Baza wiedzy

Uprawnienia podmiotu danych - jak powinien je realizować administrator danych? #PRAWO DOSTĘPU DO DANYCH#

Autor: Jakub WezgrajData dodania: Kategoria: Rozporządzenie ogólne o ochronie danych osobowych (GDPR)

RODO przewiduje szereg uprawnień przysługujących osobom, których dane są przetwarzane przez administratorów.

Do praw tych należą: prawo dostępu do danych, prawo do sprostowania i usunięcia danych, prawo do ograniczenia przetwarzania, prawo do przenoszenia danych, prawo do złożenia sprzeciwu na przetwarzanie danych, a także szczególne uprawnienia związane z procesami zautomatyzowanego przetwarzania danych (w tym profilowaniem).

Możliwość skorzystania przez podmiot danych z określonych uprawnień zależy zasadniczo od podstaw prawnych, na których oparte jest konkretne przetwarzanie, a także celu i sposobu przetwarzania danych (np. czy są przetwarzane w sposób zautomatyzowany – za pomocą systemów informatycznych).

To z kolei powoduje, że administrator danych nie będzie zobligowany do realizacji uprawnień konkretnego "Kowalskiego" w każdym przypadku i w takim samym zakresie.

W tym cyklu artykułów omawiam poszczególne uprawnienia przysługujące osobom fizycznym i podpowiadam, w jakich przypadkach administratorzy danych będą musieli przygotować się na ich realizację. Każdy artykuł z cyklu będzie poświęcony innemu uprawnieniu, które RODO przyznaje osobom fizycznym.

Tym razem kilka słów o prawie dostępu do danych, które przewiduje art. 15 RODO.

Na czym polega "prawo dostępu do danych" ?

Zgodnie z tym uprawnieniem podmiotowi danych przysługuje prawo uzyskania od administratora danych potwierdzenia, czy jego dane są faktycznie przetwarzane.

Jeżeli dane są faktycznie przetwarzane, to taka osoba ma prawo do uzyskania następujących informacji:

  • cele w jakich przetwarzane są dane osobowe (np. cel marketingowy, realizacja umowy etc),
  • kategorie danych osobowych, które podlegają przetwarzaniu (np. imię, nazwisko, adres zamieszkania),
  • informacje o odbiorcach lub kategoriach odbiorców (np. inne podmioty z grupy kapitałowej, w której funkcjonuje administrator danych), którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach, którzy są zlokalizowani poza UE (tzw. państwa trzecie),
  • w miarę możliwości planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu,
  • informacja o przysługujących uprawnieniach podmiotowi danych: prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych oraz do wniesienia sprzeciwu wobec takiego przetwarzania (oczywiście o ile te konkretne prawa w danym przypadku przysługują);
  • informacja o prawie wniesienia skargi do organu nadzorczego,
  • jeżeli dane osobowe nie zostały zebrane od osoby, której one dotyczą – wszelkie dostępne informacje o ich źródle, z którego administrator je pozyskał,
  • informacje o zautomatyzowanym podejmowaniu decyzji (jeżeli takie administrator realizuje wobec tej osoby), w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4 RODO, oraz istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Ale to nie koniec uprawnień. Osobie, której dane są przetwarzane przez administratora przysługuje również prawo uzyskania do nich bezpośredniego dostępu. I to uprawnienie może wiązać się z największymi problemami w realizacji po stronie administratora danych.

Uprawnienie dostępu do danych - dosłownie

Kluczowym z punktu widzenia obowiązków administratora danych jest tryb w jakim osoba fizyczna ma prawo uzyskać dostęp do swoich danych osobowych. Zgodnie z wymaganiami RODO uprawnienie uzyskania dostępu do danych osobowych realizowane jest bowiem poprzez dostarczenie przez administratora kopii przetwarzanych danych.

Co bardzo istotne, kopia może dotyczyć zarówno danych przetwarzanych w formie tradycyjnej (papierowej) jak i elektronicznej, przy czym jeżeli osoba fizyczna zwróci się do administratora o uzyskanie tego typu kopii drogą elektroniczną (i o ile nie wskaże inaczej), informację zwrotną administrator danych również powinien przekazać w tej formie.

Przekazanie pierwszej kopii powinno odbywać się bezpłatnie, za wszelkie kolejne kopie, o które zwróci się podmiot danych, administrator będzie miał prawo pobrać „opłatę w rozsądnej wysokości wynikającej z kosztów administracyjnych” (Art. 15 ust. 3 RODO) związanych z jej wytworzeniem.

 

Podpowiedzi zawarte w Preambule RODO

Dla prawidłowej interpretacji przepisów dotyczących powyżej wskazanego obowiązku bardzo istotne znaczenie mają Motywy 59 i 63 Preambuły RODO.

Zgodnie z pierwszym z nich "Należy przewidzieć procedury ułatwiające osobie, której dane dotyczą, wykonywanie praw przysługujących jej na mocy niniejszego rozporządzenia, w tym mechanizmy żądania – i gdy ma to zastosowanie bezpłatnego uzyskiwania – w szczególności dostępu do danych osobowych i ich sprostowania lub usunięcia oraz możliwości wykonywania prawa do sprzeciwu. Administrator powinien zapewnić możliwość wnoszenia odnośnych żądań także drogą elektroniczną, w szczególności gdy dane osobowe są przetwarzane drogą elektroniczną. Administrator powinien być zobowiązany udzielić odpowiedzi na żądania osób, których dane dotyczą, bez zbędnej zwłoki – najpóźniej w terminie miesiąca, a jeżeli nie zamierza spełnić takiego żądania – podać tego przyczyny".

Z kolei w Motywie 63 Preambuły możemy przeczytać, że „Każda osoba fizyczna powinna mieć prawo dostępu do zebranych danych jej dotyczących oraz powinna mieć możliwość łatwego wykonywania tego prawa w rozsądnych odstępach czasu, by mieć świadomość przetwarzania i móc zweryfikować zgodność przetwarzania z prawem (…)”, dlatego też „w miarę możliwości administrator powinien mieć możliwość udzielania zdalnego dostępu do bezpiecznego systemu, który zapewni osobie, której dane dotyczą, bezpośredni dostęp do jej danych osobowych”.

Dodatkowe kwestie

Umożliwienie wglądu do danych osobowych konkretnej osobie fizycznej nie może jednak powodować, że realizacja tego uprawnienia doprowadzi do naruszenia praw innych osób lub też tajemnic prawnie chronionych (np. w przypadku gdyby konkretna osoba uzyskując wgląd do swoich danych uzyskiwałaby również nieuzasadniony dostęp do innych informacji, danych inny osób fizycznych lub tajemnic przedsiębiorstwa).

Ponadto w przypadku gdy administrator przetwarza duże ilości informacji o osobie, która chce skorzystać z prawa dostępu do swoich danych ma prawo skierować do tej osoby żądanie sprecyzowania do jakich konkretnie danych lub też informacji o czynnościach przetwarzania jej danych chciałaby uzyskać dostęp.

Termin, w jakim administrator danych musi odpowiedzieć na żądanie osoby fizycznej

Administrator zobowiązany jest do udzielenia odpowiedzi na żądanie osoby fizycznej w terminie miesiąca od otrzymania tego żądania. Jeżeli żądanie ma skomplikowany charakter podmiot danych skierował dużą liczbę żądań, administrator czas udzielenia odpowiedzi może wydłużyć o kolejne 2 miesiące, jednakże w takim wypadku jest zobowiązany do przekazania takiej informacji osobie fizycznej w terminie pierwszego miesiąca licząc od momentu wpłynięcia żądania. Musi również w takim wypadku podać przyczyny wydłużenia terminu na udzielenie odpowiedzi (por. art. 12 ust. 3 RODO).

Jeżeli z jakiegoś powodu administrator nie zamierza podejmować działań wobec żądań skierowanych przez osobę fizyczną, jest zobowiązany do poinformowania tej osoby o powodach niepodjęcia działań, a także możliwości wniesienia skargi do organu nadzorczego oraz skorzystania przez podmiot danych z możliwości wniesienia sprawy do sądu.

Podsumowanie

Należy pamiętać, że prawo dostępu do danych osobowych może być realizowane przez administratora poprzez:

  • wydanie kopii przetwarzanych danych osobie, której one dotyczą lub też
  • umożliwienie jej dostępu do systemu informatycznego, w którym osoba ta mogłaby się zapoznać z przedmiotowymi danymi.

Administratorowi danych przysługuje prawo żądania, aby podmiot danych sprecyzował czego dokładnie dotyczy jego żądanie (jakich informacji lub jakich procesów przetwarzania danych).

Jednocześnie administrator danych zobowiązany jest do wykorzystania dostępnych (rozsądnych) środków w celu zweryfikowania tożsamości osoby, która żąda dostępu do danych osobowych. Dotyczy to w szczególności przypadków żądania dostępu do danych na odległość oraz sytuacji, w których administrator dysponuje danymi pozyskiwanymi w kontekście świadczonych usług internetowych, które oparte są np. na identyfikatorach internetowych, a nie pełnych danych dotyczących konkretnej osoby (Motyw 64 Preambuły RODO).

Należy też pamiętać, że przedmiotowe uprawnienie przysługuje każdemu podmiotowi danych, niezależnie od podstaw prawnych, zakresu, sposobu i celu przetwarzania danych. Uprawnienie to aktualizuje się w momencie jakiegokolwiek rozpoczęcia przetwarzania danych osobowych przez administratora. Jest to jedno z podstawowych praw przysługujących każdej osobie fizycznej, której dane są przetwarzane.

Ewentualne ograniczenie możliwości korzystania z tego prawa może być przewidziane w konkretnych ustawach państw członkowskich (i biorąc pod uwagę planowaną reformę ochrony danych wprowadzaną przez Ministerstwo Cyfryzacji takich wyjątków będzie sporo w przepisach odnoszących się do działań podmiotów publicznych).

 

Jak administrator powinien przygotować się na spełnienie tych wymagań?

Służyć temu powinny różne działania:

Po pierwsze administrator musi doskonale kontrolować sam sposób przetwarzania danych, ponieważ podmiot danych ma prawo zażądać od niego wielu szczegółowych informacji odnośnie tego w jaki sposób wykorzystywane są jego dane osobowe - to oznacza, że administrator musi przede wszystkim mieć bardzo dokładnie zinwentaryzowane wszelkie dane osobowe w postaci zbiorów danych osobowych, a także wiedzieć jakie systemy informatyczne aktualnie wykorzystuje do ich przetwarzania.

Przy inwentaryzacji zbiorów danych osobowych należy zwrócić szczególną uwagę na cele przetwarzania danych w konkretnych zbiorach oraz podstawy prawne, na których opiera się przetwarzanie. Znając cele i podstawy prawne przetwarzania danych można zazwyczaj ustalić również czas, w jakim te dane powinny być przetwarzane lub przynajmniej ustalić kryteria dotyczące czasu przechowywania tych danych. Ważne jest również ustalenie jakim ewentualnie podmiotom dane z każdego zbioru mogą być udostępniane lub powierzane do przetwarzania oraz ewentualnie od jakich podmiotów sam administrator pozyskuje dane, która następnie wprowadza do zbioru. Analizując kwestię podmiotów, którym dane się udostępnia lub powierza do przetwarzania warto zwrócić uwagę, gdzie fizycznie są one zlokalizowane (w szczególności czy poza UE, czyli w tzw. państwach trzecich).

Warto w tym miejscu pamiętać, że RODO przewiduje obowiązek prowadzenia rejestru czynności przetwarzania danych (art. 30), który prawidłowo prowadzony powinien dostarczyć powyższych informacji administratorowi i zapewnić możliwość udzielenia odpowiedzi osobom fizycznym.

Po drugie należy zastanowić się jakimi kanałami komunikacji osoby fizyczne mogą kierować swoje żądania dotyczące dostępu do danych osobowych. Często do tego typu komunikacji wykorzystywane są Biura Obsługi Klienta, punkty zgłaszania reklamacji, infolinie konsumenckie - ale trzeba pamiętać, że z tego uprawnienia mogą korzystać nie tylko nasi klienci ale również np. pracownicy. W związku z tym również Działy HR, czy też komórki kadrowe powinny być przygotowane na przyjmowanie tego typu żądań. Można również wyznaczyć dedykowany punkt kontaktowy (np. takim "punktem kontaktowym" zgodnie z RODO może być Inspektor Ochrony Danych powołany przez administratora), ale trzeba wówczas pamiętać, że osoby fizyczne nie mają obowiązku z niego korzystać, mogą wybrać dowolną formę komunikacji z administratorem danych.

Po trzecie należy przygotować osoby pracujące w powyżej wskazanych komórkach pod kątem przyjmowania ewentualnych tego typu żądań. Bardzo często mogą one przyjmować formę skarg lub żądań niekoniecznie związanych jedynie z tematyką ochrony danych osobowych (np. w ramach kierowanej reklamacji dotyczącej określonej usługi lub produktu ktoś może "dodatkowo" żądać informacji odnośnie sposobu przetwarzania jego danych osobowych).

Po czwarte należy przewidzieć sposób w jaki organizacja ma "zareagować" na konkretne żądanie podmiotu danych. Pracownicy będący "pierwszą linią kontaktu" po stronie administratora muszą być świadomi by tego typu komunikatów nie lekceważyć, ponieważ zasadniczo administrator danych ma miesiąc na udzielenie odpowiedzi na konkretne żądanie.

Ponadto należy ustalić skąd będą pozyskiwane informacje niezbędne do udzielenia odpowiedzi. Może temu służyć rejestr czynności przetwarzania danych, o którym była mowa wcześniej albo też poszczególne komórki organizacyjne, w których są prowadzone konkretne zbiory danych (np. jeżeli zapytanie dotyczy danych kadrowych - Dział HR, a jeśli osobą kierującą żądania jest klient - Dział Obsługi Klienta).

Ważne jest też ustalenie osób odpowiedzialnych za przygotowanie odpowiedzi oraz dokumentowanie samych zrealizowanych czynności (w tym archiwizację udzielonych odpowiedzi), ponieważ RODO wymaga od administratora danych zdolności do wykazania, że faktycznie realizuje poszczególne wymogi. 

 

Zadaj pytanie  lub  Zadzwoń: 600 677 026

administrator danychGDPRGIODOprawo dostępu do danychprzepisy prawaRODOrozporządzenie GDPRrozporządzenie RODOunijne rozporządzenie o ochronie danychuprawnienia podmiotu danych

Wróć

Do góry