Ochrona danych i prywatność w sieci

Unijne przepisy o ochronie danych zapewniają ochronę danych osobowych zawsze, gdy dane te są gromadzone – np. przy zakupach przez internet, ubieganiu się o pracę lub składaniu wniosku o kredyt bankowy. Przepisy te stosuje się zarówno do przedsiębiorstw i organizacji (publicznych i prywatnych) z Unii Europejskiej, jak i spoza niej – takich jak Facebook czy Amazon, które oferują towary i usługi w UE – za każdym razem, gdy takie przedsiębiorstwa i organizacje proszą osoby fizyczne w UE o dane osobowe lub wykorzystują takie dane ponownie.

Format danych nie ma znaczenia – czy to online w systemie komputerowym, czy w dokumencie w formie papierowej – Twoje podstawowe prawa w zakresie ochrony danych muszą być szanowane za każdym razem, kiedy przechowuje się lub przetwarza dane, które pośrednio lub bezpośrednio identyfikują Cię jako osobę fizyczną.

Kiedy dozwolone jest przetwarzanie danych?

W unijnych przepisach o ochronie danych, zawartych w ogólnym rozporządzeniu UE o ochronie danych (RODO), opisano różne sytuacje, w których przedsiębiorstwo lub organizacja może gromadzić lub ponownie wykorzystywać Twoje dane osobowe:

  • gdy przedsiębiorstwo lub organizacja zawarły z Tobą umowę – np. na dostawę towaru lub świadczenie usług (tj. gdy robisz zakupy przez internet), lub umowę o pracę
  • gdy wypełniają one swoje zobowiązania prawne, na przykład kiedy Twój pracodawca przekazuje informacje na temat Twojego miesięcznego wynagrodzenia do zakładu ubezpieczeń społecznych, aby zapewnić Ci ubezpieczenie społeczne
  • gdy przetwarzanie danych leży w Twoim żywotnym interesie – np. może chronić Twoje życie
  • w celu wykonania zadania w interesie publicznym – przede wszystkim w związku z realizacją zadań organów administracji publicznej takich jak szkoły, szpitale czy urzędy gminy
  • jeżeli istnieje uzasadniony interes – np. jeżeli bank wykorzystuje Twoje dane osobowe, żeby sprawdzić, czy kwalifikujesz się do posiadania konta oszczędnościowego z wyższym oprocentowaniem.

W pozostałych sytuacjach przed zgromadzeniem lub ponownym wykorzystaniem Twoich danych osobowych firma lub organizacja musi poprosić Cię o zgodę.

Nie wyrażono zgody – nie wolno przetwarzać danych

Zgoda, o którą zwraca się do Ciebie przedsiębiorstwo lub organizacja, musi zostać przez Ciebie udzielona w sposób wyraźny, np. przez podpisanie formularza zgody lub wybranie „tak” w odpowiedzi na jasno sformułowane pytanie na stronie internetowej, wymagające odpowiedzi „tak” lub „nie”.

Nie wystarczy po prostu zrezygnować, np. zaznaczając pole wyboru, że nie chcesz otrzymywać wiadomości e-mail z ofertami handlowymi. Twoja zgoda jest niezbędna, aby możliwe było przechowywanie lub ponowne wykorzystywanie Twoich danych osobowych w tym celu.

Zanim wyrazisz zgodę, powinieneś/powinnaś ponadto otrzymać następujące informacje:

  • informacje o przedsiębiorstwie lub organizacji, które będą przetwarzać Twoje dane, w tym ich dane kontaktowe oraz dane kontaktowe ewentualnego inspektora ochrony danych
  • cel, w którym firma lub organizacja będzie wykorzystywać Twoje dane osobowe
  • jak długo zamierzają one przechowywać Twoje dane osobowe
  • informacje dotyczące innych przedsiębiorstw lub organizacji, które otrzymają Twoje dane osobowe
  • informacje o Twoich prawach w zakresie ochrony danych (do dostępu do danych, ich poprawienia lub usunięcia, wniesienia skargi, wycofania zgody).

Wszystkie te informacje powinny być przedstawione w jasny i zrozumiały sposób.

Wycofanie zgody na wykorzystywanie danych osobowych i prawo do sprzeciwu

Jeżeli wcześniej udzieliłeś/-aś zgody na wykorzystywanie Twoich danych osobowych przez przedsiębiorstwo lub organizację, możesz w dowolnym momencie skontaktować się z administratorem danych (osobą lub podmiotem zarządzającymi Twoimi danymi osobowymi) i wycofać swoją zgodę. Po wycofaniu zgody przedsiębiorstwo lub organizacja nie mogą dłużej wykorzystywać Twoich danych osobowych.

Gdy organizacja przetwarza Twoje dane osobowe na podstawie swojego uzasadnionego interesu, w ramach wykonywania zadania w interesie publicznym lub na potrzeby organu publicznego, może przysługiwać Ci prawo do sprzeciwu. W określonych przypadkach pierwszeństwo może mieć jednak interes publiczny i wówczas przedsiębiorstwo lub organizacja będą mogły nadal wykorzystywać Twoje dane osobowe. Dotyczy to np. badań naukowych i statystyk lub zadań wykonywanych w ramach oficjalnej roli organu publicznego.

W przypadku wiadomości e-mail wysyłanych w ramach marketingu bezpośredniego, reklamujących określone marki lub produkty, wymagana jest Twoja wcześniejsza zgoda. Jeżeli jednak jesteś już klientem konkretnej firmy, może ona wysyłać Ci takie wiadomości na temat swoich własnych produktów lub usług podobnych do tych, które zakupiłeś/-aś. W każdej chwili masz prawo sprzeciwić się wysyłaniu Ci tego rodzaju materiałów reklamowych. Firma musi wówczas natychmiast przestać wykorzystywać Twoje dane.

Zawsze, gdy przedsiębiorstwo lub organizacja kontaktują się z Tobą po raz pierwszy, powinieneś/powinnaś otrzymać informacje o przysługującym Ci prawie do sprzeciwu wobec wykorzystywania Twoich danych osobowych.

Prawdziwa historia

Możesz sprzeciwić się wykorzystywaniu Twoich danych do celów marketingu bezpośredniego

Anatolios kupił przez internet dwa bilety na koncert swojego ulubionego zespołu. Od chwili zakupu biletów zaczął otrzymywać e-mailem wiadomości reklamujące koncerty i wydarzenia, którymi nie był zainteresowany. Skontaktował się z firmą sprzedającą bilety przez internet i poprosił o nieprzesyłanie mu wiadomości reklamowych. Przedsiębiorstwo natychmiast wykreśliło go ze swoich list marketingu bezpośredniego. Ku swemu zadowoleniu Anatolios przestał dostawać wiadomości reklamowe.

Szczególne przepisy dotyczące dzieci

Jeżeli Twoje dziecko chce korzystać z usług online takich jak media społecznościowe, pobieranie muzyki lub gier, często potrzebna będzie Twoja zgoda jako rodzica lub opiekuna prawnego, ponieważ tego rodzaju serwisy wykorzystują dane osobowe dziecka. Po ukończeniu 16. roku życia dziecko nie potrzebuje zgody rodzica (w niektórych krajach UE granica wieku może wynosić nawet 13 lat). Udzielenie zgody przez rodzica musi być skutecznie kontrolowane, np. za pośrednictwem wiadomości weryfikacyjnej przesłanej na skrzynkę mailową rodzica.

Dostęp do własnych danych osobowych

Możesz zażądać dostępu do swoich danych osobowych, którymi dysponuje przedsiębiorstwo lub organizacja. Masz także prawo do bezpłatnego otrzymania kopii swoich danych zapisanych w formacie umożliwiającym ich odczytanie. Odpowiedź powinna nadejść w ciągu 1 miesiąca. Firma lub organizacja powinny przekazać Ci kopię Twoich danych osobowych oraz wszystkie stosowne informacje o tym, w jaki sposób były lub są one wykorzystywane.

Prawdziwa historia

Masz prawo wiedzieć, które Twoje dane są przechowywane i w jaki sposób są one wykorzystywane

Maciej od niedawna uczestniczy w programie lojalnościowym w lokalnym supermarkecie. Zauważył, że od tego czasu dostaje korzystniejsze kupony rabatowe na zakupy. Zastanawiał się, czy ma to związek z programem lojalnościowym, więc zapytał inspektora ochrony danych supermarketu, jakie informacje na jego temat są przechowywane oraz w jaki sposób są one wykorzystywane. Dowiedział się, że supermarket przechowuje dane na temat produktów kupowanych przez niego co tydzień. Dzięki temu może zaoferować mu zniżki na wybrane, często kupowane produkty.

Korekta danych osobowych

Jeżeli firma lub organizacja przechowuje Twoje dane osobowe, które są nieprawidłowe, lub posiada niepełne informacje, możesz zwrócić się o ich poprawienie lub aktualizację.

Prawdziwa historia

Masz prawo poprosić o skorygowanie nieprawidłowych danych osobowych, które Cię dotyczą

Alison chciała kupić nowy dom w Irlandii i złożyła w swoim banku wniosek o kredyt hipoteczny. Podczas wypełniania formularza rejestracyjnego pomyliła się przy wpisywaniu daty urodzenia, przez co bank wprowadził do swojego systemu nieprawidłowy wiek Alison.

Gdy otrzymała oferty nowego kredytu hipotecznego i powiązanego z nim ubezpieczenia na życie, zdała sobie sprawę z błędu, ponieważ składka ubezpieczeniowa była o wiele wyższa niż jej aktualna składka. Alison zwróciła się do banku z prośbą o poprawienie danych osobowych w systemie. Dzięki temu otrzymała nową ofertę ubezpieczenia z poprawną datą urodzenia.

Przekazanie danych osobowych (prawo do przenoszenia danych)

W określonych sytuacjach możesz zażądać od przedsiębiorstwa lub organizacji zwrotu Twoich danych lub przekazania ich bezpośrednio do innego przedsiębiorstwa, o ile jest to możliwe technicznie. Jest to tzw. przenoszenie danych. Przykładowo możesz skorzystać z tego prawa, jeżeli postanowisz zmienić usługę na podobną – np. przenieść się z jednego portalu społecznościowego na inny – i chciałbyś/chciałabyś, żeby Twoje dane osobowe zostały szybko i łatwo przeniesione do nowego serwisu.

Usunięcie danych osobowych (prawo do bycia zapomnianym)

Jeżeli Twoje dane osobowe nie są już potrzebne lub są bezprawnie wykorzystywane, możesz zażądać ich usunięcia. Jest to tzw. prawo do bycia zapomnianym.

Zasady te dotyczą także wyszukiwarek takich jak Google, ponieważ również wyszukiwarki uważane są za administratorów danych. Jeżeli informacje są niedokładne, nieadekwatne, nieistotne lub jest ich za dużo, możesz zażądać usunięcia z wyników wyszukiwania linków do stron internetowych z Twoim nazwiskiem.

Jeżeli firma udostępniła w sieci Twoje dane osobowe i zażądasz ich usunięcia, musi ona również poinformować administratorów pozostałych stron internetowych, na których zostały one udostępnione, o Twoim żądaniu usunięcia danych i linków do nich.

By chronić pozostałe prawa, takie jak wolność wypowiedzi, niektórych danych nie można usunąć automatycznie. Na przykład kontrowersyjne wypowiedzi osób publicznych mogą nie zostać usunięte, jeżeli zachowanie ich w sieci leży w interesie publicznym.

Prawdziwa historia

Możesz zażądać usunięcia swoich danych osobowych z innych stron internetowych

Alfredo stwierdził, że nie chce już używać mediów społecznościowych, więc usunął swój profil ze wszystkich portali, z których korzystał. Jednak kilka tygodni później odkrył, że jego stare zdjęcia z kont na portalach społecznościowych wciąż są widoczne po wpisaniu jego nazwiska w wyszukiwarce internetowej. Alfredo zwrócił się do firm odpowiedzialnych za media społecznościowe o usunięcie tych danych. Miesiąc później stwierdził, że zdjęcia zostały faktycznie usunięte i nie pojawiają się w wynikach wyszukiwania.

Nieuprawniony dostęp do danych (naruszenie danych)

W przypadku kradzieży Twoich danych osobowych, ich utraty lub nielegalnego dostępu do nich – tzw. „naruszenia ochrony danych osobowych” – administrator danych (osoba lub podmiot zarządzający Twoimi danymi osobowymi) musi zgłosić to do krajowego organu ochrony danych. Administrator danych musi także bezpośrednio poinformować Cię, jeśli naruszenie może wiązać się z poważnym ryzykiem dotyczącym Twoich danych osobowych lub Twojej prywatności.

Wniesienie skargi

Jeżeli sądzisz, że Twoje prawa do ochrony danych nie są respektowane, możesz wnieść skargę bezpośrednio do krajowego organu ochrony danych, który rozpatrzy ją i udzieli odpowiedzi w ciągu trzech miesięcy.

Zamiast zwracać się w pierwszej kolejności do krajowego organu ochrony danych możesz również wnieść sprawę przeciwko konkretnej firmie lub organizacji bezpośrednio do sądu.

W przypadku strat materialnych, takich jak straty finansowe, lub niematerialnych, takich jak kryzys emocjonalny, wynikających z nieprzestrzegania unijnych przepisów o ochronie danych przez przedsiębiorstwo lub organizację, może przysługiwać Ci odszkodowanie.

Pliki cookie

Pliki cookie to małe pliki tekstowe; strona internetowa domaga się od przeglądarki, aby były one przechowywane na Twoim komputerze lub urządzeniu mobilnym. Cookies są powszechnie wykorzystywane, gdyż dzięki zapisywaniu preferencji użytkownika strona internetowa może sprawniej funkcjonować. Pliki cookie służą również do monitorowania zachowania użytkownika w internecie. Na tej podstawie tworzą jego profil, który jest wykorzystywany do wyświetlania dostosowanych do jego zainteresowań reklam online (tzw. targetowanie reklam).

Każda strona internetowa, która chce z nich korzystać, musi uzyskać od Ciebie zgodę przed zainstalowaniem plików cookie na komputerze lub urządzeniu mobilnym użytkownika. Strona internetowa nie może po prostu poinformować Cię, że używa plików cookie, ani jedynie wyjaśnić, w jaki sposób możesz je usunąć.

Powinna natomiast poinformować Cię, w jaki sposób będą wykorzystywane informacje przechowywane w plikach cookie. Użytkownik powinien również mieć możliwość wycofania swojej zgody. Jeśli się na to zdecyduje, strona internetowa musi nadal zapewniać mu pewien minimalny zakres usług, na przykład dostęp do części strony.

Nie wszystkie pliki cookie wymagają Twojej zgody. Pliki cookie, które są wykorzystywane wyłącznie do przekazania komunikatu, nie wymagają zgody. Obejmuje to na przykład pliki cookie wykorzystywane do „równoważenia obciążenia” (umożliwiające rozprowadzanie żądań serwera sieci WWW do zespołu maszyn zamiast tylko do jednej). Pliki cookie, które są absolutnie niezbędne do świadczenia usługi online, której wyraźnie zażądał użytkownik, również nie wymagają zgody. Obejmuje to na przykład pliki cookie używane przy wypełnianiu formularza internetowego lub podczas zapełniania koszyka zakupów online.

Zobacz również

Europejska Rada Ochrony Danych

Najczęściej zadawane pytania

Prawo UE

Potrzebujesz pomocy lub porady?

Skontaktuj się z serwisami ds. pomocy

Możesz również skorzystać z wyszukiwarka działu pomocy, aby znaleźć odpowiedź na swoje pytanie.

Ostatnio sprawdzono: 08/12/2025
Udostępnij tę stronę