A. Prawo do informacji
- Administrator, podczas pozyskiwania danych osobowych, jest zobowiązany podać osobie, od której dane pochodzą, wszystkie następujące informacje:
- swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela,
- gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych,
- cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania,
- informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją,
- gdy ma to zastosowanie – informacje o zamiarze przekazania Danych osobowych do państwa trzeciego lub organizacji międzynarodowej,
- okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu,
- informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych.
- Jeżeli Administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym dane osobowe zostały zebrane, przed takim dalszym przetwarzaniem zobowiązany jest on poinformować podmiot danych o tym innym celu oraz udziela jemu wszelkich innych stosownych informacji.
B. Prawo do wycofania zgody na przetwarzanie danych osobowych
- Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę na przetwarzanie danych osobowych. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem.
C. Prawo dostępu do danych osobowych
- Podmiot danych jest uprawniony do uzyskania od Administratora potwierdzenia, czy przetwarzane są dotyczące jego Dane osobowe, a jeżeli ma to miejsce, jest uprawniony do uzyskania dostępu do nich oraz następujących informacji:
- cele przetwarzania;
- kategorie odnośnych danych osobowych;
- informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych;
- w miarę możliwości planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
- informacje o prawie do żądania od Administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych oraz do wniesienia sprzeciwu wobec takiego przetwarzania;
- informacje o prawie wniesienia skargi do organu nadzorczego;
- jeżeli dane osobowe nie zostały zebrane od podmiotu danych – wszelkie dostępne informacje o ich źródle;
- informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4 RODO, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
- Administrator jest zobowiązany dostarczyć Podmiotowi danych kopię Danych osobowych. Za wszelkie kolejne kopie, o które zwróci się osoba, której dane dotyczą, Administrator może pobrać opłatę w rozsądnej wysokości wynikającej z kosztów administracyjnych. Jeżeli Podmiot danych zwraca się o kopię drogą elektroniczną i jeżeli nie zaznaczy inaczej, informacji udziela się powszechnie stosowaną drogą elektroniczną.
D. Prawo do żądania sprostowania i usunięcia danych osobowych
- Podmiot danych ma prawo żądania od Administratora niezwłocznego sprostowania dotyczących jego danych osobowych, które są nieprawidłowe. Z uwzględnieniem celów przetwarzania, podmiot danych ma prawo żądania uzupełnienia niekompletnych danych osobowych, w tym poprzez przedstawienie dodatkowego oświadczenia.
- Podmiot danych jest uprawniony do żądania od Administratora niezwłocznego usunięcia dotyczących jego danych osobowych, a Administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności:
- dane osobowe nie są już niezbędne dla celów, w których zostały zebrane lub w inny sposób przetwarzane,
- podmiot danych cofnął zgodę, na której opiera się przetwarzanie zgodnie z art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) RODO i nie ma innej podstawy prawnej przetwarzania,
- podmiot danych wnosi sprzeciw na mocy art. 21 ust. 1 RODO wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub podmiot danych wnosi sprzeciw na mocy art. 21 ust. 2 RODO wobec przetwarzania,
- dane osobowe były przetwarzane niezgodnie z prawem,
- dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega Administrator,
- dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust. 1 RODO.
- Uprawnienia podmiotu danych wskazane w punkcie 2 powyżej nie obowiązują w zakresie, w jakim przetwarzanie jest niezbędne do korzystania z prawa do wolności wypowiedzi i informacji, do ustalenia, dochodzenia lub obrony roszczeń, do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega Administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej Administratorowi, z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego zgodnie z art. 9 ust. 2 lit. h) oraz i) RODO i art. 9 ust. 3 RODO do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1 RODO, o ile prawdopodobne jest, że uprawnienie to uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania.
- Administrator jest zobowiązany do przekazania podmiotowi danych informacji o sprostowaniu lub usunięciu danych osobowych, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie znacznego wysiłku.
E. Prawo do ograniczenia przetwarzania danych osobowych
- Podmiot danych ma prawo żądania od Administratora ograniczenia przetwarzania jej danych osobowych w następujących przypadkach:
- Podmiot danych kwestionuje prawidłowość danych osobowych – na okres pozwalający Administratorowi na sprawdzenie ich prawidłowości,
- przetwarzanie jest niezgodne z prawem, a Podmiot danych sprzeciwia się usunięciu danych osobowych, domagając się w zamian ograniczenia ich wykorzystywania,
- Administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne podmiotowi danych do ustalenia, dochodzenia lub obrony roszczeń,
- Podmiot danych wniósł sprzeciw wobec przetwarzania na mocy art. 21 ust. 1 RODO – do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie administratora są nadrzędne wobec podstaw sprzeciwu podmiotu danych.
- Administrator jest zobowiązany do przekazania podmiotowi danych informacji o ograniczeniu przetwarzania danych osobowych, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie znacznego wysiłku.
F. Prawo do przenoszenia danych osobowych
- Podmiot danych jest uprawniony do otrzymania w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dotyczące go dane osobowe dostarczone Administratorowi, oraz ma prawo przesłać te dane osobowe innemu administratorowi bez przeszkód ze strony Administratora, w przypadku gdy przetwarzanie odbywa się w sposób zautomatyzowany oraz a) w oparciu o zgodę podmiotu danych lub b) jest niezbędne dla wykonania umowy.
- Wykonując uprawnienie określone powyżej, podmiot danych ma prawo żądania, by dane osobowe zostały przesłane przez Administratora bezpośrednio innemu administratorowi, o ile jest to technicznie możliwe. Uprawnienie to nie ma zastosowania do przetwarzania, które jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej Administratorowi. Uprawnienie to nie może również niekorzystnie wpływać na prawa i wolności innych podmiotów.
G. Prawo do sprzeciwu i prawa związane ze zautomatyzowanym podejmowaniem decyzji w indywidualnych przypadkach
- Podmiot danych ma prawo w dowolnym momencie wnieść sprzeciw – z przyczyn związanych z jego szczególną sytuacją – wobec przetwarzania dotyczących jego danych osobowych opartego na art. 6 ust. 1 lit. e) lub f) RODO, w tym profilowania na podstawie tych przepisów. Administratorowi nie wolno już przetwarzać tych danych osobowych, chyba że wykaże on istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń.
- Jeżeli dane osobowe są przetwarzane przez Administratora na potrzeby marketingu bezpośredniego, podmiot danych ma prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania dotyczących jej danych osobowych na potrzeby takiego marketingu, w tym profilowania, w zakresie, w jakim przetwarzanie jest związane z takim marketingiem bezpośrednim.
- Jeżeli podmiot danych wniesie sprzeciw wobec przetwarzania do celów marketingu bezpośredniego, danych osobowych nie wolno już przetwarzać do takich celów.
- Jeżeli dane osobowe są przetwarzane do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1 RODO, podmiot danych ma prawo wnieść sprzeciw – z przyczyn związanych z jego szczególną sytuacją – wobec przetwarzania dotyczącego jego danych osobowych, chyba że przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym.
- Podmiot danych ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec niego skutki prawne lub w podobny sposób istotnie na niego wpływa, chyba że decyzja ta jest niezbędna do zawarcia lub wykonania umowy między podmiotem danych a Administratorem; jest dozwolona prawem Unii lub prawem państwa członkowskiego, któremu podlega Administrator i które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów podmiotu danych lub opiera się na wyraźnej zgodzie podmiotu danych.