Przedsiębiorcy mają prawo pozyskiwać i przetwarzać dane swoich klientów. I tak długo jak trwa więź łącząca firmę z osobą fizyczną, istnieje cel uzasadniający potrzebę przetwarzania danych, a te są adekwatne do niego, tak długo proces ten będzie prawidłowy. Jednocześnie na podstawie przepisów ustawy o ochronie danych osobowych (DzU z 2002 r. nr 101, poz. 926 ze zm.), każdej osobie, której dane podlegają procesowi przetwarzania, przysługuje szereg uprawnień kontrolnych.
Prawo do kontroli
Są one wymienione w art. 32–35 wskazanej ustawy. I tak, na podstawie pierwszego z nich, każdej osobie, której dane dotyczą, przysługuje prawo do kontroli przetwarzania danych, a zwłaszcza do uzyskania wyczerpującej informacji, m.in. na temat: czy taki zbiór istnieje, kto jest jego administratorem, adresu, siedziby, pełnej nazwy takiego administratora, celu, zakresu i sposobu przetwarzania danych. Wolno także domagać się informacji, od jakiego czasu przetwarza się informacje w zbiorze oraz podania w powszechnie zrozumiałej formie treści tych danych oraz źródła, z którego pochodzą (administrator nie musi go ujawniać, gdy jest zobowiązany do zachowania w tym zakresie tajemnicy informacji niejawnych lub zachowania tajemnicy zawodowej). Zgodnie ze wskazanymi przepisami uprawnienia kontrolne wiążą się także z prawem żądania informacji o sposobie udostępniania danych, a w szczególności udostępnienia informacji o odbiorcach lub kategoriach odbiorców, którym są one udostępniane. I wreszcie, każdy zainteresowany ma prawo domagać się uzupełnienia, uaktualnienia lub sprostowania danych, czasowego lub stałego wstrzymania się z ich przetwarzaniem lub także ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są zbędne do realizacji celu, dla którego zostały zgromadzone. Jak należy zatem postąpić, gdy stwierdzimy, że nasze dane, zgromadzone przez administratora, odpowiadają powyższym kategoriom?
Najpierw administrator
W takim przypadku w pierwszej kolejności należy skontaktować się właśnie z administratorem danych. To on bowiem odpowiada za proces ich prawidłowego przetwarzania. Należy wnioskować o ich aktualizację lub zaprzestanie wykorzystywania, w zależności od sytuacji i celu, jaki chcemy osiągnąć. Dopiero w sytuacji, gdy podjęte działania względem administratora okażą się nieskuteczne w całości lub w części (administrator nie podejmie żadnych działań, nie udostępni danych bez żadnego uzasadnienia, odmówi ich aktualizacji lub usunięcia itp.), osoba, której dane osobowe są nadal przetwarzane wbrew przepisom, ma prawo złożyć skargę do generalnego inspektora ochrony danych osobowych. Jeżeli oczekujemy na wiążącą decyzję w naszej sprawie, skarga (w swojej formie) musi spełniać wymogi określone w kodeksie postępowania administracyjnego oraz ustawy o opłacie skarbowej. W sposób wiążący GIODO wypowiada się bowiem jedynie na mocy decyzji administracyjnej, po przeprowadzeniu stosownego postępowania i zbadaniu wszystkich okoliczności faktycznych sprawy, jak również po dokonaniu analizy stosownych przepisów prawa. Należy zaznaczyć, że GIODO nie zawsze musi poprzeć wniosek np. o zaprzestanie przetwarzania danych, jeżeli okaże się, po przeprowadzonym postępowaniu, że przedsiębiorca nie naruszył przepisów i przetwarza informacje zgodnie z prawem.
Kto jest administratorem
Administratorem danych może być osoba, jednostka organizacyjna lub inny podmiot. Kluczowe dla rozstrzygnięcia jest to, kto decyduje o celach i środkach przetwarzania informacji o osobach fizycznych. Zgodnie z przepisami ustawy o ochronie danych osobowych to właśnie taki podmiot zostanie uznany za administratora. I to na nim będzie spoczywał obowiązek przetwarzania tych danych zgodnie z prawem, także w zakresie tzw. adekwatności, czyli tego, aby zakres zbieranych informacji nie był zbyt szeroki, lecz jedynie taki, który jest niezbędny do osiągnięcia celu przetwarzania danych.