Czy administrator może wyłączyć realizację praw osób, których dane dotyczą z art. 15-22 RODO w formie elektronicznej?

PYTANIE SZCZEGÓŁOWE

Czy żądania osób o realizację ich praw na mocy Rozporządzenia (art. 15-22) mogą być przyjmowane od podmiotu danych poprzez wysłanie ich e-mailem na adres skrzynki administratora danych (lub IOD)? Czy raczej procedura realizacji praw osób, którą wprowadza ADO w swojej placówce powinna zobligować osoby, których dane dotyczą do składania żądań wyłącznie drogą tradycyjną (listowną) z czytelnym podpisem lub drogą elektroniczną za pomocą podpisu kwalifikowanego, ewentualnie ustnie (nie telefonicznie) za okazaniem dowodu tożsamości do wglądu? Wszystko to w celu zapobiegania ujawnieniu danych osobom nieupoważnionym? Czy ADO powinien przyjmować zgłoszenia z e-maila lub odpowiadać na te zgłoszenia również na e-mail podmiotu danych? Czy jeśli wyeliminuję komunikację drogą mailową, to zawężę wówczas realizację praw? 

ODPOWIEDŹ

Zgodnie z treścią art. 12 ust. 3 RODO, administrator podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem – w szczególności, gdy informacje są kierowane do dziecka – udzielić osobie, której dane dotyczą, wszelkich informacji, o których mowa w art. 13 i 14 RODO oraz prowadzić wszelką komunikację na mocy art. 15 -22 i 34 w sprawie przetwarzania. Informacji udziela się na piśmie lub w inny sposób, w tym w stosownych przypadkach – elektronicznie. Jeżeli osoba, której dane dotyczą, tego żąda, informacji można udzielić ustnie, o ile innymi sposobami potwierdzi się tożsamość osoby, której dane dotyczą. .

Zgodnie z komentarzem do RODO dr. Marleny Sakowskiej-Baryły:

"Zgodnie z treścią art. 12 ust. 3 RODO, jeśli osoba, której dane dotyczą, przekazała swoje żądanie elektronicznie, administrator w miarę możliwości powinien informacje także przekazać elektronicznie, chyba że osoba, której dane dotyczą, zażąda innej formy. Jak się wydaje, prawodawca celowo uczynił z formy elektronicznej domyślną formę rozwiązywania problemów z danymi – jest to dość wygodne, gdyż pozostawia po sobie dużo różnych śladów i de facto sprzyja zasadzie rozliczalności. Zgodnie z art. 12 ust. 1 RODO na żądanie osoby, której dane dotyczą, administrator może udzielić informacji ustnie, o ile innymi sposobami potwierdzi się tożsamość wnioskodawcy. Pewność identyfikacji jest w tym wypadku kluczowa, zwłaszcza w przypadku żądania realizowanego na kanwie art. 15 RODO. Uzyskanie odpowiedzi wymaga niekiedy sprawdzenia dodatkowych informacji potwierdzających tożsamość osoby, której dane mają zostać udostępnione, również w przypadku powzięcia uzasadnionych wątpliwości co do tożsamości wnoszącego wnioski w inny sposób niż ustny (w zgodzie z motywem 59 administrator powinien zapewnić jednostce możliwość wnoszenia żądań zmierzających do realizacji jej praw także drogą elektroniczną, zwłaszcza wtedy, gdy dane osobowe są przetwarzane drogą elektroniczną)." 

Zatem proponowane rozwiązanie dotyczące wyłączenia komunikacji elektronicznej (mailowej) będzie zmierzało do zawężenia możliwości realizacji praw osób, których dane dotyczą. Intencją prawodawcy było właśnie, aby komunikacja odbywała się drogą elektroniczną jako jedną z najszybszych i najprostszych form. Argumentacja dotycząca ewentualnego ujawnienia danych osobom nieuprawnionym nie będzie wystarczająco przemawiającym argumentem, albowiem przepisy RODO zarówno w art. 12 ust. 1 oraz ust. 6 RODO dają możliwość administratorowi danych żądania dodatkowych informacji w celu potwierdzenia tożsamości i uniknięcia pomyłki.