RODO: Realizacja praw osób, których dane dotyczą

Redakcja PIT.pl 09.11.2021 08:10 (aktualizacja: )

Realizacja praw osób, których dane dotyczą, to obok obowiązku informacyjnego jedno z podstawowych zadań administratora danych. Na katalog praw zawarty w art. 15-22 RODO składa się prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia, sprzeciwu oraz niepodlegania decyzjom opartym wyłącznie na zautomatyzowanym przetwarzaniu (profilowaniu) czy wniesienia skargi do organu nadzorczego. Zanim jednak osoba skorzysta ze swoich uprawnień powinna zostać o nich odpowiednio poinformowana przez administratora w ramach np. klauzuli informacyjnej, w taki sposób, aby był on później w stanie wykazać, że obowiązek ten zrealizował (zasada rozliczalności).

Praktyczne problemy, jakie mogą się pojawiać, związane są z weryfikacją tożsamości osoby fizycznej, wnoszącej przykładowo o udostępnienie danych, które posiada administrator. Udzielając odpowiedzi w tym zakresie należałoby sprawdzić jakie dane zbieramy, a następnie – w celu dokonania weryfikacji – poprosić np. o przesłanie adresu zamieszkania lub numeru telefonu. Przeważnie u Administratorów danych istnieją pewne procedury (np. lista pytań, weryfikacja adresu e-mail, z którego pochodzi żądanie), które pozwalają wyeliminować ryzyko i przeprowadzić proces weryfikacji w odpowiedni sposób.

RODO:Realizacja praw osób których dotyczą dane

Źródło: shutterstock

Przykład: Z administratorem danych skontaktowała się osoba i poprosiła o przesłanie danych dotyczących czasu pobytu na siłowni w ramach wykupionego pakietu, jej danych teleadresowych oraz innych, które posiada administrator. W wiadomości mailowej osoba podała jedynie numer karty, którą uzyskała przy rejestracji. W tej sytuacji konieczna jest odpowiednia weryfikacja osoby zgłaszającej się z żądaniem, tak aby uniknąć sytuacji, w której dane osobowe zostaną przekazane osobie nieuprawnionej.

Odpowiedzi na przesłane żądanie dokonywane są zazwyczaj w takiej formie, w jakiej wpłynęło zapytanie. Jeżeli osoba, której dane dotyczą, przekazała swoje żądanie drogą elektroniczną, w miarę możliwości informacje także są przekazywane elektronicznie, chyba że osoba, której dane dotyczą, zażąda innej formy, np. pisemnej czy ustnej. O ile forma elektroniczna i pisemna nie powinna powodować większych problemów, o tyle odpowiedź ustna może nie być zawsze dobrym rozwiązaniem. Zachodzi tutaj konieczność weryfikacji osoby w trakcie rozmowy, a także późniejsze wykazanie udzielenia odpowiedzi w danym zakresie (zasada rozliczalności).

Termin na udzielenie odpowiedzi

Termin udzielenia odpowiedzi wynosi miesiąc i może być przedłużony o kolejna dwa, jednak po uprzednim poinformowaniu o tym osoby, której dane dotyczą, wraz z podaniem przyczyny opóźnienia. Z realizacją żądań np. do usunięcia danych (prawo do bycia zapomnianym) mogą wiązać się problemy, między innymi natury organizacyjno-technicznej, zwłaszcza, gdy dane są gromadzone w wielu miejscach (outsourcing usług archiwistycznych, przetwarzanie danych na nośnikach elektronicznych oraz papierowych czy wiele podmiotów przetwarzających).

Czyje żądania należy realizować?

W praktyce może pojawić się po stronie administratora wiele wątpliwości czy i jakie żądania należy realizować. W przypadku, gdy nie jest możliwe wywnioskowanie czego dokładnie żąda osoba, której dane dotyczą, administrator powinien pomóc jej je odpowiednio sprecyzować. Ponadto, nie w każdej sytuacji zasadna jest realizacja prawa do usunięcia danych, zwłaszcza gdy w dalszym ciągu przetwarzanie danych jest uzasadnione trwającym stosunkiem umownym, interesem administratora lub ustaleniem, dochodzeniem lub obroną roszczeń. Przy dokonywaniu oceny powyższych aspektów, administrator powinien mieć na uwadze, że osobom, których dane dotyczą, przysługuje prawo do złożenia skargi do organu nadzorczego (Prezes Urzędu Ochrony Danych Osobowych), który może wszcząć postępowanie kontrolne, zobowiązać go do przesłania dodatkowych informacji oraz wyjaśnień, a w konsekwencji wymierzyć karę pieniężną za stwierdzone naruszenia.

Stan prawny na dzień: 27 października 2021 roku.

Autor: Jakub Cybul, kancelaria Graś i Wspólnicy

RODO