Audyt zapewnienia realizacji praw podmiotów danych

Artykuły 12–21 RODO regulują prawa osób, których dane dotyczą. Niektóre z tych praw były wymienione w ten sam sposób w poprzednich przepisach, inne są nowe – stanowią dostosowanie przepisów do nowych realiów technologicznych oraz do dotychczasowego orzecznictwa.

Prowadząc audyt organizacji pod kątem przygotowania do stosowania powyższych praw w praktyce, należy pochylić się nad każdym z wymienionych w art. 12–21 RODO uprawnień i sprawdzić, czy odpowiednie osoby w firmie wiedzą, jak postępować (krok po kroku) w razie otrzymania prośby o realizację danego prawa. Do tego celu najlepiej stworzyć odpowiednie procedury (instrukcje) i zaznajomić z nimi odpowiednich pracowników (odpowiedzialnych za dany proces).

Nie ma jednej uniwersalnej zasady, według której prawa wymienione w art. 12–21 RODO mogłyby być realizowane we wszystkich firmach. W każdym przypadku bowiem sposób realizacji musi być dostosowany do konkretnej firmy. Poniżej przedstawiono zestaw uniwersalnych wskazówek, które można zastosować, przygotowując się do obsługi zapytań podmiotów danych, korzystających ze swoich uprawnień na podstawie art. 12–21 RODO.

Prawo do informacji

Artykuł 13 RODO wprowadza szczegółową listę informacji, które powinny być udzielane osobie już w momencie odbierania od niej danych.

Artykuł 14 RODO wdraża podobną listę w przypadku pozyskiwania danych osobowych od innego podmiotu niż osoba, której dane dotyczą. Wówczas informacje mają być podane podmiotowi danych przy pierwszej komunikacji.

Nawet jeśli administrator prawidłowo wykona obowiązek informacyjny już przy zbieraniu danych, to podmiot danych posiada uprawnienie do podania mu wszelkich szczegółów przetwarzania jego danych przez cały okres tego przetwarzania (art. 15 RODO). Osobie tej przysługują
także:

a)  prawo dostępu do swoich danych,

b)   prawo uzyskania kopii tych danych.

 

Warto pamiętać, że pierwszą kopię swoich danych każda osoba ma prawo uzyskać za darmo. Dopiero za wydanie drugiej i kolejnych kopii administrator może pobrać stosowną opłatę administracyjną (nie wygórowaną, lecz odpowiadającą kosztom administracyjnym). Dokonując audytu organizacji, należy zatem przygotować odpowiednią procedurę udostępniania danych osobowych oraz wydawania ich kopii. W przypadku administratorów, którzy przetwarzają potężne bazy danych (np. portale społecznościowe, banki), takie raporty mogą być bardzo obszerne1. Jeśli działalność administratora odbywa się głównie w internecie i użytkownik złoży prośbę o udzielenie informacji w formie elektronicznej, należy przekazać mu informacje w takiej formie (co czasem może powodować trudności techniczne w przypadku obszernych plików).


1. Zdarzały się już przypadki składania takich żądań do portali społecznościowych. Przekazywane przez nie informacje liczyły po kilkaset stron druku.