Żądanie dostępu do danych i ich usunięcia: kolizja w działaniach administratora?

Prawo uzyskania od administratora dostępu do danych osobowych jednostki, której dane dotyczą wyrażone w art. 15 RODO, stanowi oczywistą konsekwencję zasady przejrzystości przetwarzania danych, wynikającą z art. 5 ust. 1 lit. a RODO. Nie można bowiem mówić o przetwarzaniu danych w sposób przejrzysty dla osoby, której dane dotyczą, gdy nie posiada ona informacji o podmiocie, który przetwarza jej dane lub jeśli ta osoba nie może uzyskać informacji, na jakich zasadach i przez kogo jest to procedowane.

Osoba, której dane dotyczą, powinna mieć możliwość zweryfikowania, czy przetwarzanie jej danych jest zgodne z pierwotnym celem oraz zgodnością z prawem, adekwatne, stosowne oraz ograniczone do tego, co niezbędne do owego celu, prawidłowe i w razie potrzeby uaktualniane, przechowywane tylko przez niezbędny czas i odpowiednio zabezpieczone.

Kumulatywność żądań uzyskania dostępu do danych osobowych

Równocześnie w praktyce pojawiają się przypadki skumulowanych żądań pochodzących od osób, których dane dotyczą, np. uzyskania prawa dostępu do swoich danych osobowych wraz z równoczesnym ich usunięciem (tzw. „prawo do bycia zapomnianym” uregulowane w art. 17 RODO). Przykładem takiej sytuacji będzie udzielenie przez osobę (kandydata do pracy) zgody na wykorzystanie jej danych na potrzeby kolejnych rekrutacji prowadzonych przez danego pracodawcę, a po pewnym czasie żądanie ich usunięcia (np. na skutek negatywnych doświadczeń związanych z pierwotną rekrutacją), poprzedzone wnioskiem o dostęp do danych, np. w celu uzyskania pełnej i aktualnej wiedzy na temat danych, które podała w tym konkretnym przypadku.

Czy zatem jednoczesne żądanie prawa dostępu do danych osobowych i ich usunięcia stanowi kolizję działań dla administratora? Którą ze wskazanych czynności powinien on podjąć w pierwszej kolejności albo czy wręcz posiada uprawnienie do usunięcia danych bez udzielenia uprzedniej informacji co do przetwarzanych danych?

Kolizja działań administratora?

Przepisy RODO nie regulują wprost takich działań. Niemniej charakterystyką podobnego aspektu zajął się Krajowy Komisarz Ochrony Danych i Wolności Informacji Nadrenii-Palatynatu (Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz),
którą opisał w sprawozdaniu ze swojej działalności za rok 2019.

Rezultatem wykonania prawa dostępu do danych osobowych powinno być takie działanie administratora, w którym udziela on osobie żądającej dostępu do swoich danych w terminie miesiąca od otrzymania żądania (w uzasadnionych przypadkach spowodowanych np. skomplikowanym charakterem żądania może przedłużyć ten termin o kolejne dwa miesiące). Warto w tym miejscu przywołać stanowisko bawarskiego organu nadzorczego w przedmiocie prawa dostępu do danych osobowych. Stwierdził on, iż art. 15 RODO nie przyznaje osobie, której dane dotyczą, możliwości uzyskania (foto)kopii dokumentów oraz korespondencji (w tym e-mail) zawierających jej dane osobowe.

Krajowy Komisarz Ochrony Danych i Wolności Informacji zwrócił także uwagę na okres, jaki powinien upłynąć pomiędzy jedną czynnością administratora a drugą. Jego zdaniem, administrator powinien przekazać osobie, której dane dotyczą informacje, o których mowa w art. 15 RODO, jak również wskazać okres, po jakim zrealizuje prawo do bycia zapomnianym (pod warunkiem, że osoba, której dane dotyczą, nie wniesie sprzeciwu wobec takiego działania w wyznaczonym okresie). Wraz z upływem karencji, w razie braku sprzeciwu, administrator informuje o usunięciu danych, a następnie dokonuje tego w swoich systemach.

RODO. Wspracie się przydaje!

Prawo do bycia (nie) zapomnianym

Rzecz jasna, prawo do bycia zapomnianym nie jest prawem bezwzględnym. Wyłączenia jego stosowania określa art. 17 ust. 3 RODO, który stanowi, że nie ma ono zastosowania, gdy administrator przetwarza dane i jest to niezbędne:

  1. do korzystania z prawa do wolności wypowiedzi i informacji,
  2. do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi,
  3. z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego,
  4. do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1, o ile prawdopodobne jest, że prawo, o którym mowa w ust. 1, uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania,
  5. do ustalenia, dochodzenia lub obrony roszczeń. 

Powyższe rozważania eliminują możliwość wystąpienia kolizji wskutek konieczności dualistycznego działania administratora wobec osoby żądającej równoczesnego dostępu do jej danych, jak i ich usunięcia wraz ze wskazaniem na okres karencji pomiędzy tymi działaniami. Istotne jest również to, że administrator nie powinien przetrzymywać danych osobowych wyłącznie w celu reagowania na ewentualne żądania, bowiem stanowiłoby to przekroczenie jego uprawnień, a w szczególności ograniczenia przechowywania danych.

Artykuł na podstawie: Sprawozdania z działalności Krajowego Komisarza Ochrony Danych i Wolności Informacji Nadrenii-Palatynatu.

Czytaj także:

Najczęstsze błędy przy zawieraniu umów powierzenia

"Jeden człowiek na etacie
może więcej niż zespół ekspertów"

Jesteś tego pewien?

Zoptymalizuj
koszty

Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Potwierdź swój adres e-mail
Wejdź na swoją skrzynkę pocztową, otwórz wiadomość od ODO 24 i potwierdź adres e-mail, klikając w link.
Jeżeli nie znajdziesz naszej wiadomości - sprawdź w folderze SPAM. Aby w przyszłości to się nie powtórzyło oznacz wiadomość jako pożądaną (klikniknij prawym przyciskiem myszy i wybierz “Oznacz jako wiadomość pożądaną”).
Odbierz bezpłatny pakiet 4 poradników
i 4 szkoleń e-learningowych RODO
4x4 - Odbierz bezpłatny pakiet 4 poradników i 4 szkoleń RODO
Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Administratorem Twoich danych jest ODO 24 sp. z o. o. >>>