Jak weryfikować zgodnie z RODO tożsamość osoby wnioskującej o prawo do dostępu do danych

Przepisy RODO kładą duży nacisk na realizację praw osób, których dane dotyczą. Cały rozdział III RODO reguluje szczegółowo to zagadnienie, natomiast prawa osób, których dane dotyczą, zostały wskazane w art. 15–22 RODO. Zgonie z tymi przepisami są to:

  • Prawo do dostępu do danych osobowych – art. 15 RODO,
  • Prawo do sprostowania danych – art. 16 RODO,
  • Prawo do usunięcia danych („prawo do bycia zapomnianym”) – art. 17 RODO,
  • Prawo do ograniczenia przetwarzania – art. 18 RODO,
  • Prawo do przenoszenia danych – art. 20 RODO,
  • Prawo do sprzeciwu – art. 21 RODO,

Prawo do niepodlegania decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu – art. 22 RODO.

Wyjątek od konieczności realizacji prawa osób, których dane dotyczą, został wskazany w art. 11 ust. 1 RODO, zgodnie z którym, jeżeli administrator danych przetwarza dane osobowe w celach, które nie wymagają zidentyfikowania przez niego osoby, której dane dotyczą, administrator nie ma obowiązku zachowania, uzyskania ani przetworzenia dodatkowych informacji w celu zidentyfikowania osoby, której dane dotyczą, wyłącznie po to, by zastosować się do przepisów RODO. W takiej sytuacji zgodnie z art. 11 ust. 2 RODO, jeżeli administrator może wykazać, że nie jest w stanie ziden­tyfikować osoby, której dane dotyczą, w miarę możliwości informuje o tym osobę, której dane dotyczą. W takich przypadkach zastosowania nie mają art. 15–20 RODO, chyba że osoba, której dane dotyczą, w celu wykonania praw przysługujących jej na mocy tych artykułów dostarczy dodatkowych informacji pozwalających ją zidentyfikować.

W praktyce oznacza to, że jeżeli administrator danych na pewnym etapie przetwarzania danych osobowych nie jest albo już nie jest w stanie zidentyfikować osoby, której dane dotyczą, to nie musi pozyskiwać od niej dodatkowych danych tylko po to, by spełnić wymagania RODO, np. w zakresie realizacji prawa osób, których dane dotyczą. Takie podejście jest zgodne z zasadą minimalizacji danych, administrator danych nie może bowiem pozyskiwać innych danych niż te, które są niezbędne do realizacji celów przetwarzania.

WAŻNE!
Nie zawsze zatem konieczna jest identyfikacja osoby, której dane dotyczą. Może się tak zdarzyć, że administrator danych będzie przetwarzał dane, których nie będzie w stanie powiązać z konkretną osobą na podstawie informacji, którymi dysponuje.

W takim przypadku nie będzie musiał realizować praw osób, których dane dotyczą, chyba że osoba, której dane dotyczą, sama przekaże administratorowi dodatkowe informacje pozwalające na jej identyfikację i jednocześnie na skorzystanie z praw przewidzianych art. 15–22 RODO.

Sposób realizacji praw osób, których dane dotyczą

Sposób realizacji praw osób, których dane dotyczą, przez administratora danych określono szczegółowo w art. 12 RODO. Zgodnie z tym przepisem administrator podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozu­miałej i łatwo dostępnej formie, jasnym i prostym językiem udzielić osobie, której dane dotyczą, wszelkich informacji, o których mowa w art. 13 i 14 RODO, oraz prowadzić z nią wszelką komunikację na mocy art. 15–22 i 34 RODO w sprawie przetwarzania. Informacji udziela się na piśmie lub w inny sposób, w tym w stosownych przypadkach, elektronicznie. Jeżeli osoba, której dane dotyczą, tego zażąda, informacji można udzielić ustnie, o ile innymi sposobami potwierdzi się tożsamość osoby, której dane dotyczą.

Co więcej, administrator danych został zobowiązany, aby ułatwić osobie, której dane dotyczą, wykonanie praw przysługujących jej na mocy art. 15–22 RODO. W przypadkach, o których mowa w art. 11 ust. 2 RODO wskazanym wyżej, administrator nie odmawia podjęcia działań na żądanie osoby, której dane dotyczą pragnącej wykonać prawa przysługujące jej na mocy art. 15–22 RODO, chyba że wykaże, iż nie jest w stanie zidentyfikować osoby, której dane dotyczą.

Sposób weryfikacji danych osób korzystających z prawa dostępu do danych

Jak już wskazano wyżej, administrator danych może nie zrealizować praw osób, których dane dotyczą, w tym prawa dostępu do danych, jeżeli nie jest w stanie na podstawie posiadanych informacji zidentyfikować osoby, która składa odpowiedni wniosek. Trzeba jednak pamiętać, że administrator danyc...

Dalsza część jest dostępna dla użytkowników z wykupionym planem