Rozdział 3 - PRAWA OSOBY, KTÓREJ DANE DOTYCZĄ - Rozporządzenie 2018/1725 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE
Dzienniki UE
Dz.U.UE.L.2018.295.39
Akt obowiązujący Wersja od: 21 listopada 2018 r.
ROZDZIAŁ III
PRAWA OSOBY, KTÓREJ DANE DOTYCZĄ
PRAWA OSOBY, KTÓREJ DANE DOTYCZĄ
przejrzystość oraz tryb korzystania z praw
przejrzystość oraz tryb korzystania z praw
Przejrzyste informowanie i przejrzysta komunikacja oraz tryb wykonywania praw przez osobę, której dane
dotyczą
1.
Administrator podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem - w szczególności gdy informacje są kierowane do dziecka - udzielić osobie, której dane dotyczą, wszelkich informacji dotyczących przetwarzania, o których mowa w art. 15 i 16, oraz przekazać jej wszelkie komunikaty na ten temat na mocy art. 17-24 i 35. Informacji udziela się na piśmie lub w inny sposób, w tym w stosownych przypadkach - elektronicznie. Jeżeli osoba, której dane dotyczą, tego zażąda, informacji można udzielić ustnie, o ile innymi sposobami potwierdzi się tożsamość osoby, której dane dotyczą.2.
Administrator ułatwia osobie, której dane dotyczą, wykonanie praw przysługujących jej na mocy art. 17-24. W przypadkach, o których mowa w art. 12 ust. 2, administrator nie odmawia podjęcia działań na żądanie osoby której dane dotyczą pragnącej wykonać prawa przysługujące jej na mocy art. 17-24, chyba że wykaże, iż nie jest w stanie zidentyfikować osoby, której dane dotyczą.3.
Administrator udziela osobie, której dane dotyczą, informacji o działaniach podjętych w związku z żądaniem na podstawie art. 17-24 bez zbędnej zwłoki, a w każdym razie w terminie miesiąca od otrzymania żądania. W razie potrzeby termin ten można przedłużyć o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań. W terminie miesiąca od otrzymania żądania administrator informuje osobę, której dane dotyczą, o takim przedłużeniu terminu z podaniem przyczyn opóźnienia. Jeśli osoba, której dane dotyczą, przekazała swoje żądanie elektronicznie, w miarę możliwości informacje są także przekazywane elektronicznie, chyba że osoba, której dane dotyczą, zażąda innej formy.4.
Jeżeli administrator nie podejmuje działań w związku z żądaniem osoby, której dane dotyczą, to niezwłocznie - najpóźniej w terminie miesiąca od otrzymania żądania - informuje osobę, której dane dotyczą, o powodach niepodjęcia działań oraz o możliwości wniesienia skargi do Europejskiego Inspektora Ochrony Danych oraz skorzystania ze środków ochrony prawnej przed sądem.5.
Informacje podawane na mocy art. 15 i 16 oraz wszelkie komunikaty i działania podejmowane na mocy art. 17-24 i 35 są wolne od opłat. Jeżeli żądania osoby, której dane dotyczą, są ewidentnie nieuzasadnione lub nadmierne, w szczególności ze względu na ich ustawiczny charakter, administrator może odmówić podjęcia działań w związku z żądaniem. Obowiązek wykazania, że żądanie ma ewidentnie nieuzasadniony lub nadmierny charakter, spoczywa na administratorze.6.
Bez uszczerbku dla art. 12, jeżeli administrator ma uzasadnione wątpliwości co do tożsamości osoby fizycznej składającej żądanie, o którym mowa w art. 17-23, może zażądać dodatkowych informacji niezbędnych do potwierdzenia tożsamości osoby, której dane dotyczą.7.
Informacje udzielane osobom, których dane dotyczą, na mocy art. 15 i 16 można opatrzyć standardowymi znakami graficznymi, które w widoczny, zrozumiały i czytelny sposób przedstawią sens zamierzonego przetwarzania. Jeżeli znaki te są przedstawione elektronicznie, muszą się nadawać do odczytu maszynowego.8.
Jeżeli Komisja przyjmuje akty delegowane zgodnie z art. 12 ust. 8 rozporządzenia (UE) 2016/679, które określają informacje mające zostać przedstawione za pomocą znaków graficznych i procedury ustanowienia standardowych znaków graficznych, instytucje i organy Unii w stosownych przypadkach przekazują informacje zgodnie z art. 15 i 16 niniejszego rozporządzenia w połączeniu z takimi standardowymi znakami graficznymi.
informacje i dostęp do danych osobowych
informacje i dostęp do danych osobowych
Informacje podawane w przypadku zbierania danych osobowych od osoby, której dane dotyczą
1.
Jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, podczas pozyskiwania danych osobowych administrator podaje jej wszystkie następujące informacje:a)
tożsamość i dane kontaktowe administratora;b)
dane kontaktowe inspektora ochrony danych;c)
cele przetwarzania danych osobowych oraz podstawę prawną przetwarzania;d)
informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;e)
w stosownych przypadkach informacje o zamiarze przekazania przez administratora danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu przez Komisję odpowiedniego stopnia ochrony lub braku odpowiedniego stopnia ochrony, lub w przypadku przekazania, o którym mowa w art. 48, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii tych zabezpieczeń lub o miejscu ich udostępnienia.2.
Poza informacjami, o których mowa w ust. 1, podczas pozyskiwania danych osobowych administrator podaje osobie, której dane dotyczą, następujące inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania:a)
okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;b)
informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania, lub, w stosownych przypadkach, o prawie do wniesienia sprzeciwu wobec przetwarzania lub o prawie do przenoszenia danych;c)
jeżeli przetwarzanie odbywa się na podstawie art. 5 ust. 1 lit. d) lub art. 10 ust. 2 lit. a) - informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;d)
informacje o prawie wniesienia skargi do Europejskiego Inspektora Ochrony Danych;e)
informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym, lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;f)
informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 24 ust. 1 i 4, oraz - przynajmniej w tych przypadkach - istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.3.
Jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym dane osobowe zostały zebrane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji, o których mowa w ust. 2.4.
Ustępy 1, 2 i 3 nie mają zastosowania, gdy osoba, której dane dotyczą, dysponuje już tymi informacjami i w zakresie, w jakim nimi dysponuje.Informacje podawane w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą
1.
Jeżeli danych osobowych nie pozyskano od osoby, której dane dotyczą, administrator podaje osobie, której dane dotyczą, następujące informacje:a)
tożsamość i dane kontaktowe administratora;b)
dane kontaktowe inspektora ochrony danych;c)
cele przetwarzania danych osobowych oraz podstawę prawną przetwarzania;d)
kategorie odnośnych danych osobowych;e)
informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;f)
w stosownych przypadkach - informacje o zamiarze przekazania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej oraz o stwierdzeniu przez Komisję odpowiedniego stopnia ochrony lub braku odpowiedniego stopnia ochrony, lub w przypadku przekazania, o którym mowa w art. 48, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych.2.
Poza informacjami, o których mowa w ust. 1, administrator podaje osobie, której dane dotyczą, następujące dalsze informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania wobec osoby, której dane dotyczą:a)
okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;b)
informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania, lub, w stosownych przypadkach, o prawie do wniesienia sprzeciwu wobec przetwarzania lub o prawie do przenoszenia danych;c)
jeżeli przetwarzanie odbywa się na podstawie art. 5 ust. 1 lit. d) lub art. 10 ust. 2 lit. a) - informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;d)
informacje o prawie wniesienia skargi do Europejskiego Inspektora Ochrony Danych;e)
źródło pochodzenia danych osobowych, a gdy ma to zastosowanie - czy pochodzą one ze źródeł publicznie dostępnych;f)
informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 24 ust. 1 i 4, oraz - co najmniej w tych przypadkach - istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.3.
Informacje, o których mowa w ust. 1 i 2, administrator podaje:a)
w rozsądnym terminie po pozyskaniu danych osobowych - najpóźniej w ciągu miesiąca - mając na uwadze konkretne okoliczności przetwarzania danych osobowych;b)
jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą - najpóźniej przy pierwszej takiej komunikacji z osobą, której dane dotyczą; lubc)
jeżeli planuje się ujawnić dane osobowe innemu odbiorcy - najpóźniej przy ich pierwszym ujawnieniu.4.
Jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym te dane zostały pozyskane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o innym celu przetwarzania oraz udziela jej wszelkich innych stosownych informacji, o których mowa w ust. 2.5.
Ust. 1- 4 nie mają zastosowania, gdy - i w zakresie, w jakim:a)
osoba, której dane dotyczą, dysponuje już tymi informacjami;b)
udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku, w szczególności w przypadku przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych, lub do celów statystycznych lub o ile obowiązek, o którym mowa w ust. 1 niniejszego artykułu, może uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania;c)
pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą; lubd)
dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii, w tym ustawowym obowiązkiem zachowania tajemnicy.6.
W przypadkach, o których mowa w ust. 5 lit. b), administrator podejmuje odpowiednie środki, by chronić prawa i wolności oraz prawnie uzasadniony interes osoby, której dane dotyczą, w tym przy publicznym udostępnianiu informacji.Prawo dostępu przysługujące osobie, której dane dotyczą
1.
Osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz następujących informacji:a)
cele przetwarzania;b)
kategorie odnośnych danych osobowych;c)
informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych;d)
w miarę możliwości planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu;e)
informacje o prawie do żądania od administratora sprostowania lub usunięcia danych osobowych dotyczących osoby, której dane dotyczą, lub ograniczenia ich przetwarzania, oraz do wniesienia sprzeciwu wobec takiego przetwarzania;f)
informacje o prawie wniesienia skargi do Europejskiego Inspektora Ochrony Danych;g)
jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą - wszelkie dostępne informacje o ich źródle;h)
informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 24 ust. 1 i 4, oraz - co najmniej w tych przypadkach - istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.2.
Jeżeli dane osobowe są przekazywane do państwa trzeciego lub organizacji międzynarodowej, osoba, której dane dotyczą, ma prawo zostać poinformowana o odpowiednich zabezpieczeniach, o których mowa w art. 48, związanych z przekazaniem.3.
Administrator dostarcza osobie, której dane dotyczą, kopię danych osobowych podlegających przetwarzaniu. Jeżeli osoba, której dane dotyczą, zwraca się o kopię drogą elektroniczną i jeżeli nie zaznaczy inaczej, informacji udziela się w powszechnie stosowanej formie elektronicznej.4.
Prawo do uzyskania kopii, o której mowa w ust. 3, nie może niekorzystnie wpływać na prawa i wolności innych.
sprostowanie i usuwanie danych
sprostowanie i usuwanie danych
Prawo do sprostowania danych
Osoba, której dane dotyczą, ma prawo zażądać od administratora niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe. Z uwzględnieniem celów przetwarzania, osoba, której dane dotyczą, ma prawo zażądać uzupełnienia niekompletnych danych osobowych, w tym poprzez przedstawienie dodatkowego oświadczenia.
Prawo do usunięcia danych ("prawo do bycia zapomnianym")
1.
Osoba, której dane dotyczą, ma prawo zażądać od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności:a)
dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;b)
osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie zgodnie z art. 5 ust. 1 lit. d) lub art. 10 ust. 2 lit. a), i nie ma innej podstawy prawnej przetwarzania;c)
osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 23 ust. 1 wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania;d)
dane osobowe były przetwarzane niezgodnie z prawem;e)
dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego, któremu podlega administrator;f)
dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust. 1.2.
Jeżeli administrator upublicznił dane osobowe, a na mocy ust. 1 ma obowiązek usunąć te dane osobowe, to - biorąc pod uwagę dostępną technologię i koszt realizacji - podejmuje rozsądne działania, w tym środki techniczne, by poinformować administratorów lub administratorów innych, niż instytucje i organy Unii przetwarzających te dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje.3.
Ustępy 1 i 2 nie mają zastosowania, w zakresie w jakim przetwarzanie jest niezbędne:a)
do korzystania z prawa do wolności wypowiedzi i informacji;b)
do wywiązania się z prawnego obowiązku, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;c)
z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego zgodnie z art. 10 ust. 2 lit. h) oraz i) i art. 10 ust. 3;d)
do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych, lub do celów statystycznych, o ile prawdopodobne jest, że prawo, o którym mowa w ust. 1, uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania lube)
do ustalenia, dochodzenia lub obrony roszczeń.Prawo do ograniczenia przetwarzania
1.
Osoba, której dane dotyczą, ma prawo zażądać od administratora ograniczenia przetwarzania w następujących przypadkach:a)
osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych - na okres pozwalający administratorowi sprawdzić prawidłowość tych danych, w tym ich kompletności;b)
przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania;c)
administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń;d)
osoba, której dane dotyczą, wniosła sprzeciw na mocy art. 23 ust. 1 wobec przetwarzania - do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie administratora są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą.2.
Jeżeli na mocy ust. 1 przetwarzanie zostało ograniczone, takie dane osobowe można przetwarzać, z wyjątkiem przechowywania, wyłącznie za zgodą osoby, której dane dotyczą, lub w celu ustalenia, dochodzenia lub obrony roszczeń, lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na ważne względy interesu publicznego Unii lub państwa członkowskiego.3.
Przed uchyleniem ograniczenia przetwarzania administrator informuje o tym osobę, której dane dotyczą, która żądała ograniczenia na mocy ust. 1.4.
W zautomatyzowanych zbiorach danych ograniczenie przetwarzania danych osobowych należy zasadniczo zapewnić za pomocą środków technicznych. Fakt, że dostęp do danych osobowych jest ograniczony, wskazuje się w systemie w taki sposób, aby było jasne, że dane osobowe nie mogą być wykorzystane.Obowiązek powiadomienia o sprostowaniu lub usunięciu danych osobowych lub o ograniczeniu przetwarzania
Administrator informuje o sprostowaniu lub usunięciu danych osobowych lub ograniczeniu przetwarzania, których dokonał zgodnie z art. 18, art. 19 ust. 1 i art. 20, każdego odbiorcę, któremu ujawniono dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. Administrator informuje osobę, której dane dotyczą, o tych odbiorcach, jeżeli osoba, której dane dotyczą, tego zażąda.
Prawo do przenoszenia danych
1.
Osoba, której dane dotyczą, ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące, które dostarczyła administratorowi, oraz ma prawo przesłać te dane osobowe innemu administratorowi bez przeszkód ze strony administratora, któremu dostarczono te dane osobowe, jeżeli:a)
przetwarzanie odbywa się na podstawie zgody w myśl art. 5 ust. 1 lit. d) lub art. 10 ust. 2 lit. a), lub na podstawie umowy w myśl art. 5 ust. 1 lit. c) orazb)
przetwarzanie odbywa się w sposób zautomatyzowany.2.
Wykonując prawo do przenoszenia danych na mocy ust. 1, osoba, której dane dotyczą, ma prawo żądania, by dane osobowe zostały przesłane przez administratora bezpośrednio innemu administratorowi lub administratorom innym, niż instytucje i organy Unii, o ile jest to technicznie możliwe.3.
Wykonanie prawa, o którym mowa w ust. 1 niniejszego artykułu, nie narusza art. 19. Prawo to nie ma zastosowania do przetwarzania, które jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi.4.
Prawo, o którym mowa w ust. 1, nie może niekorzystnie wpływać na prawa i wolności innych.
prawo do sprzeciwu oraz zautomatyzowane podejmowanie decyzji w indywidualnych przypadkach
prawo do sprzeciwu oraz zautomatyzowane podejmowanie decyzji w indywidualnych przypadkach
Prawo do sprzeciwu
1.
Osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw - z przyczyn związanych z jej szczególną sytuacją - wobec przetwarzania dotyczących jej danych osobowych opartego na art. 5 ust. 1 lit. a), w tym profilowania na podstawie tego przepisu. Administratorowi nie wolno już przetwarzać tych danych osobowych, chyba że wykaże on istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń.2.
Najpóźniej przy okazji pierwszej komunikacji z osobą, której dane dotyczą, wyraźnie informuje się ją o prawie, o którym mowa w ust. 1, oraz przedstawia się je jasno i odrębnie od wszelkich innych informacji.3.
Bez uszczerbku dla art. 36 i 37 oraz w związku z korzystaniem z usług społeczeństwa informacyjnego, osoba, której dane dotyczą, może wykonać prawo do sprzeciwu za pośrednictwem zautomatyzowanych środków wykorzystujących specyfikacje techniczne.4.
Jeżeli dane osobowe są przetwarzane do celów badań naukowych lub historycznych, lub do celów statystycznych, osoba, której dane dotyczą, ma prawo wnieść sprzeciw - z przyczyn związanych z jej szczególną sytuacją - wobec przetwarzania dotyczących jej danych osobowych, chyba że przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym.Zautomatyzowane podejmowanie decyzji w indywidualnych przypadkach, w tym profilowanie
1.
Osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na przetwarzaniu zautomatyzowanym, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa.2.
Ustęp 1 nie ma zastosowania, jeżeli ta decyzja:a)
jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem;b)
jest dozwolona prawem Unii, które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą lubc)
opiera się na wyraźnej zgodzie osoby, której dane dotyczą.3.
W przypadkach, o których mowa w ust. 2 lit. a) i c), administrator wdraża właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą, a co najmniej prawa do uzyskania interwencji ludzkiej ze strony administratora, do wyrażenia własnego stanowiska i do zakwestionowania tej decyzji.4.
Decyzje, o których mowa w ust. 2 niniejszego artykułu, nie mogą opierać się na szczególnych kategoriach danych osobowych, o których mowa w art. 10 ust. 1, chyba że zastosowanie ma art. 10 ust. 2 lit. a) lub g) i istnieją właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą.
ograniczenia
ograniczenia
Ograniczenia
1.
Akty prawne przyjęte na podstawie Traktatów lub, w sprawach odnoszących się do działalności instytucji i organów Unii, przepisy wewnętrzne przyjęte przez te instytucje i organy mogą ograniczyć zastosowanie art. 14-22, 35 i 36, a także art. 4 - o ile ich przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 14-22 - jeżeli ograniczenie takie nie narusza istoty podstawowych praw i wolności oraz jest w demokratycznym społeczeństwie środkiem niezbędnym i proporcjonalnym, służącym:a)
bezpieczeństwu narodowemu, bezpieczeństwu publicznemu lub obronności państw członkowskich;b)
zapobieganiu przestępczości, prowadzeniu postępowań przygotowawczych, wykrywaniu i ściganiu czynów zabronionych lub wykonywaniu kar, w tym ochronie przed zagrożeniami dla bezpieczeństwa publicznego i zapobieganiu takim zagrożeniom;c)
innym ważnym celom leżącym w ogólnym interesie publicznym Unii lub państwa członkowskiego, w szczególności celom wspólnej polityki zagranicznej i bezpieczeństwa Unii lub ważnemu interesowi gospodarczemu lub finansowemu Unii lub państwa członkowskiego, w tym kwestiom pieniężnym, budżetowym i podatkowym, zdrowiu publicznemu i zabezpieczeniu społecznemu;d)
bezpieczeństwu wewnętrznemu instytucji i organów Unii, w tym ich sieci łączności elektronicznej;e)
ochronie niezależności sądów i postępowania sądowego;f)
zapobieganiu naruszeniom zasad etyki w zawodach regulowanych, prowadzeniu postępowań w takich sprawach, ich wykrywaniu oraz ściganiu;g)
funkcjom kontrolnym, inspekcyjnym lub regulacyjnym związanym, nawet sporadycznie, ze sprawowaniem władzy publicznej w przypadkach, o których mowa w lit. a) - c);h)
ochronie osoby, której dane dotyczą, lub praw i wolności innych osób;i)
egzekucji roszczeń cywilnoprawnych.2.
W szczególności wszelkie akty prawne lub przepisy wewnętrzne, o których mowa w ust. 1, zawierają w stosownych przypadkach szczegółowe postanowienia dotyczące:a)
celów lub kategorii przetwarzania;b)
kategorii danych osobowych;c)
zakresu wprowadzonych ograniczeń;d)
zabezpieczeń zapobiegających nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu;e)
określenia administratora lub kategorii administratorów;f)
okresów przechowywania oraz mających zastosowanie zabezpieczeń z uwzględnieniem charakteru, zakresu i celów lub kategorii przetwarzania orazg)
ryzyka naruszenia praw lub wolności osób, których dane dotyczą.3.
W przypadku przetwarzania danych osobowych do celów badań naukowych lub historycznych, lub do celów statystycznych, prawo Unii, które może obejmować przepisy wewnętrzne przyjęte przez instytucje lub organy Unii w kwestiach dotyczących ich funkcjonowania, może przewidywać odstępstwa od praw, o których mowa w art. 17, 18, 20 i 23, z zastrzeżeniem warunków i zabezpieczeń, o których mowa w art. 13, w zakresie, w jakim jest prawdopodobne, że prawa te uniemożliwią lub poważnie utrudnią realizację wspomnianych konkretnych celów, i jeżeli odstępstwa te są konieczne do realizacji tych celów.4.
W przypadku przetwarzania danych osobowych do celów archiwalnych w interesie publicznym prawo Unii, które może obejmować przepisy wewnętrzne przyjęte przez instytucje lub organy Unii w kwestiach dotyczących ich funkcjonowania, może przewidywać odstępstwa od praw, o których mowa w art. 17, 18, 20, 21, 22 i 23, z zastrzeżeniem warunków i zabezpieczeń, o których mowa w art. 13, w zakresie, w jakim jest prawdopodobne, że prawa te uniemożliwią lub poważnie utrudnią realizację wspomnianych konkretnych celów, i jeżeli odstępstwa te są konieczne do realizacji tych celów.5.
Przepisy wewnętrzne, o których mowa w ust. 1, 3 i 4, powinny mieć formę jasnych i precyzyjnych aktów o zasięgu ogólnym, których celem jest wywarcie skutków prawnych wobec osób, których dane dotyczą, przyjętych na najwyższym szczeblu kierownictwa instytucji i organów Unii i powinny być publikowane w Dzienniku Urzędowym Unii Europejskiej.6.
Jeżeli nałożono ograniczenie zgodnie z ust. 1, osoba, której dane dotyczą, zostaje poinformowana zgodnie z prawem Unii o podstawowych powodach zastosowania ograniczenia oraz przysługującym jej prawie do wniesienia skargi do Europejskiego Inspektora Ochrony Danych.7.
Jeżeli osobie, której dane dotyczą, odmówiono dostępu do danych w oparciu o ograniczenie nałożone zgodnie z ust. 1, Europejski Inspektor Ochrony Danych po rozważeniu skargi informuje daną osobę, czy dane zostały przetworzone prawidłowo, a jeżeli nie, czy dokonano koniecznych poprawek.8.
Można wstrzymać przekazanie informacji, o których mowa w ust. 6 i 7 niniejszego artykułu oraz w art. 45 ust. 2, pominąć je lub go odmówić, gdyby mogło ono unieważnić skutek ograniczenia nałożonego zgodnie z ust. 1 niniejszego artykułu.© Unia Europejska, http://eur-lex.europa.eu/
Za autentyczne uważa się wyłącznie dokumenty Unii Europejskiej opublikowane w Dzienniku Urzędowym Unii Europejskiej.