Rozporządzenie ogólne kładzie duży nacisk na transparentność procesów przetwarzania z perspektywy podmiotu danych. Taka przejrzystość ułatwiać ma osobie, której dane dotyczą sprawowanie kontroli nad jej danymi osobowymi.
Dla sprawowania takiej kontroli istotne znaczenie ma art. 15 RODO. Zgodnie z tym przepisem, osoba, której dane dotyczą jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące. Jeżeli takie przetwarzanie ma miejsce, jest uprawniona do uzyskania dostępu do nich oraz uzyskania informacji na temat przetwarzania, obejmujących:
- cele przetwarzania,
- kategorie odnośnych danych osobowych,
- informacje o odbiorach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych,
- w miarę możliwości – planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu,
- informacje o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania,
- informacje o prawie wniesienia skargi do organu nadzorczego,
- jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą – wszelkie dostępne informacje o ich źródle,
- informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
Ponadto, jeżeli dane osobowe przekazywane są do organizacji międzynarodowej lub do państwa trzeciego, osoba, której te dane dotyczą ma prawo otrzymać informacje o zabezpieczeniach zastosowanych zgodnie z wymaganiami RODO dla takich transferów.
Skorzystanie z prawa dostępu wymaga działania osoby, której dane dotyczą i zależy od jej inicjatywy. Adresatem żądania podmiotu danych powinien być administrator.
Warto zwrócić uwagę, że zgodnie z art. 15 ust. 3 RODO, administrator musi dostarczyć osobie, której dane dotyczą kopię danych podlegających przetwarzaniu. To ważna różnica dla polskich administratorów, ponieważ ustawa o ochronie danych osobowych z 1997 roku przewiduje oczywiście prawo kontroli przetwarzania danych przysługujące podmiotowi danych, ale realizowane poprzez prawo do uzyskania informacji na temat przetwarzania. Rozporządzenie ogólne zakłada natomiast m.in. prawo do uzyskania kopii danych.
W świetle art. 12 ust. 5 RODO, komunikacja i działania podejmowane w celu przekazania informacji nt. przetwarzania i wydania kopii danych są wolne od opłat. Dopiero w przypadku kolejnych wniosków osoby, której dane dotyczą administrator może zażądać za wydanie kopii danych opłaty, w rozsądnej wysokości, wynikającej z kosztów administracyjnych.
Jeżeli administrator ma uzasadnione wątpliwości co do tożsamości osoby fizycznej żądającej dostępu do danych lub uzyskania ich kopii, ma prawo zażądać od niej dodatkowych informacji, niezbędnych do potwierdzenia jej tożsamości.
Administrator musi także pamiętać o ogólnym obowiązku przejrzystego informowania i przejrzystej komunikacji z podmiotem danych. Wymóg prowadzenia komunikacji w sposób transparentny, z zastosowaniem zrozumiałej i łatwo dostępnej formy musi być uwzględniony także w przypadku realizacji żądań na podstawie art. 15 RODO.