotom danych

Oprócz obowiązku informacyjnego administrator danych musi prowadzić z podmiotem danych wszelką komunikację dotyczącą przetwarzania danych osobowych i podejmować działania w związku z realizacją jego żądań. Osobie, której dane dotyczą, przysługuje bowiem prawo:

  • dostępu do danych,
  • sprostowania danych,
  • żądania usunięcia danych (prawo do bycia zapomnianym),
  • ograniczenia przetwarzania,
  • przenoszenia danych,
  • sprzeciwu,
  • niepodlegania decyzji opierającej się wyłącznie na zautomatyzowanym przetwarzaniu (w tym profilowaniu),
  • do informacji o naruszeniu ochrony jej danych osobowych.

Administrator danych musi rozpatrzyć wniosek osoby, której dane dotyczą, związany z przysługującymi jej na mocy RODO prawami. Żądanie powinien zrealizować niezwłocznie, jednak nie później niż w terminie jednego miesiąca, licząc od dnia, w którym je otrzymał. W razie potrzeby termin ten można przedłużyć o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań.

Należy też poinformować podmiot danych zarówno o przedłużeniu terminu rozpatrzenia żądania, jak i powodach tego opóźnienia. Trzeba również niezwłocznie (nie później niż w terminie jednego miesiąca od otrzymania żądania) powiadomić osobę, której dane dotyczą, o odmowie spełnienia jej żądania, przyczynach tego stanu rzeczy, jak również pouczyć ją o możliwości wniesienia skargi do organu nadzorczego i skorzystania z sądowej ochrony swoich praw.

Uwaga

Można odmówić realizacji wniosku, np. gdy administrator wykaże, że nie jest w stanie zidentyfikować osoby, która zgłosiła żądanie. RODO wymaga, aby korespondencja prowadzona z podmiotem danych związana z realizacją jego praw odbywała się w zwięzłej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Za utrudnianie wykonywania przez osoby, których dane dotyczą, praw gwarantowanych im przez RODO będzie groziła odpowiedzialność finansowa (do 20 mln euro lub 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego).

Kiedy można pobrać opłatę za realizację praw podmiotów danych zgodnie z RODO

Za wypełnienie obowiązku informacyjnego, a także z tytułu działań podejmowanych w związku z realizacją praw osób, których dane dotyczą, nie można pobierać żadnych opłat. Koszty udzielenia informacji podmiotom danych, prowadzenia z nimi komunikacji lub podjęcia żądanych działań obciążają zatem administratora danych. Jednak RODO przewiduje kilka wyjątków od tej zasady. Można pobrać opłatę w rozsądnej wysokości wynikającą z kosztów administracyjnych za dostarczenie osobie, której dane dotyczą, kolejnej kopii danych osobowych podlegających przetwarzaniu. Ponadto pobranie opłaty jest możliwe, gdy żądania osoby, której dane dotyczą, są:

  • ewidentnie nieuzasadnione lub
  • nadmierne, w szczególności ze względu na swój ustawiczny charakter.

Wysokość naliczonej opłaty powinna być rozsądna i uwzględniać administracyjne koszty udzielenia informacji, prowadzenia komunikacji lub podjęcia żądanych działań. Chodzi o zrekompensowanie administratorowi konkretnych kosztów, które musi ponieść w związku z realizacją praw osób, których dane dotyczą. Koszty te będą zależały od wielu czynników, m.in. od rodzaju czynności, do której podjęcia jest zobowiązany w świetle RODO, formy tej czynności, czy od rozmiarów i specyfiki działalności.

Opłata powinna być naliczana indywidualnie, z uwzględnieniem rzeczywistych kosztów, jakie poniósł administrator. Ustalanie wysokości opłaty według przyjętego wcześniej taryfikatora może zostać uznane za niezgodne z RODO. Administrator danych powinien podjąć działania w celu zminimalizowania wysokości opłaty lub uniknięcia konieczności jej naliczenia, np. poprzez propozycję spełnienia żądania w tańszej formie elektronicznej. Podstawowym zadaniem administratora jest bowiem umożliwianie i ułatwianie wykonywania osobom, których dane dotyczą, praw przyznanych im przez RODO.

Ważne:

Opłaty nie służą ograniczeniu realizacji praw osób, których dane dotyczą, a mają jedynie zapobiegać nadużywaniu praw przez te podmioty.

To administrator danych musi wykazać, że żądanie osoby, której dane dotyczą, ma ewidentnie nieuzasadniony lub nadmierny charakter. Administrator będzie musiał ocenić żądanie lub żądania podmiotu danych przez pryzmat okoliczności faktycznych konkretnej sprawy. RODO nie daje tu bowiem żadnych konkretnych wskazówek. Biorąc pod uwagę, że naliczenie opłaty zostało dopuszczone w RODO tylko jako wyjątek od zasady, to powinno odbywać się jedynie w szczególnych przypadkach uporczywego lub nieuzasadnionego działania osoby, której dane dotyczą. Może zatem chodzić o takie działania podmiotów danych, których celem nie jest w rzeczywistości realizacja przysługujących praw, a sparaliżowanie bieżącej pracy administratora danych.

Agnieszka Kręcisz-Sarna

Autor: Agnieszka Kręcisz-Sarna

radca prawny, ekspert z zakresu postępowania administracyjnego. Prowadzi kompleksową obsługę prawną przedsiębiorców oraz świadczy pomoc prawną dla jednostek sektora finansów publicznych, m.in. dla organów nadzoru budowlanego

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Biblioteka ABI

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

SPRAWDŹ »

x
wiper-pixel