Z pełnym przekonaniem mogę stwierdzić, że jednym z większych wyzwań Administratora jest obsługa wniosków dotyczących realizacji praw osób których dane dotyczą. RODO kładzie szczególny nacisk na to, aby osoby, których dane są przetwarzane, miały świadomość, co do podejmowanych działań przez Administratora.
Mam na myśli najczęściej stosowane prawa wskazane w art. 15-22 RODO, tj. prawo do:
- dostępu do danych osobowych (art. 15 RODO),w tym uzyskania kopii danych (art. 15 ust. 3 RODO),
- sprostowania lub uzupełnienia niekompletnych danych (16 RODO),
- usunięcia danych osobowych w przypadkach przewidzianych prawem (art. 17 RODO),
- wniesienia żądania ograniczenia przetwarzania danych osobowych (art. 18 RODO)
- otrzymania od Administratora danych osobowych w ustrukturyzowanym formacie oraz przenoszenia danych osobowych do innego administratora. W przypadku przeniesienia danych, z uwagi na inne przepisy prawa, może być wymagane uzyskanie zgody innej osoby lub spełnienie innych warunków wymaganych tymi przepisami (art. 20 RODO),
- wniesienia sprzeciwu wobec przetwarzania danych osobowych w przypadku przetwarzania ich w celu realizacji uzasadnionego interesu Administratora, z przyczyn związanych z jej szczególną sytuacją, w tym wobec profilowania (Art. 21 RODO),
- nie podlegania decyzji opierającej się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, które wywołuje skutki prawne lub w inny sposób istotnie wpływa na podmiot danych (Art. 22 RODO)
O ważnym prawie, jakim jest usunięcie danych („prawo do bycia zapomnianym”), pisaliśmy wcześniej ( tutaj: https://www.isecure.pl/blog/zadanie-usuniecia-danych-osobowych/).
KTO MOŻE ZŁOŻYĆ WNIOSEK Z ŻĄDANIEM?
Pamiętajmy, iż każda osoba, której dane są przetwarzane może złożyć do administratora wniosek o realizację praw określonych w art. 15-22 RODO. I to zarówno osoba rekrutująca na dane stanowisko pracy, jak i pracownik, klient czy też kontrahent.
Zanim przejdę do wskazania terminu, w którym Administrator powinien odpowiedzieć na żądanie osoby fizycznej, chciałabym zwrócić szczególną uwagę na jego formę.
Warto zapamiętać: RODO wskazuje, że jeśli osoba złożyła wniosek z żądaniem drogą np. pisemną, to odpowiedź Administratora w miarę możliwości powinna odbywać się w tej właśnie formie. Wyróżniamy 3 formy, tj. pisemna, elektroniczna jak i ustna. Najczęściej rekomendowaną formą jest jednak forma pisemna, w postaci pisma przesłanego pocztą lub przesyłką kurierską, a nawet wręczenie go osobiście. W tym ostatnim przypadku warto zadbać o odpowiednie potwierdzenie odbioru pisma. Niewątpliwie, formą najmniej zalecaną jest forma ustna.
Dlaczego?
Administrator musi bowiem uwierzytelnić jego spełnienie, np. poprzez wprowadzenie nagrywania rozmów. Dodatkowo Administrator powinien mieć na uwadze fakt potwierdzenia tożsamości rozmówcy. Ten drugi warunek, w praktyce sprawiający administratorom wiele trudności sprawia, że forma ustna nie jest (i zapewne także w przyszłości nie będzie) powszechnie stosowana. Administrator, musi również brać pod uwagę intencję twórców RODO, aby realizacja praw osób fizycznych odbywała się w sposób zrozumiały – o czym wskazuje art. 12 ust. 1 RODO, wszelka komunikacja i udzielanie informacji osobom powinno odbywać się „w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem”.
TERMIN NA UDZIELENIE ODPOWIEDZI…
Poznaliśmy prawa osób, formę udzielenia odpowiedzi, przejdę więc do wspominanego powyżej terminu. Przepis art. 12 ust. 3 RODO stanowi, że administrator ma obowiązek udzielić odpowiedzi bez zbędnej zwłoki, a w każdym razie w terminie miesiąca. Decydująca będzie zawsze data otrzymania żądania. Administrator powinien zatem udzielić odpowiedzi możliwe jak najszybciej, przy założeniu, że termin jej udzielenia nie może przekroczyć jednego miesiąca. Należy go bezwzględnie przestrzegać. Istnieje wprawdzie możliwość wydłużenia go o kolejne dwa miesiące (np. w przypadku, kiedy żądanie ma skomplikowany charakter), jednakże nie w każdym przypadku będzie to możliwe. Jeżeli pojawi się jednak sytuacja, w której Administrator ma prawo przedłużenia terminu, powinien tym samym poinformować osobę, której dane dotyczą o wydłużeniu terminu oraz o jego powodach.
I ostatnia, jakże ważna rzecz – Administrator powinien opracować i wdrożyć wewnętrzną procedurę realizacji praw na gruncie RODO. Przez wdrożenie ww. dokumentu, osoby pracujące w organizacji będą właściwie przygotowane pod kątem przyjmowania ewentualnych tego typu żądań. Pracownicy bowiem stanowią pierwszą linię kontaktu, ich świadomość by tego typu komunikatów nie lekceważyć jest bardzo ważna.
Poniżej podsumowanie jednego z praw osób fizycznych – tj. w zakresie prawa dostępu do danych i uzyskania kopii danych, wraz z przesłankami uwzględniającymi żądanie, przesłankami odmowy uwzględnienia żądania oraz sposobem spełnienia żądania.
Pozostałe żądania w kolejnych częściach artykułu ?
PRAWO DOSTĘPU DO DANYCH (Art. 15 RODO)
Prawo dostępu stanowi możliwość realizacji podstawowego prawa do kontroli przetwarzania danych osobowych o określonej osobie fizycznej przez Administratora. W praktyce, zalecam, aby informacje przekazywane w ramach prawa dostępu do danych były na poziomie zdecydowanie bardziej szczegółowym niż informacje zawarte w klauzuli informacyjnej.
- Forma żądania
– Żądanie potwierdzenia, czy Administrator przetwarza dane osobowe dotyczące danej osoby. Żądanie to może dotyczyć danych osobowych w ogólności albo wskazanej kategorii danych osobowych.
– Żądanie udzielenia informacji w związku z przetwarzaniem przez Administratora danych osobowych dotyczących danej osoby. Informacje te mogą obejmować: cele przetwarzania, kategorie danych osobowych, informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych, w miarę możliwości planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu, informacje o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych oraz do wniesienia sprzeciwu wobec takiego przetwarzania, informacje o prawie wniesienia skargi do organu nadzorczego, jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą – wszelkie dostępne informacje o ich źródle, informacje o podejmowaniu decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu oraz istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą, jeżeli dane osobowe są przekazywane do państwa trzeciego lub organizacji międzynarodowej – informacje o odpowiednich zabezpieczeniach, o których mowa w art. 46 RODO, związanych z przekazaniem.
- Przesłanki uwzględniające żądanie
Brak przesłanek szczególnych – każdy wniosek należy rozpatrzyć, tj. udzielić odpowiedzi czy administrator przetwarza dane dotyczące danej osoby.
- Przesłanki odmowy uwzględnienia żądania
Odmowę realizacji żądania można zastosować w sytuacji, gdy osoba, której dane dotyczą, domaga się informacji przekraczających zakres wskazany w art. 15 ust. 1 i 2 RODO. W pozostałych przypadkach – brak przesłanek szczególnych – każdy wniosek należy rozpatrzyć, tj. udzielić odpowiedzi.
- Realizacja prawa
Administrator powinien udzielić odpowiedzi twierdzącej albo przeczącej odpowiadając tym samym na żądanie osoby fizycznej poprzez np. udostępnienie do wglądu danych osobowych. Udostępnienie do wglądu danych osobowych niekoniecznie oznacza udostępnienie do wglądu całych dokumentów zawierających te dane. Może ono polegać na udzieleniu zdalnego dostępu do bezpiecznego systemu informatycznego, w którym przetwarzane są te dane.
PRAWO UZYSKANIA KOPII DANYCH (art. 15 ust. 3 RODO)
Uzyskanie kopii danych podlegających przetwarzaniu jest jednym z najszerszych praw na gruncie RODO, bowiem rozporządzenie nie przewiduje ograniczeń dotyczących zakresu jego stosowania, co oznacza, że administrator może odmówić realizacji tego prawa wyłącznie na podstawie ogólnych wyjątków przewidzianych w art. 12 ust. 5 RODO.
- Przesłanki uwzględniające żądanie
Brak przesłanek szczególnych – każdy wniosek należy rozpatrzyć, tj. udzielić odpowiedzi czy administrator przetwarza dane dotyczące danej osoby.
- Przesłanki odmowy uwzględnienia żądania
Negatywny wpływ na prawa i wolności innych osób (w szczególności na ochronę danych osobowych, w tym tajemnic handlowych lub własności intelektualnej, np. praw autorskich chroniących oprogramowanie). Powyższe nie powinno skutkować odmową uwzględnienia żądania, a jedynie zabezpieczenia danych udostępnianych osobie żądającej, np. poprzez jej częściową anonimizację. Każdy przypadek choćby częściowej anonimizacji udostępnianych danych należy traktować jako częściowa odmowę uwzględnienia żądania praw osoby, której dane dotyczą. Należy pamiętać o poinformowaniu osoby, której dane dotyczą, o powodach częściowego nieuwzględnienia żądania, o możliwości złożenia skargi do Prezesa UODO oraz skorzystania ze środków ochrony prawnej przed sądem.
- Realizacja prawa
Dostarczenie osobie, której dane dotyczą, kopii wszystkich albo tylko niektórych, wskazanych przez tę osobę danych osobowych podlegających przetwarzaniu. Dostarczenie kopii danych osobowych niekoniecznie oznacza dostarczenie kopii całych dokumentów zawierających te dane. Żądający ma prawo otrzymać kopię danych, a nie kopię ich oryginalnych nośników.
Żądanie kolejnej kopii danych – zgodnie z RODO, Administrator może pobrać opłatę w rozsądnej wysokości, wynikającej z kosztów administracyjnych. O konieczności uiszczenia opłaty trzeba poinformować osobę i umożliwić jej wywiązanie się z tego obowiązku.
- Przesłanki uwzględniające żądanie
Brak przesłanek szczególnych – każdy wniosek należy rozpatrzyć, tj. udzielić odpowiedzi czy administrator przetwarza dane dotyczące danej osoby.
- Przesłanki odmowy uwzględnienia żądania
Jeżeli Administrator uzależnił wydanie kopii danych od uiszczenia opłaty, jej nieuiszczenie może być przyczyną odmowy realizacji tego prawa. W przypadku odmowy, Administrator powinien udzielić odpowiedzi z podaniem przyczyny odmowy uwzględnienia żądania, a tym samem o możliwości złożenia skargi do PUODO.
Administrator może odmówić uwzględnienia żądania ze względu na ogólną przesłankę do odmowy z art. 11 ust, 5 RODO, jeżeli żądanie osoby jest nieuzasadnione lub nadmierne. Należy jednak mieć na względzie obowiązek udowodnienia powyższego – przez Administratora.
- Realizacja prawa
Dostarczenie osobie, której dane dotyczą, kopii wszystkich albo tylko niektórych, wskazanych przez tę osobę danych osobowych podlegających przetwarzaniu
Dostarczenie kopii danych osobowych niekoniecznie oznacza dostarczenie kopii całych dokumentów zawierających te dane. Żądający ma prawo otrzymać kopię danych, a nie kopię ich oryginalnych nośników.
Przypominam, że powyższe prezentuje jakie formy żądań może otrzymać Administrator wynikające z art. 15 RODO, tj. prawo dostępu do danych i uzyskania kopii danych.
Pozostałe żądania w kolejnych częściach artykułu ?