Mówiąc o prawach osób, których dane dotyczą, mamy oczywiście na myśli katalog wynikający z art. 15 –22 RODO, tj. prawa do: dostępu do danych, sprostowania danych, usunięcia danych (prawo do bycia zapomnianym), ograniczenia przetwarzania danych, przenoszenia danych, sprzeciwu, niepodlegania decyzjom opartym wyłącznie na zautomatyzowanym przetwarzaniu.
Z wnioskiem o realizację konkretnego prawa może zwrócić się do administratora każda osoba, której dane dotyczą. Żądania odnoszące się do sprostowania danych, przenoszenia danych oraz niepodlegania decyzjom opartym wyłącznie na zautomatyzowanym przetwarzaniu zdarzają się stosunkowo rzadko.
Najczęściej zaś do administratorów spływają wnioski o usunięcie danych (realizacja prawa do bycia zapomnianym). W następnej kolejności można wymienić wnioski z żądaniem realizacji prawa dostępu do danych. Powszechnie osoby fizyczne stosują prawo do usunięcia danych zamiennie ze zgłoszeniem sprzeciwu wobec przetwarzania danych czy jego ograniczenia. Biorąc pod uwagę konkretny stan faktyczny, administrator musi we własnym zakresie ocenić i ustalić, jaka była intencja osoby zgłaszającej żądanie.
Od kogo spływa najwięcej żądań?
Praktyka pokazuje, że najczęściej żądania spływają od byłych klientów czy kontrahentów administratora, dla których zakończenie współpracy z konkretną firmą bywa jednoznaczne ze skierowaniem do niej żądania usunięcia danych. Równie często z takim żądaniem zwracają się pracownicy do swoich byłych pracodawców.
Mimo że administrator zwykle nie będzie miał obowiązku realizacji żądania usunięcia danych, ponieważ nadal będzie miał podstawy do ich dalszego przetwarzania w postaci np. przedawnienia roszczeń czy wypełnienia obowiązków nałożonych przez przepisy prawa (w zakresie przechowywania akt osobowych), zobowiązany jest poinformować osobę fizyczną, że jej dane nie mogą być usunięte, i wskazać podstawy prawne ich dalszego przetwarzania.
Duża liczba żądań, zazwyczaj dotyczących usunięcia danych lub dostępu do danych, wpływa również od kandydatów do pracy, zwłaszcza tych, którzy nie otrzymali propozycji zatrudnienia. Sytuacja rysuje się podobnie jak w przypadku potencjalnych klientów czy kontrahentów, z którymi finalnie nie doszło do zawarcia umowy.
Z jakimi problemami administratorzy borykają się najczęściej przy realizacji praw osób fizycznych?
Praktyka pokazuje, że pierwsza trudność przy rozpatrywaniu wniosków spływających od osób fizycznych pojawia się już przy samej ocenie zasadności konkretnego żądania. Nie zawsze bowiem administratorzy mają stuprocentową pewność, że należy przychylić się do prośby osoby fizycznej. Jednak zawsze trzeba pamiętać o tym, że administrator nie powinien pozostawiać żadnych wniosków osób fizycznych bez odpowiedzi – nawet jeśli żądanie realizacji konkretnego prawa zostało sformułowane w sposób pośredni.
Niemniej dylematy administratorów nie kończą się na rozstrzygnięciu, czy mogą usunąć konkretne dane bądź czy uwzględnić sprzeciw zgłoszony wobec przetwarzania. Po wstępnej analizie żądania pojawiają się kolejne wątpliwości dotyczące:
- weryfikacji tożsamości osoby fizycznej zwracającej się z żądaniem,
- prawidłowej formy odpowiedzi udzielanej osobie fizycznej,
- możliwości wydłużenia terminu na udzielenie odpowiedzi,
- postępowania z żądaniami, które sformułowane są niejasno i mało precyzyjnie.
Weryfikacja tożsamości osoby fizycznej
Przed udzieleniem odpowiedzi na otrzymane żądanie realizacji prawa osoby fizycznej administrator powinien zweryfikować tożsamość wnioskodawcy, aby zminimalizować niebezpieczeństwo ujawienia danych osobie nieuprawnionej. Zdecydowana większość żądań osób fizycznych wpływa na dedykowane skrzynki mailowe administratorów danych.
Najczęstszym sposobem weryfikacji jest więc porównanie adresu e-mail, z którego wpłynęło żądanie, z adresem e-mail, który administrator ma w swojej bazie danych. Jeżeli okaże się, że w jego bazie brakuje takiego samego adresu e-mail jak ten, z którego wpłynęło żądanie, dalsza weryfikacja może zostać przeprowadzona na podstawie innych danych, które osoba fizyczna udostępnia w wiadomości e-mail. Administrator może też zwrócić się do tej osoby z prośbą o udostępnienie danych niezbędnych do weryfikacji, które administrator ma w swojej bazie, np. numeru telefonu czy numeru polisy (w przypadku chociażby zakładów ubezpieczeń). Dopiero gdy uzyska pewność co do tożsamości osoby fizycznej, która chce zrealizować swoje prawo, może udzielić jej stosownej odpowiedzi.
Forma udzielenia odpowiedzi
Przepisy RODO nie narzucają żadnej konkretnej formy, w jakiej administrator powinien udzielić odpowiedzi osobie fizycznej. Zazwyczaj odpowiedź będzie uzależniona od tego, w jakiej formie administrator otrzymał żądanie. Możemy wskazać trzy formy, w jakiej administratorzy udzielają odpowiedzi osobom fizycznym:
- elektroniczna,
- pisemna,
- ustna.
Odpowiedź w formie elektronicznej jest zazwyczaj udzielana w wiadomości e-mail, jest to bowiem najczęstszy sposób kontaktu ze strony osób fizycznych. Nie ma wątpliwości, że na zapytanie osoby fizycznej otrzymanie w tej formie administrator powinien odpowiedzieć w tożsamy sposób. Warto w tym miejscu zwrócić uwagę na art. 12 ust. 3 in fine RODO: „Jeśli osoba, której dane dotyczą, przekazała swoje żądanie elektronicznie, w miarę możliwości informacje także są przekazywane elektronicznie, chyba że osoba, której dane dotyczą, zażąda innej formy”. Ponadto zgodnie z motywem 59 RODO: „Administrator powinien zapewnić możliwość wnoszenia odnośnych żądań także drogą elektroniczną, w szczególności gdy dane osobowe są przetwarzane drogą elektroniczną”. Obecnie administratorzy przetwarzają wszystkie dane, a na pewno znaczną ich część, w formie elektronicznej, dlatego ta forma komunikacji między osobą fizyczną a administratorem ma największe znaczenie.
Odpowiedzi są udzielane pisemnie najczęściej wtedy, gdy osoba fizyczna skieruje swoje żądanie w takiej właśnie formie, czyli np. wyśle je listem poleconym na adres administratora. Powinien on wówczas rozważyć udzielenie odpowiedzi w takiej samej formie, nawet jeśli dysponuje adresem e-mail osoby fizycznej. Przyczyną skierowania zapytania właśnie w formie pisemnej mogło być bowiem to, że osoba ta ma ograniczony dostęp do Internetu. Istotne w przypadku otrzymania wniosku w formie pisemnej jest ponadto odpowiednie odnotowanie odbioru przesyłki, gdyż od tej daty zaczyna upływać termin na udzielenie odpowiedzi administratora.
Jeżeli chodzi o udzielanie odpowiedzi w formie ustnej, jest to dość rzadka praktyka. Administratorzy czasami wykorzystują tę formę, jeżeli osoba fizyczna wyraźnie nalega na udzielenie odpowiedzi podczas rozmowy telefonicznej. Jednak stosunkowo rzadko administrator będzie w stanie realizować zgłoszenie na bieżąco, w trakcie rozmowy.
Wydaje się więc, że ostatecznej odpowiedzi będzie mógł udzielić dopiero po weryfikacji konkretnego żądania. Ponadto problematyczna może być weryfikacja tożsamości osoby fizycznej w trakcie rozmowy telefonicznej. Administrator nie może bowiem udzielić żadnych informacji, dopóki nie upewni się, że rozmawia z właściwą osobą. W tym celu może np. poprosić o podanie konkretnych danych, które są w jego posiadaniu.
Dodatkowo w przypadku realizacji żądania wyłącznie w formie ustnej pojawia się problem z zachowaniem zasady rozliczalności, brak jest bowiem dowodu, że osoba fizyczna otrzymała odpowiedź (chyba że rozmowa była nagrywana). Reasumując, forma ustna nie jest powszechnie stosowana z uwagi na trudności w rozpatrywaniu żądań w trakcie bieżącej rozmowy oraz kłopoty związane z weryfikacją tożsamości dzwoniącej osoby.
Niezależnie od formy udzielanej odpowiedzi należy pamiętać, aby była ona sformułowana jasnym i prostym językiem, w miarę możliwości pozbawionym specjalistycznego słownictwa, które mogłoby być niezrozumiałe dla osoby fizycznej. Administrator powinien bowiem udzielić odpowiedzi, która będzie przystępna i czytelna dla odbiorcy.
Termin udzielenia odpowiedzi
Zgodnie z art. 12 ust. 3 RODO administrator powinien zrealizować zgłoszone żądanie i udzielić odpowiedzi osobie fizycznej tak szybko, jak to możliwe, a maksymalnie w terminie miesiąca. Europejski ustawodawca dopuszcza jednak możliwość przedłużenia terminu miesięcznego o kolejne dwa miesiące.
To oznacza, że administrator może wydłużyć czas na udzielenie odpowiedzi do trzech miesięcy, jeżeli skierowane żądanie jest skomplikowane i wymaga tym samym dużego nakładu pracy lub gdy wpłynęło bardzo dużo żądań jednocześnie. Jeżeli jednak administrator chce skorzystać z możliwości przedłużenia terminu, w ciągu miesiąca musi poinformować o tym fakcie osobę fizyczną oraz podać przyczyny opóźnienia.
Jakie są najczęstsze powody wydłużenia terminu na realizację żądania? Praktyka pokazuje, że administratorzy są zmuszeni korzystać z tej możliwości w szczególności, gdy:
- dane osobowe są przetwarzane w dużej liczbie systemów informatycznych,
- struktura organizacyjna administratora jest złożona i obejmuje również działalność w innych państwach członkowskich, a także poza granicami UE,
- nie ma opracowanych i wdrożonych procedur realizacji praw osób, których dane dotyczą, co implikuje brak wiedzy po stronie pracowników w zakresie tego, jak należy postępować z takimi żądaniami,
- duża ilość danych osobowych jest przetwarzana w formie papierowej, co uniemożliwia sprawne i systemowe wyszukiwanie konkretnych danych, a ponadto wymaga dużego nakładu pracy po stronie pracowników, którzy muszą wykonywać czynności weryfikacyjne ręcznie.
Podrzuć pracownikom
wartościowe e-szkolenia - bezpłatnie
Nic prostszego - skopiuj i prześlij im odpowiednie linki.
Problem ze skutecznym usunięciem danych może pojawić się również wtedy, gdy dane są zarchiwizowane. W praktyce odnalezienie i usunięcie takich danych może generować duże nakłady pracy i kosztów, zwłaszcza gdy administrator zmaga się z dużą liczbą żądań dotyczących usunięcia danych, pojawiających się jednocześnie.
Niejasne i mało precyzyjne żądania
Administratorzy niejednokrotnie otrzymują żądania, z których treści nie wynika jasno i bezpośrednio, czego oczekuje osoba fizyczna. Ponadto nie zawsze ławo rozróżnić podobne do siebie prawa, które z punktu widzenia osoby fizycznej wywołują tożsamy skutek w postaci zaprzestania przetwarzania jej danych osobowych, tj. prawo do usunięcia danych, prawo do sprzeciwu czy prawo do ograniczenia przetwarzania.
Dlatego administrator każdorazowo powinien doprecyzować oczekiwania osoby fizycznej, jeżeli nie jest w stanie samodzielnie ich ocenić. Zdarza się bowiem, że klient administratora – chociaż wciąż ma aktywną umowę – zwraca się z żądaniem realizacji prawa do bycia zapomnianym i chce, aby administrator zaprzestał wobec niego działań marketingowych, na które wcześniej wyraził zgodę. z kolei były pracownik może zgłosić sprzeciw wobec przetwarzania danych nie dlatego, że chce, aby pracodawca pozbył się jego akt osobowych, ale dlatego, że chciałby odwołać zgodę na udział w przyszłych rekrutacjach i nie otrzymywać więcej ofert od byłego pracodawcy.
Podsumowanie
Mając powyższe na uwadze, administrator powinien dokładnie analizować każde żądanie, które do niego wpływa, aby nie narazić się na zarzut zaniechania realizacji prawa przysługującego osobie fizycznej. Jest to o tyle ważne, że argument nieprecyzyjnie sformułowanego żądania nie przemawiałby na korzyść administratora w razie złożenia ewentualnej skargi przez osobę fizyczną, która nie otrzymała odpowiedzi, bądź w przypadku kontroli Urzędu Ochrony Danych Osobowych. Trzeba bowiem pamiętać, że istotą RODO jest maksymalne objęcie ochroną osób fizycznych i ułatwienie dochodzenia należnych im praw.