Jak reagować na otrzymane żądania w zakresie praw osób, których dane dotyczą

Administrator danych osobowych może otrzymać od osoby, której dane osobowe przetwarza, okreś­lone żądania, na które powinien w odpowiedni sposób i w odpowiednim czasie zareagować.

Odpowiadając na otrzymane żądania, należy przede wszystkim przestrzegać następujących zasad:

  • Komunikacja z daną osobą musi być prowadzona zwięźle, przejrzyście, zrozumiale, w łatwo dostępnej formie, a także jasnym i prostym językiem. Należy posługiwać się pojęciami jednoznacznymi, łatwo zrozumiałymi dla odbiorcy, biorąc pod uwagę to, iż odbiorca nie musi posiadać wiedzy specjalistycznej i znać fachowych pojęć. Dobór czcionki i jej wielkość również ma znaczenie – administrator nie powinien posługiwać się małą czcionką, a na dodatek słabo czytelną.
  • Możliwe jest udzielenie odpowiedzi na piśmie lub w inny sposób, w tym elektronicznie. Nie jest również wykluczone udzielenie informacji ustnej, o ile właśnie takiej formy zażąda osoba, której dane dotyczą. Udzielając odpowiedzi ustnej, należy jednak uprzednio zweryfikować tożsamość tej osoby, aby nie odpowiadać osobie nieuprawnionej.
     

Uwaga

Na żądania przekazane elektronicznie administrator powinien odpowiedzieć w miarę możliwości również elektronicznie, chyba że osoba, której dane dotyczą, zażąda innej formy.

Bardzo ważne jest, aby administrator, udzielając odpowiedzi, wiedział, komu jej udziela. Administrator musi być pewny, że udziela informacji osobie uprawnionej. Mając wątpliwości co do tożsamości osoby, która złożyła żądanie, administrator ma prawo domagać się dodatkowych informacji niezbędnych do potwierdzenia tożsamości.

  • Należy dbać o to, aby ułatwiać osobie, której dane dotyczą, wykonywanie praw przysługujących jej na podstawie RODO.

Uwaga

Administrator powinien spełnić żądanie osoby, której dane dotyczą, chyba że wykaże, że nie jest w stanie jej zidentyfikować.

 

  • Należy reagować na otrzymane żądania bez zbędnej zwłoki, najpóźniej w terminie miesiąca od momentu otrzymania żądania (wyjątkowo termin ten można wydłużyć o kolejne dwa miesiące, jeżeli żądanie ma skomplikowany charakter lub wpływa duża liczba żądań od danej osoby, ale wówczas w terminie miesiąca należy poinformować o przedłużeniu terminu i podać przyczyny opóźnienia).
     
  • Jeżeli administrator nie będzie podejmował działań w związku z otrzymanym żądaniem (np. ponieważ żądanie jest nieuzasadnione), wówczas niezwłocznie, ale nie później niż w ciągu miesiąca, informuje osobę, której dane dotyczą, o powodach niepodjęcia działań oraz o możliwości wniesienia skargi do organu nadzorczego oraz skorzystania ze środków ochrony prawnej przed sądem.
     
  • Komunikacja i działania są wolne od opłat, chyba że żądania są ewidentnie nieuzasadnione lub nadmierne (np. z uwagi na ich ustawiczny charakter), wówczas admi­nistrator ma dwie możliwości:
  1. albo pobiera rozsądną opłatę, uwzględniając administracyjne koszty udzielenia informacji, prowadzenia komunikacji lub podjęcia żądanych działań (nie mogą to być więc opłaty wygórowane, których celem jest „ukaranie” osoby, która się do administratora zwróciła),
  2. albo odmawia podjęcia działań w związku z otrzymanym żądaniem.

Administrator powinien pamiętać, iż to on musi wykazać (np. w przypadku kontroli), że żądanie było ewidentnie nieuzasadnione lub nadmierne.

Administrator danych osobowych może otrzymać żądanie:

  • dostępu do danych,
  • ich sprostowania,
  • usunięcia danych (do bycia zapomnianym),
  • ograniczenia przetwarzania,
  • przeniesienia danych,
  • niepodlegania decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa.

Administrator może otrzymać również sprzeciw wobec przetwarzania danych.

Żądanie dostępu do danych, w tym żądanie otrzymania kopii danych

Każdy administrator może otrzymać żądanie potwierdzenia, czy przetwarza dane osobowe konkretnej osoby.
Jeżeli nie jest się administratorem danych osobowych takiej osoby, wówczas należy zaprzeczyć i na tym udzielenie odpowiedzi powinno się zakończyć.

Jeżeli natomiast administruje się te dane, wówczas należy zapewnić osobie, której dane dotyczą, dostęp do tych danych i udzielić następujących informacji:

  • jakie są cele przetwarzania danych;
  • jakie są kategorie odnośnych danych osobowych;
  • odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych;

Uwaga

Jeżeli dane osobowe są przekazywane do państwa trzeciego lub organizacji międzynarodowej, osoba, której dane dotyczą, ma prawo zostać poinformowana o odpowiednich zabezpieczeniach, o których mowa w art. 46 RODO, związanych z przekazaniem.

  • w miarę możliwości o planowanym okresie przechowywania danych osobowych, a gdy nie jest to możliwe – kryteria ustalania tego okresu;
  • prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczących osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania;
  • prawie wniesienia skargi do organu nadzorczego;
  • jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą – wszelkie dostępne informacje o ich źródle;
  • zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Otrzymując więc żądanie obejmujące swoim zakresem prawo dostępu do danych, należałoby zapewnić dostęp do wszystkich wyżej wskazanych informacji. Jeżeli zapytanie dotyczyłoby wyłącznie jednego z powyższych punktów, możliwe byłoby ograniczenie odpowiedzi tylko i wyłącznie do konkretnego zapytania. Zawsze można wówczas w takiej odpowiedzi zaznaczyć, że osoba, której dane dotyczą, ma również możliwość uzyskania dalszych informacji
o jej danych i odwołać się do przepisu art. 15 RODO.

Warto również zaznaczyć, że do momentu rozpoczęcia stosowania RODO uznawano, że prawo dostępu do danych jest ograniczone w przypadku postępowań administracyjnych (z uwagi na rozgraniczenie prawa do przeglądania akt sprawy oraz prawa dostępu do danych osobowych) – vide: Sibiga G., Postępowanie w sprawach ochrony danych osobowych, 2003. Aktualnie piśmiennictwo również zdaje się przyjmować ten pogląd (vide: Litwiń­ski P. (red.), Rozporządzenie UE w sprawie ochrony osób fizycz­nych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, 2018). W konsekwencji należy uznać, że strona postępowania administracyjnego nie może realizować prawa dostępu do danych w tym postępowaniu, będzie natomiast uprawniona do działania na podstawie przepisów Kodeksu postępowania administracyjnego.

W zakres prawa dostępu do danych wchodzi prawo do otrzymania kopii danych. Przekazanie pierwszej kopii przez administratora nie podlega opłacie. Każde kolejne żądanie uprawnia administratora do pobrania opłaty w rozsądnej wysokości wynikającej z kosztów administracyjnych. Jeżeli osoba, której dane dotyczą, zwraca się o kopię drogą elektroniczną i jeżeli nie zaznaczy inaczej, informacji udziela się w powszechnie stosowanej formie elektronicznej.

Prawo dostępu do danych nie powinno negatywnie wpływać na prawa lub wolności innych osób, w tym tajemnice
handlowe lub własność intelektualną, w szczególności na prawa autorskie chroniące oprogramowanie (zgodnie z motywem 63 RODO). Jednak nawet te względy nie powinny skutkować odmową udzielenia osobie, której dane dotyczą, jakichkolwiek informacji.

Przy formułowaniu odpowiedzi w zakresie prawa dostępu do danych, pomocne będą administratorowi uprzednio przygotowane klauzule informacyjne (przygotowane na podstawie art. 13 i 14 RODO), a także prowadzony rejestr czynności przetwarzania danych.

Warto również zwrócić uwagę na ograniczenie stosowania prawa dostępu do danych, a mianowicie na art. 5 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r., poz. 1000). Przepis ten ma zastosowanie do administratora wykonującego zadania publiczne. Taki administrator może bowiem odmówić prawa dostępu
do danych, jeżeli służy to realizacji zadania publicznego i niewykonanie tych obowiązków jest niezbędne dla rea­lizacji celów, o których mowa w art. 23 ust. 1 RODO (np. zapewnienie bezpieczeństwa publicznego, zapobieganie przestępczości, prowadzenie postępowań przygotowawczych, wykrywanie lub ściganie czynów zabronionych lub wykonywanie kar, w tym ochrona przed zagrożeniami dla bezpieczeństwa publicznego i zapobieganie takim zagrożeniom) oraz wykonywanie tych obowiązków:

  1. uniemożliwi lub znacząco utrudni prawidłowe wykonanie zadania publicznego, a interes lub podstawowe prawa lub wolności osoby, której dane dotyczą, nie są nadrzędne w stosunku do interesu wynikającego z rea­lizacji tego zadania publicznego lub
  2. naruszy ochronę informacji niejawnych.

Taki administrator jest obowiązany poinformować osobę, której dane dotyczą, na jej wniosek i to bez zbędnej zwłoki (ale nie później niż w terminie miesiąca od dnia otrzymania wniosku) o podstawie niewykonania obowiązków związanych z prawem dostępu do danych.

Dodatkowo, przepisy wyżej wspomnianej ustawy o ochronie danych osobowych wprowadziły jeszcze jedno ułatwienie dla administratorów wykonujących zadanie publiczne. Jeżeli bowiem realizacja prawa dostępu do danych wymaga ze strony takiego administratora niewspółmiernie dużego wysiłku związanego z wyszukaniem danych osobowych, administrator ten wzywa osobę, której dane dotyczą, do udzielenia informacji pozwalających na wyszukanie tych danych.

Żądanie sprostowania danych

Osoba, której dane administrator przetwarza, może żądać ich sprostowania, jeżeli uzna, że dane te są nieprawidłowe, a także uzupełnienia niekompletnych danych (co jest możliwe przez przyjęcie oświadczenia zawierającego dodatkowe informacje).

Przed sprostowaniem administrator powinien upewnić się, czy wniosek pochodzi od osoby uprawnionej, a jeżeli
ma w tym zakresie jakiekolwiek wątpliwości, powinien je rozwiać, domagając się dodatkowych informacji, które potwierdzą tożsamość wnioskodawcy.

Ponadto administrator ma prawo domagać się wykazania przez osobę, która takie żądanie wnosi, że dane, które administrator do tej pory przetwarzał, są nieprawidłowe lub niekompletne. To osoba, która zgłasza się z takim żądaniem, musi te kwestie udowodnić.

Jeżeli dane osobowe są przetwarzane w kilku działach organizacji (np. w dziale marketingu i w dziale zakupów), należy zadbać o to, aby zostały sprostowane (uzupełnione) we wszystkich tych działach. Należy więc zapewnić sprawną komunikację między działami.

O sprostowaniu należy poinformować każdego odbiorcę, któremu ujawniono dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. Ponadto, na żądanie osoby, której dane dotyczą, administrator powinien poinformować ją o tych odbiorcach.

Żądanie usunięcia danych („prawo do bycia zapomnianym”)

Żądać usunięcia danych można wówczas, gdy (art. 17 ust. 1 RODO):

  • dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
  • osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie zgodnie z art. 6 ust. 1 lit. a lub art. 9 ust. 2 lit. a, i nie ma innej podstawy prawnej przetwarzania;
  • Jeżeli więc będzie istniała inna podstawa prawna przetwarzania, wskazana w art. 6 ust. 1 lit. b–f lub w art. 9 ust. 2 lit. b–j, wówczas wycofanie zgody nie będzie podstawą do usunięcia danych.
  • osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 2 wobec przetwarzania;
  • Wniesienie skutecznego sprzeciwu rodzi więc obowiązek usunięcia danych osobowych.
  • dane osobowe były przetwarzane niezgodnie z prawem;
  • dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator;
  • dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust. 1 RODO.

W przypadku gdy administrator otrzymuje skuteczne żądanie usunięcia danych (a więc spełniona jest jedna z wyżej wskazanych przesłanek), a doszło już do upublicznienia przez niego danych osobowych, nie może ograniczyć się tylko i wyłącznie do ich usunięcia. Ma bowiem dodatkowo obowiązek (biorąc pod uwagę dostępną technologię i koszt realizacji) podjęcia rozsądnych działań, w tym środków technicznych, by poinformować administratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje.

Prawo do bycia zapomnianym podlega istotnym ograniczeniom. Będzie można odmówić realizacji tego prawa, gdy przetwarzanie będzie niezbędne w następujących sytuacjach (art. 17 ust. 3 RODO):

  • gdy administrator korzysta z prawa do wolności wypowiedzi i informacji (w szczególności może to mieć znaczenie w przypadku osób pełniących istotne funkcje w życiu publicznym),
  • gdy administrator musi wywiązać się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega, lub ma wykonać zadanie realizowane w interesie publicznym lub w ramach sprawowania władzy publicznej mu powierzonej,
  • z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego zgodnie z art. 9 ust. 2 lit. h oraz art. 9 ust. 3,
  • gdy administrator przetwarza dane do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1 RODO, o ile prawdopodobne jest, że prawo do bycia zapomnianym uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania,
  • do ustalenia, dochodzenia lub obrony roszczeń.

Administrator, który otrzymał zasadne żądanie usunięcia danych oparte na jednej z podstaw wskazanych w art. 17 ust. 1 RODO, przed ich usunięciem powinien rozważyć, czy nie istnieje przypadkiem podstawa do dalszego przetwarzania tych danych wskazana w art. 17 ust. 3 RODO.

O usunięciu danych należy poinformować każdego odbiorcę, któremu ujawniono dane osobowe, chyba że okaże
się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. Ponadto na żądanie osoby, której dane dotyczą, administrator powinien poinformować ją o tych odbiorcach.

Żądanie ograniczenia przetwarzania

Administrator może także spotkać się z żądaniem ograniczenia przetwarzania danych osobowych. Ograniczenie przetwarzania danych rozumiane jest jako oznaczenie przechowywanych danych w celu ograniczenia ich przyszłego przetwarzania. Chodzi jednak nie tylko o oznaczenie danych, ale także o to, aby w istocie ograniczyć przetwarzanie oznaczonych danych.

Takie żądanie będzie zasadne i administrator będzie zobowiązany do ograniczenia przetwarzanych przez siebie danych, gdy:

  • osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych – na okres pozwalający admi­nistratorowi sprawdzić prawidłowość tych danych,
  • przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania,
  • administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń,
  • osoba, której dane dotyczą, wniosła sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania – do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie admi­nistratora są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą.

Skutkiem ograniczenia przetwarzania danych będzie możliwość ich przechowywania bez ograniczeń albo wykonywania innych niż przechowywanie operacji, ale pod następującymi warunkami:

  • wyłącznie za zgodą osoby, której dane dotyczą,
  • w celu ustalenia, dochodzenia lub obrony roszczeń,
  • w celu ochrony praw innej osoby fizycznej lub prawnej,
  • z uwagi na ważne względy interesu publicznego Unii lub państwa członkowskiego.

Administrator nie będzie więc mógł nic innego robić z danymi oprócz ich przechowywania, chyba że zaistnieje któraś z wyżej wymienionych sytuacji.

Przed uchyleniem ograniczenia przetwarzania, a więc zanim jeszcze dojdzie do dalszego przetwarzania danych, administrator powinien poinformować osobę, od której otrzymał żądanie ograniczenia przetwarzania, o tym uchyleniu.

O ograniczeniu przetwarzania należy poinformować każdego odbiorcę, któremu ujawniono dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. Ponadto na żądanie osoby, której
dane dotyczą, administrator powinien poinformować ją o tych odbiorcach.

Żądanie przeniesienia danych

Z takim żądaniem można zwrócić się do administratora, który przetwarza dane na podstawie zgody lub na podstawie umowy, a przetwarzanie tych danych odbywa się w sposób zautomatyzowany, a także gdy prawo to nie wpływa niekorzystnie na prawa i wolności innych.

Żądanie to może dotyczyć:

  • otrzymania od administratora w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego danych osobowych dotyczących osoby, która je administratorowi dostarczyła,
  • przesłania danych osobowych innemu administratorowi bez przeszkód ze strony administratora, któremu dostarczono te dane,
  • przesłania danych przez administratora bezpośrednio innemu administratorowi, o ile jest to technicznie możliwe.

Prawa do przeniesienia danych nie można realizować wobec zbiorów papierowych. Jeżeli więc administrator przetwarza dane tylko w zbiorach papierowych, zawsze będzie mógł odmówić realizacji tego prawa. Nie ma ono zastosowania również do przetwarzania, które jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi.

Sprzeciw wobec przetwarzania danych

Wobec przetwarzania danych można również złożyć sprzeciw. Skuteczny sprzeciw będzie możliwy, o ile:

  • przetwarzanie danych (w tym profilowanie) opiera się o przesłankę wskazaną w art. 6 ust. 1 lit. e lub f, a sprzeciw zostaje wniesiony z uwagi na szczególną sytuację osoby, której dane dotyczą; w takiej sytuacji administratorowi nie wolno już przetwarzać tych danych osobowych, chyba że wykaże on istnienie: ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń;
  • przetwarzanie danych (w tym profilowanie) odbywa się na potrzeby marketingu bezpośredniego (sprzeciw wobec przetwarzania danych do celów marketingu bezpośredniego oznacza, że danych osobowych nie można już przetwarzać do takich celów);
  • przetwarza się dane do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1 RODO, a sprzeciw zostaje wniesiony z uwagi na szczególną sytuacją osoby, której dane dotyczą (chyba że przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym).

Jeżeli więc w wyżej wskazanych sytuacjach wpłynie sprzeciw wobec przetwarzania danych, administrator powinien albo zaprzestać przetwarzania danych, które przetwarza na potrzeby marketingu bezpośredniego, albo przeanalizować, czy wystąpiła szczególna sytuacja osoby, której dane dotyczą. Gdy uzna, że taka sytuacja zachodzi, co do zasady będzie musiał zaprzestać przetwarzania danych, chyba że zaistnieją ww. okoliczności (ważne, prawnie uzasadnione podstawy do przetwarzania, nadrzędne wobec interesów, praw i wolności osoby, której dane dotyczą; podstawy do ustalenia, dochodzenia lub obrony roszczeń; niezbędność przetwarzania do wykonania zadania realizowanego w interesie publicznym).