Osoba, której dane dotyczą, powinna mieć możliwość zweryfikowania, czy przetwarzanie jej danych jest zgodne z pierwotnym celem oraz zgodnością z prawem, adekwatne, stosowne oraz ograniczone do tego, co niezbędne do owego celu, prawidłowe i w razie potrzeby uaktualniane, przechowywane tylko przez niezbędny czas i odpowiednio zabezpieczone.
Kumulatywność żądań uzyskania dostępu do danych osobowych
Równocześnie w praktyce pojawiają się przypadki skumulowanych żądań pochodzących od osób, których dane dotyczą, np. uzyskania prawa dostępu do swoich danych osobowych wraz z równoczesnym ich usunięciem (tzw. „prawo do bycia zapomnianym” uregulowane w art. 17 RODO). Przykładem takiej sytuacji będzie udzielenie przez osobę (kandydata do pracy) zgody na wykorzystanie jej danych na potrzeby kolejnych rekrutacji prowadzonych przez danego pracodawcę, a po pewnym czasie żądanie ich usunięcia (np. na skutek negatywnych doświadczeń związanych z pierwotną rekrutacją), poprzedzone wnioskiem o dostęp do danych, np. w celu uzyskania pełnej i aktualnej wiedzy na temat danych, które podała w tym konkretnym przypadku.
Czy zatem jednoczesne żądanie prawa dostępu do danych osobowych i ich usunięcia stanowi kolizję działań dla administratora? Którą ze wskazanych czynności powinien on podjąć w pierwszej kolejności albo czy wręcz posiada uprawnienie do usunięcia danych bez udzielenia uprzedniej informacji co do przetwarzanych danych?
Kolizja działań administratora?
Przepisy RODO nie regulują wprost takich działań. Niemniej charakterystyką podobnego aspektu zajął się Krajowy Komisarz Ochrony Danych i Wolności Informacji Nadrenii-Palatynatu (Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz),
którą opisał w sprawozdaniu ze swojej działalności za rok 2019.
Rezultatem wykonania prawa dostępu do danych osobowych powinno być takie działanie administratora, w którym udziela on osobie żądającej dostępu do swoich danych w terminie miesiąca od otrzymania żądania (w uzasadnionych przypadkach spowodowanych np. skomplikowanym charakterem żądania może przedłużyć ten termin o kolejne dwa miesiące). Warto w tym miejscu przywołać stanowisko bawarskiego organu nadzorczego w przedmiocie prawa dostępu do danych osobowych. Stwierdził on, iż art. 15 RODO nie przyznaje osobie, której dane dotyczą, możliwości uzyskania (foto)kopii dokumentów oraz korespondencji (w tym e-mail) zawierających jej dane osobowe.
Krajowy Komisarz Ochrony Danych i Wolności Informacji zwrócił także uwagę na okres, jaki powinien upłynąć pomiędzy jedną czynnością administratora a drugą. Jego zdaniem, administrator powinien przekazać osobie, której dane dotyczą informacje, o których mowa w art. 15 RODO, jak również wskazać okres, po jakim zrealizuje prawo do bycia zapomnianym (pod warunkiem, że osoba, której dane dotyczą, nie wniesie sprzeciwu wobec takiego działania w wyznaczonym okresie). Wraz z upływem karencji, w razie braku sprzeciwu, administrator informuje o usunięciu danych, a następnie dokonuje tego w swoich systemach.
Prawo do bycia (nie) zapomnianym
Rzecz jasna, prawo do bycia zapomnianym nie jest prawem bezwzględnym. Wyłączenia jego stosowania określa art. 17 ust. 3 RODO, który stanowi, że nie ma ono zastosowania, gdy administrator przetwarza dane i jest to niezbędne:
- do korzystania z prawa do wolności wypowiedzi i informacji,
- do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi,
- z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego,
- do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1, o ile prawdopodobne jest, że prawo, o którym mowa w ust. 1, uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania,
- do ustalenia, dochodzenia lub obrony roszczeń.
Powyższe rozważania eliminują możliwość wystąpienia kolizji wskutek konieczności dualistycznego działania administratora wobec osoby żądającej równoczesnego dostępu do jej danych, jak i ich usunięcia wraz ze wskazaniem na okres karencji pomiędzy tymi działaniami. Istotne jest również to, że administrator nie powinien przetrzymywać danych osobowych wyłącznie w celu reagowania na ewentualne żądania, bowiem stanowiłoby to przekroczenie jego uprawnień, a w szczególności ograniczenia przechowywania danych.
Artykuł na podstawie: Sprawozdania z działalności Krajowego Komisarza Ochrony Danych i Wolności Informacji Nadrenii-Palatynatu.