Wniosek dotyczący danych osobowych może zostać złożony w każdy sposób
Administrator danych osobowych nie może ograniczyć się do realizowania wyłącznie wniosków dotyczących danych osobowych złożonych w określony czy preferowany przez niego sposób – taki wniosek płynie z niedawnej decyzji włoskiego organu nadzorczego (Garante Per La Protezione Dei Dati Personali), w której ów organ stwierdził naruszenie przepisów i nałożył karę pieniężną w wysokości 20.000 EUR na włoski oddział Amazon.
Jednym z najważniejszych aspektów europejskiego ogólnego rozporządzenia o ochronie danych osobowych (RODO) jest przyznanie szeregu praw osobom fizycznym, których dane są przetwarzane (takich jak np. prawo dostępu czy prawo do bycia zapomnianym). W celu zapewnienia skuteczności przedmiotowych praw RODO ustanawia także przepisy nakazujące informowanie podmiotów danych o przysługujących im prawa oraz przepisy odnoszące się do sposobu obsługi takich wniosków przez administratora.
Niezależnie od tego, czy administrator uzyskał dane osobowe bezpośrednio od podmiotu danych, czy też z innych źródeł (np. od innego administratora) ma on obowiązek zakomunikowania podmiotowi określonych informacji, w tym m. in. swoją tożsamość oraz dane kontaktowe. Naturalnym jest zatem oczekiwanie, że osoby, których dane dotyczą swoje ewentualne wnioski będą kierować na dane kontaktowe podane administratora. Jak jednak wynika z decyzji włoskiego organu nadzorczego (dalej: DPA) administrator danych osobowych nie może się ograniczyć do przyjmowania wniosków za pomocą tak wyznaczonego kanału komunikacji.
Tło sprawy
Omawiana decyzja jest następstwem skargi złożonej przez byłego pracownika Amazon Italia Logistica s.r.l. (dalej: Amazon Italia), w której zarzucił on firmie brak realizacji prawa dostępu do danych wynikającego z art. 15 RODO mimo kilkukrotnego przesyłania stosownego wniosku. Przedmiotem wniosku o dostęp do danych były m.in. certyfikaty uzyskane przez pracownika w trakcie stosunku pracy nawiązanego z Amazon Italia dotyczące m. in. podnośnika paletowego, robota paletyzującego, certyfikatów dostępu oraz innych. Z informacji udzielonych DPA przez Amazon Italia wynika, że wnioski byłego pracownika zostały jedynie częściowo zrealizowane, tzn. wyłącznie w wąskim zakresie dostępnym w używanym przez Amazon Italia programie kadrowym. Jednocześnie Amazon Italia wskazał, że część certyfikatów stanowi wewnętrzne odznaki („badge”) umiejętności Amazon i nie przybierają formy jakiej zwyczajowo oczekuje się od certyfikatu. W pozostałym zakresie Amazon Italia przyznał, że do niezrealizowania prawa byłego pracownika doszło wskutek szeregu nieprzewidzianych okoliczności.
Decyzja Organu
Włoski DPA uznał, że Amazon Italia dopuściła się naruszenia 12 i 15 RODO, gdyż nie tylko nie został zrealizowany wniosek byłego pracownika, ale także brak jego realizacji nie był zakomunikowany zgodnie z art. 12 ust. 4 RODO. Za bez znaczenia dla całości sprawy DPA uznał wyjaśnienia Amazon Italia, że wnioski zostały złożone m. in. na adres mailowy pracownika, który nie miał w swoim zakresie zadań żadnych czynności związanych z danymi osobowymi oraz uprawnień zarządczych. DPA wskazał, że zgodnie z oświadczeniem Amazon Italia tego typu wiadomości powinny być niezwłocznie przekazywane do działu Human Resources, który stosownie obsłuży takie wnioski. Organ wytknął także, iż wnioski zostały złożone także na dedykowany adres mailowy dot. ochrony danych osobowych kandydatów do pracy – co także zostało zignorowane przez Amazon Italia.
Włoski DPA wyjaśnił, że tego typu naruszenie nie może być uznane za naruszenie mniejszej wagi, gdyż jego natura, czas trwania, stopień odpowiedzialności administratora oraz sposób dowiedzenia się organu o tym naruszeniu są zbyt poważne.
Jednocześnie organ uznał, że kara pieniężna w wysokości 20 tys. EUR połączona z publikacją decyzji na stronie internetowej organu będzie wystarczająca.
Wnioski
Lektura powyższej decyzji włoskiego DPA wskazuje przede wszystkim na to jak poważnie organy nadzorcze traktują wszelkie naruszenia praw osób fizycznych przyznanych przez RODO, w szczególności prawo dostępu. Wynika to z faktu, że prawo dostępu do danych i płynąca za tym wiedza o tym jakie dane oraz w jaki sposób są przetwarzane są istotą RODO. Dlatego każda organizacja powinna przewidzieć sposób realizacji tego prawa w różnych scenariuszach (tzn., gdy o dostęp do danych prosi klient, pracownik, kontrahent etc.).
Realizację prawa dostępu do danych znacznie utrudnia brak inwentaryzacji procesów przetwarzania danych oraz ich wymiany pomiędzy poszczególnymi aplikacjami administratora danych osobowych.
Niemniej ważne jest także przewidzenie ścieżki dla wniosku – czyli przewidzenie możliwych kanałów, za pomocą których osoba fizyczna może złożyć stosowny wniosek oraz zapewnienie realizacji takiego wniosku w odpowiednim terminie. Dodatkowo powyższe działania powinny być wzmocnione szkoleniami dla pracowników, w trakcie których wyjaśniona zostanie waga wniosku osoby fizycznej oraz konieczność jego niezwłocznego przekazania do odpowiedniej osoby w organizacji. Należy pamiętać, że wniosek osoby fizycznej może być złożony w każdy sposób.
Bez zapewnienia realizacji praw osób, których dane dotyczą nie sposób mówić o zachowaniu zgodności z RODO czy o ochronie danych osobowych. Przestrzeganie praw osób fizycznych stanowi jednej z najważniejszych celów, jakie postawili przed sobą twórcy RODO i jakie jednocześnie stanowią cel działalności organów nadzorczych w poszczególnych krajach członkowskich Unii Europejskiej.
Zachęcamy do przejrzenia swoich procedur w tym zakresie oraz przetestowania ich w celu zminimalizowania ryzyka naruszenia praw osób, których dane dotyczą.
AUTOR WPISU
E: kamil.koziol@pl.Andersen.com
T: +48 668 690 891