Jak wykazać przestrzeganie praw osób, których dane dotyczą

Zasada rozliczalności ma także szczególne znaczenie w kontekście praw osób, których dane dotyczą. Prawa te zostały ujęte w przepisach RODO w arty­kułach od 15 do 21. Zgodnie z tymi przepisami osoba, której dane dotyczą, ma prawo do dostępu do swoich danych osobowych, prawo do ich sprostowania, prawo do żądania ich usunięcia, prawo do żądania ograniczenia ich przetwarzania, prawo do przenoszenia danych, prawo do wniesienia sprzeciwu wobec ich przetwarzania, prawo do odwołania zgody na przetwarzanie danych osobowych, prawo do niepodlegania decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, a także prawo do wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Jak wynika z powołanych przepisów, zakres praw, które przysługują osobom, których dane dotyczą, w zawiązku z przetwarzaniem ich danych osobowych jest bardzo szeroki. Realizacja wszystkich tych uprawnień wymaga od administratora danych nie tylko opracowania odpowiednich procedur, ale także często wiąże się z koniecz­nością wdrożenia nowych rozwiązań czy też narzędzi infor­matycznych.

Przede wszystkim jednak, żeby osoba, której dane dotyczą, mogła skorzystać z przysługujących jej uprawnień, musi o nich wiedzieć. Informacje takie powinien jej przekazać, zgodnie z art. 13 RODO, sam administrator danych w klauzuli informacyjnej, o której mowa powyżej.

W drugiej kolejności administrator danych musi odpowiednio reagować na żądania dotyczące powyższych uprawnień, z którymi będą występować osoby, których dane dotyczą. Administrator danych jest zobowiązany do zweryfikowania, czy żądanie pochodzi od osoby, której dane przetwarza, czy w ogóle ma lub powinien mieć w swoich zbiorach dane osoby, która wystąpiła do niego z wnioskiem lub żądaniem. Administrator musi ustalić, czy w danym przypadku osobie, która wystąpiła z określonym żądaniem, w ogóle dane prawo przysługuje (np. jeśli pracownik żąda usunięcia jego danych osobowych z akt osobowych, a nie upłynął jeszcze 10-letni okres przechowywania tych akt wynikający z Kodeksu pracy). Zawsze w takim przypadku administrator danych powinien zweryfikować nie tylko stan prawny, który będzie znajdował zastosowanie w danej sytuacji, ale także okoliczności faktyczne.

Administrator danych nie może bowiem spełnić żądania osoby, której dane dotyczą, jeśli w danym przypadku osobie tej konkretne uprawnienie nie przysługuje albo jeśli żądanie tej osoby jest sprzeczne z przepisami prawa, np. klient żąda usunięcia danych zawartych w fakturze VAT przed upływem 5-letniego terminu, przez jaki tego rodzaju dokumentacja powinna być przechowywania.

W takich sytuacjach administrator danych powinien odpowiedzieć osobie, której dane dotyczą, dlaczego w tym konkretnym przypadku nie może wykonać jej żądania. Co więcej, odpowiedź powinna być sformułowana w sposób klarowny i zrozumiały, tak aby osoba, której dane dotyczą, nie miała wątpliwości, dlaczego administrator danych odmówił jej realizacji przysługujących jej uprawnień.