Prawo dostępu do danych – nowe wytyczne Europejskiej Rady Ochrony Danych

Jednym z najistotniejszych celów RODO jest harmonizacja zasad przetwarzania i ochrony danych osobowych w państwach członkowskich UE. W styczniu 2022 roku Europejska Rada Ochrony Danych (EROD) opublikowała treść wytycznych dotyczących prawa dostępu do danych (Guidelines 01/2022 on data subject rights – Right of access z 18 stycznia 2022 r., dalej: „Wytyczne”). Wytyczne zostaną poddane teraz publicznym konsultacjom, a następnie zostaną zatwierdzone przez EROD i opublikowana zostanie ich ostateczna treść.

Prawo dostępu do danych to jedno z najważniejszych praw przyznanych przez RODO osobom fizycznym w kontekście przetwarzania ich danych osobowych. Wiedza o tym jakie dane i w jaki sposób są przetwarzane oraz prawo uzyskania dostępu do nich, pozwala podmiotom danych na odpowiednie zarządzanie ich danymi i może stanowić podstawę do wykonywania innych praw przyznanych przez RODO. Poniżej przedstawiamy omówienie najistotniejszych w naszej ocenie aspektów prawa dostępu do danych:

  • prawa do potwierdzenia faktu przetwarzania danych,
  • prawa do kopii danych oraz
  • obowiązku weryfikacji tożsamości osoby wnioskującej.

Prawo do uzyskania potwierdzenia faktu przetwarzania

W myśl art. 15 RODO prawo dostępu obejmuje m. in. prawo do uzyskania od administratora potwierdzenia, że przetwarza on dane osobowe konkretnej osoby fizycznej oraz prawo do uzyskania od administratora konkretnych informacji dotyczących przetwarzania jej danych. Pierwszym elementem prawa dostępu do danych jest zatem zobowiązanie administratora do potwierdzenia osobie, której dane dotyczą, faktu przetwarzania jej danych osobowych lub potwierdzenia ich nieprzetwarzania. Osoba może zatem najpierw zapytać, czy administrator posiada (przetwarza) jej dane osobowe, a po uzyskaniu takiego potwierdzenia podjąć dalsze kroki (np. poprosić o kopię danych).

Jednocześnie podmiot danych ma prawo do uzyskania konkretnych informacji o przetwarzaniu danych osobowych, takich jak cel, kategorie i odbiorcy danych, czas przetwarzania, prawa osób, których dane dotyczą, czy wreszcie odpowiednie zabezpieczenia w przypadku przekazywania danych do państw trzecich.

Wytyczne wskazują, że potwierdzenie faktu przetwarzania danych osobowych może zostać dokonane w sposób odrębny, ale też może być połączone z udzieleniem podmiotowi danych informacji o samym procesie przetwarzania. W praktyce często bowiem zdarza się, że zainteresowana osoba formułuje swoje żądanie w sposób warunkowy (np. „proszę o potwierdzenie czy Państwa firma przetwarza moje dane osobowe, a jeśli tak to […]”), zatem w przypadku odpowiedzi na takie warunkowe żądanie można posłużyć się jedną, wspólną odpowiedzią na oba żądania.

Uzyskanie kopii danych

Zgodnie z przepisem art. 15 ust. 3 RODO osoba, której dane dotyczą, może domagać się bezpłatnej kopii danych osobowych od administratora danych. Administrator jest zobowiązany zapewnić bezpłatna pierwszą kopię danych, nawet w przypadku, gdy koszt stworzenia takiej kopii jest wysoki (np. kopia nagrania rozmowy telefonicznej).

W myśl  Wytycznych prawo do uzyskania kopii danych zapewnia dostęp do danych oraz dotyczy całości danych przetwarzanych przez administratora, a nie jedynie streszczenia czy listy takich informacji.

Zakres prawa dostępu do danych wyznaczony został przez definicję danych osobowych ujętą w art. 4 RODO, zatem prawem dostępu objęte są wszystkie informacje przetwarzane przez administratora danych, które w świetle przywołanej definicji stanowią dane osobowe. W niektórych przypadkach (np. w odniesieniu do mediów społecznościowych) ilość takich informacji o zidentyfikowanej osobie jest ogromna i wymaga zaimplementowania aplikacji lub modułu umożliwiającego dostęp do takich danych.

Celem wprowadzenia obowiązku przekazania kopii jest umożliwienie osobie, której dane dotyczą, poznania i zweryfikowania procesu przetwarzania danych również w zakresie jego zgodności z prawem. Po zapoznaniu się z kopią danych osobowych można także składać kolejne wnioski np. o sprostowanie danych lub nawet sprzeciwić się przetwarzaniu wszystkich bądź niektórych rodzajów danych.

Zgodnie z Wytycznymi pojęcie „kopii” należy interpretować szeroko. Przepisy RODO ani Wytyczne nie przewidują konkretnej formy w jakiej ma nastąpić udostępnienie kopii danych. W tym zakresie należy zauważyć, że kopia danych może przybrać różną formę – musi jednak być odczytywalna dla podmiotu danych, kompletna i umożliwiać jej zachowanie na przyszłość.

Zgodnie z art. 15 ust. 3 RODO podmiot danych może także zwrócić się z wnioskiem o kolejne kopie danych, jednak w tym wypadku przepisy przewidują możliwość pobrania opłat za wydanie kolejnych (drugiej i każdej kolejnej) kopii danych. Opłaty te muszą być w rozsądnej wysokości i odpowiadać administracyjnym kosztom utworzenia takiej kopii.

Należy jednak pamiętać, że możliwość pobrania opłaty dotyczy dopiero drugiej i kolejnych kopii danych. W przypadku gdy dana osoba złożyła już wniosek o kopię, a nowy wniosek dotyczy tego samego zakresu danych, należy tę sytuację traktować jako wniosek o wydanie kolejnej kopii. Z kolei, jeżeli osoba, której dane dotyczą, chce uzyskać informacje na temat danych przetwarzanych w innym czasie (np. po upływie kilku miesięcy) lub dotyczących innego zakresu danych niż ten, o który wcześniej wniosek złożono, prawo do uzyskania bezpłatnej kopii znów znajduje swoje zastosowanie.

Dodatkowo, należy wskazać, że jeżeli osoba, której dotyczą dane, ponowi pierwszy wniosek o udzielenie dostępu do danych z tego powodu, że otrzymana odpowiedź nie była kompletna lub nie podano powodów odmowy, zgodnie z Wytycznymi nie należy takiego działania traktować jako nowego wniosku.

W przypadku wniosku złożonego za pomocą środków elektronicznej komunikacji, informacji udzielać należy za pomocą takich samych środków elektronicznej komunikacji, jeżeli jest to możliwe i jeżeli osoba, której dane dotyczą, nie zażąda inaczej. Dodatkowo, administrator obowiązany jest do udzielenia odpowiedzi w powszechnie używanym formie elektronicznej, chyba że podmiot zażąda inaczej (Wytyczne wskazują tutaj przykładowo format PDF). Przy elektronicznym przekazywaniu pliku z danymi konieczne jest zapewnienie odpowiednich środków technicznych, które w sposób adekwatny do zidentyfikowanego ryzyka, będą służyć zapewnieniu ochrony takich danych.

Weryfikacja tożsamości

Na administratorze ciąży także obowiązek zweryfikowania tożsamości osoby, która wystąpiła o dostęp do danych osobowych (w tym o kopię danych). Poprzez weryfikację tożsamości administrator powinien wyeliminować ryzyko związane z udostępnieniem danych osobom nieuprawnionym, gdyż takie udostępnienie stanowiłoby naruszenie RODO i mogłoby podlegać karze pieniężnej.

Administrator powinien zatem przewidzieć odpowiednią – w kontekście istniejących u niego procesów przetwarzania – procedurę weryfikacji tożsamości, która określi jakie dane są konieczne do poprawnej identyfikacji tożsamości wnioskodawcy. W przypadku, gdy identyfikacja tożsamości jest utrudniona, Administrator może poprosić wnioskodawcę o dodatkowe dane, które pozwolą na poprawną identyfikację.

W treści Wytycznych wskazano bardzo istotny przykład przetwarzania danych związany z monitoringiem wideo. W typowej sytuacji Administrator często nie ma możliwości identyfikacji poszczególnych osób, których wizerunki zostały ujęte na nagraniach z kamer i w związku z tym może wskazać, że zidentyfikowanie nagrania o dostęp, do którego poproszono jest niemożliwe.  Jednakże w przypadku, gdy osoba zwróci się z wnioskiem podając przy tym np. dzień oraz godzinę, w której jej wizerunek został sfilmowany obowiązek udzielenia odpowiedzi na wniosek zaistnieje (w tym np. udostępnienia kopii nagrania).

Jeżeli administrator ma uzasadnione podstawy, by wątpić w tożsamość osoby wnioskującej, może on zażądać dodatkowych informacji w celu potwierdzenia jej tożsamości.. Jednakże administrator musi jednocześnie zadbać o to, by nie gromadzić więcej danych osobowych niż jest to konieczne do umożliwienia identyfikacji osoby składającej wniosek.

Warto podkreślić, że wykorzystywanie do weryfikacji dokumentów tożsamości niesie ze sobą ryzyko dla bezpieczeństwa danych osobowych i może prowadzić do niedozwolonego lub niezgodnego z prawem przetwarzania danych osobowych. Rekomendujemy zatem, aby do weryfikacji dokumentów tożsamości (w szczególności w połączeniu z przechowywaniem ich kopii) podchodzić z dużą ostrożnością.

Podkreślamy także, że wprawdzie prawo dostępu do danych będzie zazwyczaj wykonywane przez osoby, których dane dotyczą bezpośrednio, to możliwe jest także, że ktoś inny złoży wniosek w jej imieniu. Może to dotyczyć m.in. działania przez pełnomocnika lub opiekunów prawnych w imieniu osób niepełnoletnich, jak również działania przez inne podmioty za pośrednictwem portali internetowych. Zgodnie z Wytycznymi w niektórych okolicznościach tożsamość osoby upoważnionej do korzystania z prawa dostępu, jak również upoważnienia osoby trzeciej do działania w imieniu osoby, której dane dotyczą, mogą wymagać dodatkowej weryfikacji.

Podsumowanie

Prawo dostępu do informacji o przetwarzanych danych osobowych stanowi jedno z najważniejszych praw przysługujących osobie, której dane są przetwarzane. Omawiane Wytyczne stanowić będą z całą pewnością istotną wskazówkę w zakresie organizacji procesu realizacji prawa dostępu do danych. Z treścią Wytycznych można zapoznać się na pod tym adresem.

Niezależnie jednak od ostatecznej treści Wytycznych już teraz każdy administrator powinien pamiętać, aby analizując treść wniosku o dostęp do danych, ocenić, czy żądanie dotyczy danych osobowych osoby fizycznej składającej wniosek (weryfikacja tożsamości), czy żądanie wchodzi w zakres art. 15 RODO oraz czy istnieją inne szczegółowe przepisy regulujące dostęp do danych w danym sektorze lub procesie przetwarzania. Administrator powinien zbadać też, czy wniosek odnosi się do wszystkich czy tylko do części przetwarzanych danych dotyczących osoby, której dane dotyczą. Należy też odpowiednio przygotować organizację do wydawania kopii przetwarzanych danych osobowych w odniesieniu do każdej jednostki.

 

 

AUTORZY WPISU

Kamil Kozioł Senior Manager, Katowice

E: kamil.koziol@pl.Andersen.com
T: +48 668 690 891

Mateusz Hehnel Senior Associate, Katowice

E: mateusz.hehnel@pl.Andersen.com
T: +48 32 731 68 65

ZOSTAW SWÓJ KOMENTARZ

Your email address will not be published. Required fields are marked *

Aktualności