Nawigacja
RODO > Artyku艂 15. Prawo dost臋pu przys艂uguj膮ce osobie, kt贸rej dane dotycz膮
Pobierz jako plik PDF

Artyku艂 15 RODO. Prawo dost臋pu przys艂uguj膮ce osobie, kt贸rej dane dotycz膮

Article 15 GDPR. Right of access by the data subject

1. Osoba, kt贸rej dane dotycz膮, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane s膮 dane osobowe jej dotycz膮ce, a je偶eli ma to miejsce, jest uprawniona do uzyskania dost臋pu do nich oraz nast臋puj膮cych informacji:

1. The data subject shall have the right to obtain from the controller confirmation as to whether or not personal data concerning him or her are being processed, and, where that is the case, access to the personal data and the following information:

Komentarz eksperta
(EN) Author
Siarhei Varankevich
(EN) Siarhei Varankevich CIPP/E, CIPM, CIPT, MBA, FIP
FIP_IAPP
(EN) Co-Founder & CEO of Data Privacy Office LLC. Data Protection Trainer and Principal Consultant

a) cele przetwarzania;

(a)聽the purposes of the processing;

b) kategorie odno艣nych danych osobowych;

(b)聽the categories of personal data concerned;

c) informacje o odbiorcach lub kategoriach odbiorc贸w, kt贸rym dane osobowe zosta艂y lub zostan膮 ujawnione, w szczeg贸lno艣ci o odbiorcach w pa艅stwach trzecich lub organizacjach mi臋dzynarodowych;

(c)聽the recipients or categories of recipient to whom the personal data have been or will be disclosed, in particular recipients in third countries or international organisations;

d) w miar臋 mo偶liwo艣ci planowany okres przechowywania danych osobowych, a gdy nie jest to mo偶liwe, kryteria ustalania tego okresu;

(d)聽where possible, the envisaged period for which the personal data will be stored, or, if not possible, the criteria used to determine that period;

e) informacje o prawie do 偶膮dania od administratora sprostowania, usuni臋cia lub ograniczenia przetwarzania danych osobowych dotycz膮cego osoby, kt贸rej dane dotycz膮, oraz do wniesienia sprzeciwu wobec takiego przetwarzania;

(e)聽the existence of the right to request from the controller rectification or erasure of personal data or restriction of processing of personal data concerning the data subject or to object to such processing;

f) informacje o prawie wniesienia skargi do organu nadzorczego;

(f)聽the right to lodge a complaint with a supervisory authority;

g) je偶eli dane osobowe nie zosta艂y zebrane od osoby, kt贸rej dane dotycz膮 鈥 wszelkie dost臋pne informacje o ich 藕r贸dle;

(g)聽where the personal data are not collected from the data subject, any available information as to their source;

h) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o kt贸rym mowa w art. 22 ust. 1 i 4, oraz 鈥 przynajmniej w tych przypadkach 鈥 istotne informacje o zasadach ich podejmowania, a tak偶e o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, kt贸rej dane dotycz膮.

(h)聽the existence of automated decision-making, including profiling, referred to in Article聽22(1) and (4) and, at least in those cases, meaningful information about the logic involved, as well as the significance and the envisaged consequences of such processing for the data subject.

Powi膮zane teksty

2. Je偶eli dane osobowe s膮 przekazywane do pa艅stwa trzeciego lub organizacji mi臋dzynarodowej, osoba, kt贸rej dane dotycz膮, ma prawo zosta膰 poinformowana o odpowiednich zabezpieczeniach, o kt贸rych mowa w art. 46, zwi膮zanych z przekazaniem.

2. Where personal data are transferred to a third country or to an international organisation, the data subject shall have the right to be informed of the appropriate safeguards pursuant to Article 46 relating to the transfer.

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraphs to article 15(2) GDPR:

7.3.2 Determining information for PII principals

Control

The organization should determine and document the information to be provided to PII principals regarding the processing of their PII and the timing of such a provision.

Implementation guidance

The organization should determine the legal, regulatory and/or business requirements for when information is to be provided to the PII principal (e.g. prior to processing, within a certain time from when it is requested, etc.) and for the type of information to be provided.


aby uzyska膰 dost臋p do pe艂nego tekstu

Powi膮zane teksty

3. Administrator dostarcza osobie, kt贸rej dane dotycz膮, kopi臋 danych osobowych podlegaj膮cych przetwarzaniu. Za wszelkie kolejne kopie, o kt贸re zwr贸ci si臋 osoba, kt贸rej dane dotycz膮, administrator mo偶e pobra膰 op艂at臋 w rozs膮dnej wysoko艣ci wynikaj膮cej z koszt贸w administracyjnych. Je偶eli osoba, kt贸rej dane dotycz膮, zwraca si臋 o kopi臋 drog膮 elektroniczn膮 i je偶eli nie zaznaczy inaczej, informacji udziela si臋 powszechnie stosowan膮 drog膮 elektroniczn膮.

3. The controller shall provide a copy of the personal data undergoing processing. For any further copies requested by the data subject, the controller may charge a reasonable fee based on administrative costs. Where the data subject makes the request by electronic means, and unless otherwise requested by the data subject, the information shall be provided in a commonly used electronic form.

ISO 27701

(RU)

ISO/IEC 27701, 锌褉懈薪褟褌褘泄 胁 2019, 写芯斜邪胁懈谢 写芯锌芯谢薪懈褌械谢褜薪芯械 褉褍泻芯胁芯写褋褌胁芯 泻 ISO/IEC 27002 写谢褟 泻芯薪褌褉芯谢械褉芯胁 锌械褉褋芯薪邪谢褜薪褘褏 写邪薪薪褘褏 (袩袠袠).

袩褉懈胁芯写懈屑 褋芯芯褌胁械褌褋褌胁褍褞褖懈泄 锌邪褉邪谐褉邪褎 泻 褋褌邪褌褜械 15(3) GDPR:

8.3.1 袨斜褟蟹邪褌械谢褜褋褌胁邪 锌芯 芯褌薪芯褕械薪懈褞 泻 褋褍斜褗械泻褌邪屑 袩袠袠

小褉械写褋褌胁芯 褍锌褉邪胁谢械薪懈褟

袨褉谐邪薪懈蟹邪褑懈褟 写芯谢卸薪邪 芯斜械褋锌械褔懈褌褜 泻谢懈械薪褌邪 屑械褏邪薪懈蟹屑邪屑懈 胁褘锌芯谢薪械薪懈褟 褋胁芯懈褏 芯斜褟蟹邪褌械谢褜褋褌胁, 褋胁褟蟹邪薪薪褘褏 褋 锌褉懈薪褑懈锌邪屑懈 袩袠袠.

袪褍泻芯胁芯写褋褌胁芯 锌芯 胁薪械写褉械薪懈褞

袨斜褟蟹邪薪薪芯褋褌懈 泻芯薪褌褉芯谢械褉邪 袩袠袠 屑芯谐褍褌 斜褘褌褜 芯锌褉械写械谢械薪褘 蟹邪泻芯薪芯写邪褌械谢褜褋褌胁芯屑, 褉械谐谢邪屑械薪褌芯屑 懈 / 懈谢懈 写芯谐芯胁芯褉芯屑.


aby uzyska膰 dost臋p do pe艂nego tekstu

4. Prawo do uzyskania kopii, o kt贸rej mowa w ust. 3, nie mo偶e niekorzystnie wp艂ywa膰 na prawa i wolno艣ci innych.

4. The right to obtain a copy referred to in paragraph 3 shall not adversely affect the rights and freedoms of others.

Komentarz eksperta ISO 27701 Motywy Wytyczne & Case Law zostaw komentarz
Komentarz eksperta

(EN)

Data Subject Request Letter Sample

Concern: Request to access my personal data

Dear Madam, Dear Sir,

I would like to know if you have any data concerning me, processed manually or by automated means, whether stored in digital databases or paper files鈥


aby uzyska膰 dost臋p do pe艂nego tekstu

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraphs to article 15 GDPR:

7.3.2 Determining information for PII principals

Control

The organization should determine and document the information to be provided to PII principals regarding the processing of their PII and the timing of such a provision.

Implementation guidance

The organization should determine the legal, regulatory and/or business requirements for when information is to be provided to the PII principal (e.g. prior to processing, within a certain time from when it is requested, etc.) and for the type of information to be provided.


aby uzyska膰 dost臋p do pe艂nego tekstu

Motywy

(63) Ka偶da osoba fizyczna powinna mie膰 prawo dost臋pu do zebranych danych jej dotycz膮cych oraz powinna mie膰 mo偶liwo艣膰 艂atwego wykonywania tego prawa w rozs膮dnych odst臋pach czasu, by mie膰 艣wiadomo艣膰 przetwarzania i m贸c zweryfikowa膰 zgodno艣膰 przetwarzania z prawem. Obejmuje to prawo dost臋pu os贸b, kt贸rych dane dotycz膮, do danych dotycz膮cych ich zdrowia, na przyk艂ad do danych w dokumentacji medycznej zawieraj膮cej takie informacje, jak diagnoza, wyniki bada艅, oceny dokonywane przez lekarzy prowadz膮cych, stosowane terapie czy przeprowadzone zabiegi. Dlatego te偶 ka偶da osoba, kt贸rej dane dotycz膮, powinna mie膰 prawo do wiedzy i informacji, w szczeg贸lno艣ci w zakresie cel贸w, w jakich dane osobowe s膮 przetwarzane, w miar臋 mo偶liwo艣ci okresu, przez jaki dane osobowe s膮 przetwarzane, odbiorc贸w danych osobowych, za艂o偶e艅 ewentualnego zautomatyzowanego przetwarzania danych osobowych oraz, przynajmniej w przypadku profilowania, konsekwencji takiego przetwarzania. W miar臋 mo偶liwo艣ci administrator powinien mie膰 mo偶liwo艣膰 udzielania zdalnego dost臋pu do bezpiecznego systemu, kt贸ry zapewni osobie, kt贸rej dane dotycz膮, bezpo艣redni dost臋p do jej danych osobowych. Prawo to nie powinno negatywnie wp艂ywa膰 na prawa lub wolno艣ci innych os贸b, w tym tajemnice handlowe lub w艂asno艣膰 intelektualn膮, w szczeg贸lno艣ci na prawa autorskie chroni膮ce oprogramowanie. Wzgl臋dy te nie powinny jednak skutkowa膰 odmow膮 udzielenia osobie, kt贸rej dane dotycz膮, jakichkolwiek informacji. Je偶eli administrator przetwarza du偶e ilo艣ci informacji o osobie, kt贸rej dane dotycz膮, powinien on mie膰 mo偶liwo艣膰 za偶膮dania, przed podaniem informacji, by osoba, kt贸rej dane dotycz膮, sprecyzowa艂a informacje lub czynno艣ci przetwarzania, kt贸rych dotyczy jej 偶膮danie.

(63) A data subject should have the right of access to personal data which have been collected concerning him or her, and to exercise that right easily and at reasonable intervals, in order to be aware of, and verify, the lawfulness of the processing. This includes the right for data subjects to have access to data concerning their health, for example the data in their medical records containing information such as diagnoses, examination results, assessments by treating physicians and any treatment or interventions provided. Every data subject should therefore have the right to know and obtain communication in particular with regard to the purposes for which the personal data are processed, where possible the period for which the personal data are processed, the recipients of the personal data, the logic involved in any automatic personal data processing and, at least when based on profiling, the consequences of such processing. Where possible, the controller should be able to provide remote access to a secure system which would provide the data subject with direct access to his or her personal data. That right should not adversely affect the rights or freedoms of others, including trade secrets or intellectual property and in particular the copyright protecting the software. However, the result of those considerations should not be a refusal to provide all information to the data subject. Where the controller processes a large quantity of information concerning the data subject, the controller should be able to request that, before the information is delivered, the data subject specify the information or processing activities to which the request relates.

(64) Administrator powinien skorzysta膰 z wszelkich rozs膮dnych 艣rodk贸w w celu zweryfikowania to偶samo艣ci 偶膮daj膮cej dost臋pu osoby, kt贸rej dane dotycz膮, w szczeg贸lno艣ci w kontek艣cie us艂ug internetowych i identyfikator贸w internetowych. Administrator nie powinien zatrzymywa膰 danych osobowych wy艂膮cznie w celu reagowania na ewentualne 偶膮dania.

(64) The controller should use all reasonable measures to verify the identity of a data subject who requests access, in particular in the context of online services and online identifiers. A controller should not retain personal data for the sole purpose of being able to react to potential requests.

Wytyczne & Case Law zostaw komentarz
[js-disqus]