Baza wiedzy

Żądanie usunięcia danych, sprzeciw na przetwarzanie, a może kopia danych lub prawo do ich przenoszenia? Czy te określenia pojawiały się już w wiadomościach przesyłanych przez Państwa klientów, pracowników, kandydatów do pracy?

Zapraszamy do przeglądu najważniejszych uprawnień przysługujących podmiotom danych na gruncie RODO. Na czym one polegają i z jakimi obowiązkami wiążą się po stronie administratorów danych? Jak konkretne przedsiębiorstwo powinno zareagować, gdy wpłynie do niego określone żądanie?

W niniejszym artykule w sposób syntetyczny omawiamy kluczowe uprawnienia. Zapraszamy!

Uprawnienia podmiotu danych

RODO przewiduje szereg uprawnień dla osób, których dane są przetwarzane (zarówno dla pracowników, współpracowników, klientów, czy też innych kategorii osób). Uprawnienia te z kolei rodzą dodatkowe obowiązki po stronie administratorów. Administratorzy, którzy przetwarzają dane osobowe nie tylko muszą skutecznie realizować uprawnienia podmiotów danych, ale także wykazać ich przestrzeganie zgodnie z zasadą rozliczalności. Oznacza to w praktyce między innymi obowiązek dokumentowania, w jaki sposób udzielono odpowiedzi na konkretne żądanie. Wymagane jest również wprowadzenie wewnętrznych procedur umożliwiających prawidłową reakcję na zgłoszone żądanie, a w tym udzielenie odpowiedzi w okresie czasu, który wprost jest narzucony w przepisach RODO (standardowo wynosi on miesiąc licząc od daty wpłynięcia żądania).

Osoby, których dane podlegają przetwarzaniu, posiadają na gruncie RODO szereg uprawnień, do których należą:

• prawo dostępu do danych,
• prawo do sprostowania swoich danych,
• prawo do żądania usunięcia danych,
• prawo do ograniczenia przetwarzania danych,
• prawo do przenoszenia danych,
• prawo zgłoszenia sprzeciwu wobec dalszego przetwarzania danych,
• prawo do niepodlegania w pełni zautomatyzowanym operacjom przetwarzania danych.

W praktyce nie oznacza to jednak, że każda osoba, której dane są przetwarzane może w każdym przypadku skorzystać ze wszystkich wyżej wskazanych uprawnień. Możliwość skorzystania przez podmiot danych z określonych uprawnień zależy przede wszystkim od tego na jakiej podstawie prawnej przetwarzane są jego dane, a także od celów i sposobów w jakich te dane są przetwarzane (np. czy są przetwarzane w sposób zautomatyzowany- za pomocą systemów informatycznych).

Prawo dostępu do danych

Uprawnienie to w praktyce składa się z 3 możliwości, z których może skorzystać podmiot danych.

Po pierwsze każda osoba może zażądać od administratora danych potwierdzenia, czy przetwarza jej dane osobowe. Mogą się zdarzyć bowiem w praktyce przypadki, w których osoba nie ma pewności czy dany podmiot jest w posiadaniu jej danych i czy wykorzystuje je w określonych celach.

W sytuacji, gdy administrator przetwarza dane określonej osoby, może ona zażądać przekazania dodatkowych informacji odnoszących się do sposobu w jaki przetwarzane są jej dane. W takiej sytuacji w dowolnym momencie zainteresowana osoba może zażądać od administratora uzyskania informacji o:

• celach przetwarzania danych (w jakim celu jej dane są przetwarzane?),
• kategoriach odnośnych danych osobowych (jakie kategorie jej danych są przetwarzane? np. dane identyfikacyjne, dane kontaktowe),
• informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, a w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych (komu administrator przekazał dane lub komu planuje przekazać dane?),
• w miarę możliwości planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu (czyli jak długo dane osobowe będą przetwarzane ? np. przez okres prowadzonej rekrutacji, etc.),
• informacje o przysługujących uprawnieniach podmiotowi danych: prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych oraz do wniesienia sprzeciwu wobec takiego przetwarzania (oczywiście o ile te konkretne prawa w danym przypadku przysługują),
• informacje o prawie wniesienia skargi do organu nadzorczego,
• jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą- wszelkie dostępne informacje o ich źródle (skąd administrator pozyskał dane?),
• informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa
  w art. 22 ust. 1 i 4 RODO, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Żądanie kopii danych osobowych

Szczególnym uprawnieniem przysługującym w ramach prawa dostępu do danych osobowych jest prawo żądania kopii danych, które administrator posiada na temat danej osoby. W takim wypadku administrator zobowiązany jest udostępnić osobie fizycznej kopię jej danych osobowych, które przetwarza. Przy czym nie chodzi tu o udostępnianie kopii wszelkich dokumentów, w których te dane się znajdują, ale jedynie zbiorczego zestawienia samych danych. Możliwe jest np. przygotowanie zestawienia z poszczególnych dokumentów zawierającego informacje o przetwarzanych danych typu:

- imię - Jan

- nazwisko - Kowalski

- adres zamieszkania - ulica. Kowalska, 00-000 Kowale Janowskie

...i tak dalej.

Należy pamiętać, że umożliwienie wglądu do kopii osobowych konkretnej osobie fizycznej nie może jednak powodować, że realizacja tego uprawnienia doprowadzi do naruszenia praw innych osób lub też tajemnic prawnie chronionych (np. w przypadku gdyby konkretna osoba uzyskując wgląd do swoich danych uzyskiwałaby również nieuzasadniony dostęp do innych informacji, np. dotyczących innych osób fizycznych lub tajemnic zawodowych).

Sama forma przekazania kopii na żądanie konkretnej osoby uzależniona jest w pierwszej kolejności od tego, czy osoba ta wskaże konkretny sposób przekazania kopii. Jeżeli jednak osoba taka nie wskaże konkretnej formy udostępnienia kopii danych, a kontaktuje się drogą elektroniczną (np. drogą mailową), to odpowiedzi (a więc przesłania danych) również należy udzielić tą drogą. W takim wypadku należy jednak wziąć pod uwagę prawidłowe zabezpieczenie kopii danych wysyłanych drogą elektroniczną - w tym zakresie w pierwszej kolejności należy zweryfikować czy adres mailowy, którym posługuje się osoba kierująca żądanie, faktycznie może należeć (być używany) przez tą, której dotyczy kopia danych. W wielu bowiem przypadkach zdarząją się sytuacje, w której ktoś nieuprawniony podszywa się pod inną osobę, aby wyłudzić dane jej dotyczące.

Druga kwestia to prawidłowe zabezpieczenie samego pliku z danymi, jeżeli już potwierdziliśmy tożsamość osoby, która z nami się kontaktuje. Każdy admnistrator danych powininien w ramach prowadzonej analizy ryzyka dokonać oceny, czy w tego typu sytuacjach przesyłanie plików załączonych do maila, bez dodatkowych zabezpieczeń przed dostępem osób nieuprawnionych jest wystarczającym rozwiązaniem. W ocenie wielu administratorów słusznie budzi to wątpliwości. Wówczas bardzo częstym rozwiązaniem jest przynajmniej zabezpieczenie pliku hasłem (w przypadku gdy jest to plik pakietu biurowego, np. Excel lub Word) lub też zapisanie go w archiwum, np. ZIP i zabezpieczenie tego archiwum hasłem i odpowiednim szyfrowaniem. Wówczas hasło przekazuje się odbiorcy z wykorzystaniem innego kanału komunikacji niż sam mail, np. telefonicznie (jeżeli posiadamy numer telefonu).

Prawo do sprostowania danych

Osoba, której dane dotyczą może zwrócić się do administratora z żądaniem sprostowania dotyczących jej danych osobowych, w przypadku gdy dane są nieprawdziwe (np. nastąpiła zmiana adresu zamieszkania, zmiana nazwiska, niekompletny adres zamieszkania, etc.). Osobie fizycznej przysługuje również uprawnienie do żądania uzupełnienia jej danych posiadanych przez administratora, zwłaszcza gdy związane jest to z celem przetwarzania danych osobowych.

Uprawnienie to, tak jak w przypadku prawa dostępu do danych przysługuje każdej osobie fizycznej bez względu na podstawę przetwarzania danych czy sposób przetwarzania danych.

Prawo żądania usunięcia danych

W odróżnieniu od dwóch powyższych uprawnień, prawo żądania usunięcia danych uzależnione jest od celu i podstawy prawnej, na której odbywa się konkretne przetwarzanie.

Osoba, której dane dotyczą może żądać usunięcia jej danych osobowych w przypadku gdy występuje przynajmniej jedna z poniższych okoliczności:

• dane osobowe nie są już niezbędne administratorowi do celów, w których zostały zebrane lub w inny sposób przetwarzane,
• osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie danych, a administrator nie dysponuje inną podstawą prawną do przetwarzania,
• osoba, której dane dotyczą, wniosła sprzeciw na dalsze przetwarzanie danych na mocy art. 21 ust. 1 RODO, a administrator nie jest w stanie wskazać żadnych nadrzędnych interesów, które uzasadniałyby potrzebę dalszego przetwarzania danych,
• dane przetwarzane są na potrzeby marketingu bezpośredniego, a osoba, której dane dotyczą wniosła sprzeciw na dalsze przetwarzanie danych w tym celu,
• dane osobowe były przetwarzane niezgodnie z prawem,
• dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii Europejskiej lub prawie polskim,
• dane osobowe zostały zebrane w związku z oferowaniem usług świadczonych drogą elektroniczną bezpośrednio dzieciom.

Powyższy katalog ma charakter zamknięty. Same przepisy RODO przewidują dodatkowo pewne wyjątki, w których prawo do żądania usunięcia danych nie będzie mogło być rozpatrzone pozytywnie. Z powyższego uprawnienia podmiot danych nie będzie mógł skorzystać w takim zakresie w jakim przetwarzanie danych jest nadal niezbędne:

• do korzystania z prawa do wolności wypowiedzi i informacji,
• do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi,
• z uwagi na interes publiczny w dziedzinie zdrowia publicznego,
• do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych,
• do ustalenia, dochodzenia lub ochrony roszczeń.

Prawo do przenoszenia danych

W niektórych przypadkach konkretna osoba może zażądać otrzymania danych, które jej dotyczą i są przetwarzane przez administratora, w określonym formacie danych. RODO wskazuje, że ten format ma mieć charakter "otwarty", a przez to nadawać się do odczytania w różnych aplikacjach, a nie tylko takich, z których korzysta sam administrator danych. W praktyce chodzi o takie formaty jak: XML, JSON, CSV oraz być opatrzone możliwie szczegółowymi metadanymi, na podstawie których treści plików będą mogły być zaimportowane do innych systemów informatycznych.

Ponadto wykonując prawo do przenoszenia danych, osoba której dane dotyczą może zażądać by dane osobowe zostały przesłane przez administratora bezpośrednio do innego administratora (wskazanego przez tą osobę), o ile jest to technicznie możliwe.

Prawo do przenoszenia danych wiąże się więc z istotnymi wymaganiami technicznymi dotyczącymi systemów informatycznych, z których korzystają administratorzy danych (w zakresie funkcjonalności umożliwiających nie tylko eksportowania kopii danych osobowych wybranej osoby, ale również zapewnienia by te pliki miały odpowiedni format danych).

Kiedy osoba fizyczna może skorzystać z prawa do przenoszenia danych?

Z prawa do przenoszenia danych może skorzystać wyłącznie osoba, której dane osobowe są przetwarzane przez administratora danych:

• w sposób zautomatyzowany (a więc w formie elektronicznej, za pomocą systemów informatycznych) oraz jednocześnie
• na określonej podstawie prawnej – na podstawie udzielonej zgody na przetwarzanie danych lub na podstawie zawartej z podmiotem danych umowy (tj. gdy przetwarzanie danych jest niezbędne do wykonania umowy zawartej z podmiotem danych lub gdy przetwarzanie danych jest niezbędne do podjęcia określonych działań na żądanie tej osoby przed zawarciem umowy).

Sprzeciw na przetwarzanie danych osobowych

Kolejnym uprawnieniem przewidzianym w przepisach RODO jest prawo sprzeciwu wobec przetwarzania danych osobowych. Uprawnienie to będzie przysługiwało zasadniczo w dwóch możliwych sytuacjach, w zależności od tego w jakim celu (i na jakiej podstawie prawnej) te dane są przetwarzane przez administratora.

Po pierwszej, będzie ono przysługiwało określonej osobie w sytuacji gdy administrator danych przetwarza jej dane na podstawie tzw. prawnie uzasadnionego interesu (art. 6 ust. 1 lit f) i jest to inny cel niż marketing bezpośredni. W takim przypadku podmiot danych może wnieść sprzeciw na dalsze przetwarzanie jego danych osobowych, jeżeli w jego ocenie przemawia za tym jakaś szczególna sytuacja - przy czym to podmiot danych musi wskazać tą "szczególną" sytuację.

Jeżeli administrator danych w takim przypadku uzna, że wskazane okoliczności przez podmiot danych faktycznie wskazują na to, że jego interes w tym by dane już nie były przetwarzane jest ważniejszy (ma charakter nadrzędny) niż interes administratora, dalsze przetwarzanie danych powinno być wstrzymane. Natomiast administrator może również w takim przypadku przyjąć, że jego interes w dalszym przetwarzaniu danych w określonych celach nadal ma charakter bardziej istotny. W takim wypadku, o ile administrator będzie w stanie wykazać istnienie ważnych prawnie uzasadnionych podstaw do dalszego przetwarzania tych danych, a podstawy te będą miały charakter nadrzędny wobec interesów, praw i wolności osoby, której dane dotyczą, to takie przetwarzanie będzie nadal możliwe. Tak więc tego typu sytuacje mają zawsze charakter bardzo ocenny i trzeba pamiętać o dokładnej analizie sprawy i argumentacji dla podjętych decyzji.

Wyjątkowo sprzeciw na przetwarzanie danych ze względu na czyjąś szczególną sytuację nie wymaga powyższej analizy, a przetwarzanie danych nadal może być prowadzone, jeżeli dotyczy to przypadków przetwarzania danych na potrzeby ustalenia, dochodzenia lub obrony określonych roszczeń (np. gdy podmiot danych będzie dłużnikiem administratora, a dane będą przetwarzane w celu odzyskania wymagalnych wierzytelności). W takim wypadku dłużnik nie może powoływać się na prawo sprzeciwu.

Drugi przypadek, w którym może dochodzić do zgłaszania sprzeciwu na przetwarzanie danych - i w dodatku sprzeciw ten nie wymaga żadnego uzasadnienia po stronie podmiotu danych - to prawo zgłoszenia sprzeciwu na przetwarzanie danych osobowych w celach marketingu bezpośredniego, jeżeli dane w tym celu administrator przetwarza na podstawie art. 6 ust. 1 lit f RODO (a więc marketing traktuje jako jeden ze swoich prawnie uzasadnionych interesów do przetwarzania danych). W takim wypadku skutkiem wniesienia sprzeciwu jest definitywny zakaz dalszego przetwarzania danych osobowych w celu marketingu bezpośredniego. Administrator danych musi zastosować się do tego typu żądania. Trzeba jednak pamiętać, że często te same dane tej samej osoby administratorzy przetwarzają w różnych celach i na różnych podstawach prawnych. Złożenie sprzeciwu na przetwarzanie danych nie zawsze musi więc prowadzić do całkowitego zaprzestania przetwarzania danych wybranej osoby...