Żądanie dostępu do danych i ich usunięcia: kolizja w działaniach administratora?

Prawo uzyskania od administratora dostępu do danych osobowych jednostki, której dane dotyczą wyrażone w art. 15 RODO, stanowi oczywistą konsekwencję zasady przejrzystości przetwarzania danych, wynikającą z art. 5 ust. 1 lit. a RODO. Nie można bowiem mówić o przetwarzaniu danych w sposób przejrzysty dla osoby, której dane dotyczą, gdy nie posiada ona informacji o podmiocie, który przetwarza jej dane lub jeśli ta osoba nie może uzyskać informacji, na jakich zasadach i przez kogo jest to procedowane.

Osoba, której dane dotyczą, powinna mieć możliwość zweryfikowania, czy przetwarzanie jej danych jest zgodne z pierwotnym celem oraz zgodnością z prawem, adekwatne, stosowne oraz ograniczone do tego, co niezbędne do owego celu, prawidłowe i w razie potrzeby uaktualniane, przechowywane tylko przez niezbędny czas i odpowiednio zabezpieczone.

Kumulatywność żądań uzyskania dostępu do danych osobowych

Równocześnie w praktyce pojawiają się przypadki skumulowanych żądań pochodzących od osób, których dane dotyczą, np. uzyskania prawa dostępu do swoich danych osobowych wraz z równoczesnym ich usunięciem (tzw. „prawo do bycia zapomnianym” uregulowane w art. 17 RODO). Przykładem takiej sytuacji będzie udzielenie przez osobę (kandydata do pracy) zgody na wykorzystanie jej danych na potrzeby kolejnych rekrutacji prowadzonych przez danego pracodawcę, a po pewnym czasie żądanie ich usunięcia (np. na skutek negatywnych doświadczeń związanych z pierwotną rekrutacją), poprzedzone wnioskiem o dostęp do danych, np. w celu uzyskania pełnej i aktualnej wiedzy na temat danych, które podała w tym konkretnym przypadku.

Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO

Dołącz do grona czytelników naszego biuletynu, odbierz bezpłatny pakiet i trzymaj rękę na pulsie.
ODBIERZ PAKIET
Czy zatem jednoczesne żądanie prawa dostępu do danych osobowych i ich usunięcia stanowi kolizję działań dla administratora? Którą ze wskazanych czynności powinien on podjąć w pierwszej kolejności albo czy wręcz posiada uprawnienie do usunięcia danych bez udzielenia uprzedniej informacji co do przetwarzanych danych?

Kolizja działań administratora?

Przepisy RODO nie regulują wprost takich działań. Niemniej charakterystyką podobnego aspektu zajął się Krajowy Komisarz Ochrony Danych i Wolności Informacji Nadrenii-Palatynatu (Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz),
którą opisał w sprawozdaniu ze swojej działalności za rok 2019.

Rezultatem wykonania prawa dostępu do danych osobowych powinno być takie działanie administratora, w którym udziela on osobie żądającej dostępu do swoich danych w terminie miesiąca od otrzymania żądania (w uzasadnionych przypadkach spowodowanych np. skomplikowanym charakterem żądania może przedłużyć ten termin o kolejne dwa miesiące). Warto w tym miejscu przywołać stanowisko bawarskiego organu nadzorczego w przedmiocie prawa dostępu do danych osobowych. Stwierdził on, iż art. 15 RODO nie przyznaje osobie, której dane dotyczą, możliwości uzyskania (foto)kopii dokumentów oraz korespondencji (w tym e-mail) zawierających jej dane osobowe.

Krajowy Komisarz Ochrony Danych i Wolności Informacji zwrócił także uwagę na okres, jaki powinien upłynąć pomiędzy jedną czynnością administratora a drugą. Jego zdaniem, administrator powinien przekazać osobie, której dane dotyczą informacje, o których mowa w art. 15 RODO, jak również wskazać okres, po jakim zrealizuje prawo do bycia zapomnianym (pod warunkiem, że osoba, której dane dotyczą, nie wniesie sprzeciwu wobec takiego działania w wyznaczonym okresie). Wraz z upływem karencji, w razie braku sprzeciwu, administrator informuje o usunięciu danych, a następnie dokonuje tego w swoich systemach.

RODO. Wspracie się przydaje!

Prawo do bycia (nie) zapomnianym

Rzecz jasna, prawo do bycia zapomnianym nie jest prawem bezwzględnym. Wyłączenia jego stosowania określa art. 17 ust. 3 RODO, który stanowi, że nie ma ono zastosowania, gdy administrator przetwarza dane i jest to niezbędne:

  1. do korzystania z prawa do wolności wypowiedzi i informacji,
  2. do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi,
  3. z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego,
  4. do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1, o ile prawdopodobne jest, że prawo, o którym mowa w ust. 1, uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania,
  5. do ustalenia, dochodzenia lub obrony roszczeń. 

Powyższe rozważania eliminują możliwość wystąpienia kolizji wskutek konieczności dualistycznego działania administratora wobec osoby żądającej równoczesnego dostępu do jej danych, jak i ich usunięcia wraz ze wskazaniem na okres karencji pomiędzy tymi działaniami. Istotne jest również to, że administrator nie powinien przetrzymywać danych osobowych wyłącznie w celu reagowania na ewentualne żądania, bowiem stanowiłoby to przekroczenie jego uprawnień, a w szczególności ograniczenia przechowywania danych.

Artykuł na podstawie: Sprawozdania z działalności Krajowego Komisarza Ochrony Danych i Wolności Informacji Nadrenii-Palatynatu.

Czytaj także:

Tomasz Ochocki
Tomasz Ochocki
Kierownik zespołu merytorycznego.
Ekspert ds. ochrony danych.
Audytor wiodący systemu zarządzania bezpieczeństwem informacji (ISO/IEC 27001:2013), zarządzania ciągłością działania (ISO 22301) oraz audytor wewnętrzny ISO/IEC 27701. Ukończył podyplomowe studia z zakresu ochrony danych osobowych i informacji niejawnych oraz analizy bezpieczeństwa i zagrożeń terrorystycznych.

Autor oraz prelegent dedykowanych szkoleń pracowniczych z zakresu bezpieczeństwa informacji.

Współautor opracowania: "RODO Nawigator", "DODO Nawigator" oraz książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Adw. Łukasz Pociecha
Adw. Łukasz Pociecha
Ekspert ds. ochrony danych.
Swoje doświadczenie zawodowe zdobywał współpracując z kancelariami specjalizującymi się w obsłudze przedsiębiorców, w tym klientów korporacyjnych. Audytor wiodący ISO/IEC 27001.

Do jego kompetencji należy kompleksowa obsługa klientów w zakresie ochrony danych osobowych i bezpieczeństwa informacji, w tym m.in.: sporządzenie opinii prawnych i umów, prowadzenie szkoleń oraz przeprowadzanie audytów. Posiada aktualny certyfikat metodyki zarządzania projektami PRINCE2.

Współautor książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Barbara Matasek
Barbara Matasek
Ekspert ds. ochrony danych
Doktorant w Kolegium Prawa Akademii Leona Koźmińskiego w Warszawie. Odpowiada za przeprowadzanie audytów, przygotowanie dokumentacji w zakresie ochrony danych osobowych oraz doradztwo prawne.

Swoje zainteresowania skupia wokół prawa handlowego i prawa cywilnego, ze szczególnym uwzględnieniem zagadnień dotyczących ochrony danych osobowych. Doświadczenie zawodowe zdobywała pracując w kancelariach prawnych oraz jako asystent sędziego.

Współautorka poradnika: "Jak przygotować się do kontroli".