Spis treści
Cel prawa dostępu do danych, struktura art. 15 RODO i generalne zasady z tą kwestią związane
Prawo dostępu ma służyć gwarantowaniu osobie, której dane dotyczą, prawa do prywatności i ochrony danych osobowych w związku z ich przetwarzaniem, jak również do wykonywania innych praw wynikających z RODO (np. sprostowania, usunięcia, sprzeciwu).
Osobie, której dane dotyczą, należy zapewnić odpowiednią, przejrzystą i łatwo dostępną informację w kwestii przetwarzanych danych osobowych tej osoby, aby miała ona świadomość, co dzieje się z jej danymi, jakie procesy przetwarzania mają miejsce, jakie są konsekwencje takiego przetwarzania, jak również, aby mogła dokonać weryfikacji prawidłowości tych procesów.
W ocenie EROD kluczowe dla należytego rozpatrzenia wniosku dotyczącego prawa dostępu, w sposób zapewniający, że żaden element nie zostanie pominięty, jest właściwe zrozumienie struktury art. 15 RODO. W celu objaśnienia tej kwestii EROD wyodrębnił z art. 15 osiem różnych elementów, mianowicie:
- potwierdzenie, czy dane wnioskodawcy są, czy też nie są przetwarzane przez administratora;
- dostęp do danych osobowych wnioskodawcy;
- dostęp do informacji o procesach przetwarzania, jak w art. 15 ust. 1, tj. cele, kategorie danych, odbiorcy, przewidywany okres przetwarzania lub kryteria do określenia czasu przetwarzania, prawa osoby, której dane dotyczą – sprostowania, usunięcia, ograniczenia przetwarzania i sprzeciwu, wniesienia skargi do organu nadzorczego, wszystkie dostępne informacje o źródłach pochodzenia danych, jeśli nie zostały zebrane od osoby, której dane dotyczą, informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu i inne informacje z tym związane;
- informacje o odpowiednich zabezpieczeniach, o których mowa w art. 46 RODO, w przypadku transferu danych do państw trzecich;
- obowiązek administratora dostarczenia kopii danych osobowych podlegających przetwarzaniu;
- pobranie rozsądnej opłaty przez administratora, pokrywającej koszty administracyjne za wszelkie kolejne kopie, o które zwraca się wnioskujący;
- udostępnienie informacji w formie elektronicznej;
- uwzględnienie praw i wolności innych osób.
Jak zaznacza EROD, elementy 1-4 łącznie określają treść prawa dostępu, punkty 5-7 dotyczą warunków dostępu, oprócz ogólnych wymogów określonych w art. 12 RODO, pkt 8 uzupełnia limity i ograniczenia, które przewiduje art. 12 ust. 5 wobec osoby, której dane dotyczą, ze szczególnym naciskiem na prawa i wolności innych osób w kontekście dostępu.
Ogólne rozważania dotyczące oceny wniosków o prawo dostępu
Osoba, której dane dotyczą, składając wniosek o prawo dostępu, nie ma obowiązku jego uzasadniania. Do administratora nie należy natomiast analiza, czy udzielenie informacji zgodnie z wnioskiem rzeczywiście pozwoli stronie zweryfikować prawidłowość tego przetwarzania lub skorzystać z innych praw. Obowiązkiem administratora jest zareagować na wniosek, z wyjątkiem sytuacji, w których stwierdzi on, że wniosek jest składany w innym trybie niż wynikającym z przepisów ochrony danych, jak również, gdy zachodzą przesłanki, o których mowa w art. 12 ust. 5 RODO. Zgodnie z tym przepisem, jeżeli żądania osoby, której dane dotyczą, są ewidentnie nieuzasadnione lub nadmierne, w szczególności ze względu na swój ustawiczny charakter, administrator może:
- pobrać rozsądną opłatę, uwzględniając administracyjne koszty udzielenia informacji, prowadzenia komunikacji lub podjęcia żądanych działań; albo
- odmówić podjęcia działań w związku z żądaniem.
Obowiązek wykazania, że żądanie ma ewidentnie nieuzasadniony lub nadmierny charakter, spoczywa na administratorze.
Administrator powinien dokonać weryfikacji wniosku w kontekście tego, czy dotyczy on danych osobowych wnioskodawcy i wchodzi w zakres art. 15 RODO (również czy wniosek dotyczy wszystkich danych osoby, czy tylko części), czy też są inne, bardziej szczegółowe przepisy regulujące dostęp w tym zakresie.
Może się zdarzyć, że przepisy krajowe, wydane w oparciu o art. 23 RODO, ograniczają dostęp do pewnych informacji, regulując np. kwestię wymiany informacji pomiędzy stronami sporu prawnego.
Nie ma określonych wymogów co do formuły wniosku o prawo dostępu. Administrator powinien zapewnić łatwo dostępny sposób składania wniosków przez osoby, których dane dotyczą, przy czym nie ma obowiązku, aby osoba ta z niego korzystała, zamiast tego może się bowiem komunikować się z oficjalnym punktem kontaktowym administratora. EROD wskazał, że administrator nie ma obowiązku odpowiadania na wnioski wysłane na całkowicie przypadkowe lub niewłaściwe adresy.
W przypadku niemożliwości identyfikacji danych odnoszących się do wnioskodawcy administrator powinien poinformować go o tym fakcie i konieczności dostarczenia dodatkowych informacji umożliwiających identyfikację. Administrator powinien również zażądać od wnioskodawcy dodatkowych informacji umożliwiających weryfikację jego osoby, jeśli ma wątpliwości co do jego rzeczywistej tożsamości.
Obowiązek wydania kopii danych nie stanowi dodatkowego uprawnienia osoby, której dane dotyczą, lecz sposób udostępnienia danych, który jest głównym sposobem udostępnienia danych, choć w pewnych przypadkach inne sposoby mogą być bardziej właściwe (np. informacja ustna, wgląd do akt, dostęp na miejscu lub zdalny bez możliwości ściągnięcia danych). Wskazuje się, że taki sposób dostępu do danych może być właściwy, gdy interes osoby, której dane dotyczą, za tym przemawia lub gdy jest to sposób, który ta osoba wybrała. Administrator powinien rozsądnie rozważyć taką prośbę, nie ma on bowiem obowiązku przekazywania informacji w sposób inny niż poprzez wydanie kopii. Udostępnienie danych w sposób inny niż poprzez wydanie kopii nie pozbawia osoby, której dane dotyczą, prawa do posiadania także takiej kopii, chyba że w sposób niebudzący wątpliwości zrzeknie się tego prawa.
Zakres prawa dostępu
Integralną częścią oceny koniecznej do przeprowadzenia przez administratora jest ustalenie zakresu danych, co do których osoba, której dane dotyczą, ma prawo dostępu. Administrator musi zatem rozróżnić dane osobowe od innych danych, których wniosek nie obejmuje. Wskazać również należy, że prawo dostępu można wykonywać wyłącznie w zakresie objętym rzeczowym i terytorialnym zasięgiem RODO.
EROD odniósł się do definicji pojęcia danych osobowych, podkreślając jego szeroki charakter, który powinien być oceniany w kontekście art. 4 ust. 1 RODO, wskazując za orzecznictwem Trybunału Sprawiedliwości Unii Europejskiej, że za dane osobowe można uznać także notatki poczynione na dokumencie, dotyczące osoby, której dane dotyczą (np. notatki osoby przeprowadzającej rozmowę kwalifikacyjną z kandydatem na jego dokumencie CV).
EROD wskazuje również, że w ramach prawa dostępu w pojęciu danych osobowych zawierają się także dane dotyczące osoby wytworzone przez usługodawcę (odmiennie niż przy realizacji prawa do przenoszenia danych, które swoim zakresem obejmuje wyłącznie te dane, które dostarczyła osoba, której dane dotyczą).
Wnioskodawca może uzyskać dostęp tylko w zakresie dotyczącym tej osoby, z wyłączeniem danych dotyczących innych osób, których praw i wolności administrator musi także przestrzegać. Należy jednak zachować szczególną ostrożność, aby bezzasadnie nie poszerzyć przewidzianych prawem ograniczeń prawa dostępu, które są dopuszczalne tylko pod ściśle określonymi warunkami. EROD wskazuje przy tym, że prawo dostępu dotyczy danych osobowych osoby zgłaszającej żądanie, jednak zakresu tego nie powinno się interpretować nadmiernie restrykcyjnie, tj. zakres tych danych może obejmować dane innych osób, jako przykład podając historię komunikacji przychodzącej i wychodzącej (np. nagrania rozmów telefonicznych między osobą, której dane dotyczą, a administratorem).
Praktyczny kurs IOD
potwierdzi Twoje wysokie kompetencje
W wytycznych EROD porusza również sytuację kradzieży tożsamości, czyli kiedy pewna osoba nieuczciwie działa jako inna osoba. Ofiara takiego przestępstwa powinna wówczas otrzymać wszystkie dane dotyczące jej osoby, choćby zostały one zebrane od złodzieja tożsamości.
Jeżeli osoba, której dane dotyczą, wystąpiła z kolejnym wnioskiem o dostęp do swoich danych, administrator nie może wyłącznie poprzestać na udzieleniu informacji tylko o zmianach, jakie zaszły w stosunku do danych udostępnionych na poprzedni wniosek, chyba że wnioskodawca wyraźnie o to poprosi. Taka sytuacja powodowałaby bowiem, że wnioskodawca sam byłby zobligowany do samodzielnego porównania udostępnionych mu danych w celu skompletowania całości informacji.
Zapewniając dostęp do danych należy również zapewnić dodatkową informację o przetwarzaniu danych, która może być oparta na rejestrze czynności przetwarzania (art. 30 RODO) oraz informacji o ochronie danych (art. 13 i 14), przy czym w razie potrzeby należy ją stosownie zaktualizować lub dostosować, tak aby należycie odzwierciedlała operacje przetwarzania przeprowadzane w odniesieniu do osoby wnioskującej.
Sposób zapewnienia dostępu do danych
Sposób zapewnienia dostępu może różnić się w zależności od liczby danych i złożoności procesu przetwarzania. Jeśli wyraźnie nie zaznaczono inaczej, żądanie dostępu do danych powinno być rozumiane jako dotyczące wszystkich danych dotyczących wnioskodawcy. W przypadki dużej liczby danych przetwarzanych przez administratora może on zwrócić się o sprecyzowanie zakresu żądanych danych, jeśli wniósł on jedynie ogólną prośbą o dostęp.
EROD podaje w wytycznych pewne wskazówki i praktyczne przykłady wypełniania obowiązku związanego z prawem dostępu, wyjaśnia również, co rozumieć przez powszechnie używaną formę elektroniczną, poprzez którą udostępnia się kopię danych oraz terminy zapewnienia dostępu.
Ponieważ osoba, której dane dotyczą ma prawo dostępu do wszystkich informacji jej dotyczących, a przetwarzanych przez administratora, administrator w celu ustalenia całości zasobu tych danych powinien przeszukać swoje wszystkie systemy, zarówno informatyczne, jak i nieinformatyczne zbiory danych.
EROD zwraca uwagę, że już w fazie wdrażania środków technicznych i organizacyjnych dotyczących przetwarzania danych osobowych, administrator powinien wprowadzać funkcje umożliwiające przestrzeganie praw osób, których dane dotyczą. Powinny zatem być wprowadzone przez niego takie rozwiązania, które będą ułatwiały wyszukiwanie informacji w tym zakresie.
Zgodnie z art. 12 ust. 1 RODO, administrator podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem – w szczególności, gdy informacje są kierowane do dziecka – udzielić osobie, której dane dotyczą, wszelkich informacji, o których mowa w art. 13 i 14, oraz prowadzić z nią wszelką komunikację na mocy art. 15–22 i 34 w sprawie przetwarzania. Informacji udziela się na piśmie lub w inny sposób, w tym w stosownych przypadkach – elektronicznie. Jeżeli osoba, której dane dotyczą, tego zażąda, informacji można udzielić ustnie, o ile innymi sposobami potwierdzi się tożsamość osoby, której dane dotyczą.
W wytycznych EROD wskazuje jak rozumieć odpowiednie środki, o których mowa powyżej, mając na uwadze, że administrator ma ułatwiać osobie, której dane dotyczące, wykonywanie jej praw. Zaznacza, że odpowiednie środki nigdy nie mogą być rozumiane jako sposób ograniczenia zakresu danych objętych prawem dostępu. Nie oznacza on również, że można równoważyć wysiłki administratora, jakie musi podjąć w celu dostarczenia informacji z jakimkolwiek interesem osoby, której dane dotyczą. Przy ocenianiu odpowiednich środków celem powinien być wybór najwłaściwszej metody dostarczenia wszystkich informacji w ramach prawa dostępu, w zależności od konkretnych okoliczności danego przypadku.
Głównym sposobem zapewniania dostępu do danych osobowych jest wydanie kopii przetwarzanych danych wraz z uzupełniającą informacją, o czym była mowa we wcześniejszej części artykułu.
W przypadku, gdy osoba, której dane dotyczą, zwraca się o kopię danych drogą elektroniczną i jeżeli nie zaznaczy inaczej, informacji udziela się powszechnie stosowaną formą elektroniczną. RODO nie precyzuje co kryje się pod tym terminem, natomiast EROD pokusił się o rozwinięcie tej kwestii w wytycznych. Przede wszystkim zaznaczył, że to, co może być uznane za powszechnie używaną formę elektroniczną, powinno opierać się na rozsądnych oczekiwaniach osób, których dane dotyczą, a nie odnosić się do tego, jakiego formatu używa administrator w swojej codziennej działalności. Osoba, której dane dotyczą, nie powinna być zobowiązana do zakupu określonego oprogramowania w celu uzyskania dostępu do Informacji. Zastosowana forma elektroniczna powinna być zrozumiała i łatwo dostępna. Powinna być również stała, trwała w czasie. W stosownych przypadkach kopia danych osobowych może być przechowywana na elektronicznym urządzeniu pamięci masowej, takim jak CD lub USB.
EROD zastrzega również, że aby administrator mógł uznać, że udostępnił dane osobowe osobie, której one dotyczą, nie wystarczy samo udostępnienie danych, lecz konieczne jest, by osoba miała możliwość pobrania swoich danych w powszechnie stosowanej formie elektronicznej.
W terminie miesiąca od dnia wpływu wniosku administrator powinien poinformować o podjętych działaniach w związku z żądaniem. Termin ten można przedłużyć o kolejne dwa miesiące z uwagi na charakter żądania lub liczbę żądań, pod warunkiem, że osoba została poinformowana o przyczynach takiego opóźnienia w ciągu miesiąca od wpływu wniosku.
EROD wskazuje, że termin zaczyna biec od dnia wpłynięcia wniosku do jednego z oficjalnych kanałów; nie ma przy tym znaczenia, czy administrator faktycznie zauważył wpływ takiego wniosku. W przypadku, gdy administrator musi skontaktować się z wnioskodawcą z uwagi na niepewność co do jego tożsamości lub konieczność sprecyzowania zakresu czynności przetwarzania, którego dotyczy żądanie, może nastąpić zawieszenie tego terminu do momentu uzyskania potrzebnych dodatkowych informacji, pod warunkiem że administrator niezwłocznie o te informacje wystąpił.
EROD wskazuje, że sam fakt, że spełnienie żądania dostępu do danych wymaga dużego wysiłku, nie stanowi o złożoności żądania. Podobnie jak fakt, że do administratora wpływa duża liczba wniosków dotyczących prawa dostępu, choć jako wyjątek mogący uzasadniać przedłużenie terminu EROD wskazuje sytuację, gdy na przykład ze względu na nadzwyczajny rozgłos dotyczący działalności administratora w krótkim czasie otrzyma on dużą ilość takich wniosków. Niemniej podkreśla, że administrator, zwłaszcza ten, który obsługuje dużą ilość danych, powinien mieć wdrożone procedury i mechanizmy pozwalające na realizację żądań w terminie w normalnych okolicznościach.
Ograniczenia dostępu
Prawo dostępu podlega ograniczeniom wynikającym z praw i wolności innych osób, o których mowa w art. 15 ust. 4 RODO, ewidentnej niezasadności lub nadmierności żądania, o czym wspomina art. 12 ust. 5 RODO, jak również ograniczeniom wynikającym z przepisów unijnych bądź państw członkowskich UE, wprowadzonym zgodnie z art. 23 RODO oraz (z pewnymi zastrzeżeniami) dotyczącym przetwarzania danych osobowych do celów badań naukowych lub historycznych lub do celów statystycznych, jeśli prawdopodobne jest, że prawa te uniemożliwią lub poważnie utrudnią realizację wspomnianych konkretnych celów i jeżeli wyjątki takie są konieczne do realizacji tych celów. Podobnie odstępstwa w zakresie m.in. prawa dostępu mogą dotyczyć przetwarzania do celów dziennikarskich, wypowiedzi akademickiej, artystycznej lub literackiej, jeśli takowe zostaną przewidziane przez państwo członkowskie zgodnie z RODO.
Nie dopuszcza się żadnych innych odstępstw czy wyjątków od prawa dostępu. Nie wolno również ograniczać tego prawa w ramach umowy między administratorem a osobą, której dane dotyczą.
Prawo dostępu nie powinno negatywnie wpływać na prawa lub wolności innych osób, w tym także na tajemnice handlowe lub własność intelektualną, a w szczególności prawa autorskie chroniące oprogramowanie. Każdorazowo należy dokonywać stosownej oceny danego przypadku w kontekście art. 15 . ust. 4 RODO, biorąc pod uwagę prawdopodobieństwo i dotkliwość możliwego zagrożenia praw i wolności. Jak wskazuje EROD, owe prawa lub wolności mogą również dotyczyć administratora lub podmiotu przetwarzającego, gdyby bowiem ustawodawca unijny chciał wykluczyć prawa i wolności administratorów lub podmiotów przetwarzających, użyłby terminu „strona trzecia”, zdefiniowanego w art. 4 ust. 10 RODO.
Nie można powoływać się na prawa i wolności innych mając jedynie ogólną obawę, że wykonanie prawa dostępu może niekorzystnie na nie wpływać. Administrator musi być w stanie wykazać, że wykonanie prawa dostępu w danej konkretnej sytuacji faktycznie niekorzystnie wpłynie na prawa innej osoby. Wynikiem tych rozważań nie powinna być odmowa udzielenia wszystkich informacji o osobie, której dane dotyczą, lecz np. w przypadku, gdy ograniczenie ma zastosowanie, informacje dotyczące innych osób administrator powinien uczynić nieczytelnymi (np. w przypadku wydania kopii danych).
EROD konkluduje, że prawo ochrony danych osobowych nie jest prawem absolutnym, dlatego też musi być zrównoważone z innymi prawami podstawowymi. Oceniając, że realizacja prawa dostępu wpłynie na prawa i wolności innych osób, administrator powinien postarać się pogodzić sprzeczne prawa, np. wdrażając środki ograniczające ryzyko naruszenia. Jeśli jednak takie pogodzenie nie będzie możliwe, administrator będzie musiał zdecydować, które ze sprzecznych praw i wolności ma pierwszeństwo.
Sprawdź co pamiętasz - za poprawną odpowiedź nagroda!
Osoba, której dane dotyczą: