Instrukcja postępowania w przypadku żądań „trudnego klienta”

W zależności od wielkości podmiotu oraz sposobu komunikacji z klientem każdy z administratorów danych powinien dostosować podane wytyczne do własnych realiów.

  1. Administrator danych realizuje prawa osób, których dane dotyczą, wynikające z art. 16–22 RODO.
  2. Administrator danych niezwłocznie informuje osobę, której dane dotyczą, o sposobie realizacji jej żądań w zakresie jej praw określonych w art. 16–22 RODO. W przypadku gdy realizacja praw osób, których dane dotyczą, nie jest możliwa, administrator danych wskazuje, w jakim zakresie odmawia realizacji praw osób, których dane dotyczą, i wskazuje powody, dla których żądanie osoby, której dane dotyczą, nie może być zrea­lizowane.
  3. Obowiązki administratora danych określone w ust. 1 i 2 wykonują upoważnieni pracownicy odpowiedzialni za komunikację z klientem.
  4. Ponadto administrator danych wyznacza spośród swoich pracowników osobę odpowiedzialną za kontakt z „trudnym klientem”.
     

    Wskazówka

    Osoba odpowiedzialna za kontakt z „trudnym klientem” powinna posiadać odpowiednią wiedzę w zakresie ochrony danych osobowych, tak aby mogła pomagać administratorowi danych i jego pracownikom w reagowaniu na żądania takich klientów oraz aby była w stanie udzielać klientowi odpowiednich informacji.


     
  5. Jeżeli klient nie uzna za satysfakcjonującą odpowiedzi, o której mowa w ust. 2, pracownik obsługujący tego klienta konsultuje się z osobą odpowiedzialną za kontakt z „trudnym klientem” w celu przygotowania odpowiedzi na dalsze żądania klienta w zakresie przysługujących mu praw określonych w art. 16–22 RODO.
  6. Na etapie konsultacji, o których mowa w ust. 5, osoba odpowiedzialna za kontakt z „trudnym klientem” może przejąć obsługę tego klienta i w dalszym ciągu prowadzić z nim korespondencję, jeżeli uzna, że w danym przypadku jest to konieczne z uwagi na stopień skomplikowania żądań klienta lub inne okoliczności sprawy.
  7. Osoba odpowiedzialna za kontakt z „trudnym klientem” przeprowadza cykliczne szkolenia dla pracowników, nie rzadziej niż co 6 miesięcy, w zakresie sposobu realizacji praw osób, których dane dotyczą, jakie zostały wdrożone przez administratora danych oraz sposobu i trybu przekazywania tych informacji.
     

    Wskazówka

    Warto także pamiętać o tym, aby przeszkolić pracowników z zakresu informacji, jakie mogą przekazywać klientom, a jakich nie powinni.

    Oczywistym jest, że ze względu na realizację obowiązku informacyjnego pracownicy administratora danych mogą, a nawet mają obowiązek, przekazać osobie, której dane dotyczą, wszystkie informacje wskazane w art. 13 i 14 RODO.

    Konieczne jest także przekazywanie informacji o sposobie realizacji praw osób, których dane dotyczą, a wynikających z art. 16–22 RODO.

    Natomiast pewna grupa informacji nie powinna być w ogóle przekazywana na zewnątrz organizacji. Chodzi przede wszystkim o informacje dotyczące szczegółowych sposobów zabezpieczeń danych osobowych. Nie można osób postronnych informować o tym, jakie wdrożono zabezpieczenia fizyczne oraz w jaki sposób zabezpieczono system informatyczny.

    Są to informacje poufne, a pracownicy powinni zostać pisemnie zobowiązani do zachowania ich w tajemnicy.