Poprzedni artykuł (Realizacja praw osób których dane dotyczą na podstawie RODO – cz. 1) mówił między innymi o tym, kto może składać wnioski o realizację praw, w jakich formach należy udzielać odpowiedzi, jaki jest termin realizacji wniosków, a także o wyjątkach kiedy termin ten można wydłużyć. W tej części, omówione zostaną kolejne zagadnienia związane z praktyczną stroną realizacji praw osób, których dane dotyczą na podstawie przepisów Ogólnego rozporządzenia o ochronie danych (RODO).
Weryfikacja tożsamości osób składających wnioski
Istotnym elementem, z jakim wiąże się realizacja praw osób, których dane dotyczą to weryfikacja tożsamości osoby składającej wniosek. Kiedy taką weryfikację należy przeprowadzić? Zgodnie z art. 12 ust. 6 RODO weryfikacja powinna być przeprowadzona wtedy, gdy administrator ma „uzasadnione wątpliwości co do tożsamości” osoby składającej żądanie. Taka weryfikacja jest oczywiście w interesie Administratora. Dzięki niej może on bowiem stwierdzić czy wnioskodawca jest tą osobą, za jaką się podaje.
Cytowany powyżej przepis wskazuje także, że w celu weryfikacji administrator „może żądać dodatkowych informacji niezbędnych do potwierdzenia tożsamości osoby, której dane dotyczą”. To jakie będę to informację zależeć będzie od okoliczności konkretnego przypadku, czyli okoliczności określonego procesu przetwarzania danych osobowych. W praktyce, weryfikacja najczęściej odbywa się poprzez odpytanie osoby składającej wniosek o podanie swoich danych, takich jak np. nazwisko, adres email, pesel, unikalny identyfikator (np. numer klienta), ewentualnie podania innych informacji takich jak np. informacja o aktywnościach (np. rodzaj zamówionych usług).
Zestaw pytań weryfikacyjnych musi być oczywiście tak dobrany, aby dotyczył tylko takich danych czy informacji jakie administrator jest w stanie porównać z danymi/ informacjami zgromadzonymi przez siebie na temat tej osoby. Zbieranie szerszego zakresu danych, które nie będą służyły weryfikacji będzie zbędne dla celu dla którego zostały zebrane, a to spowoduje naruszenie zasady minimalizacji danych (art. 5 ust. 1 lit. c RODO). Do takiej sytuacji może dojść w przypadku, gdy administrator ustalił sztywny katalog danych weryfikujących tożsamość osób składających wnioski o realizację praw. Wyobraźmy sobie sytuację, że do administratora wpływa drogą email wniosek o usunięcie danych z bazy mailingowej. Po otrzymaniu takiego wniosku, osoba jest proszona o podanie swojego imienia i nazwiska w celu weryfikacji, gdyż tego wymaga procedura realizacji praw obowiązująca u tego administratora. Tyle, że na etapie zapisywania się do bazy mailingowej ta osoba podawała wyłącznie swój adres email oraz zwrot grzecznościowy „Pan/Pani”. W takiej sytuacji, jej imię i nazwisko będą całkowicie zbędne dla administratora. Te dane w żadnym stopniu nie przyczynią się do weryfikacji tożsamości tej osoby.
Wybierając metodę weryfikacji należy wziąć pod uwagę szereg okoliczności. Najważniejsze wśród nich to :
- ilość danych oraz ich rodzaj,
- rodzaj prawa którego dotyczy wniosek,
- kanał komunikacji,
Na pewno więc bardziej rygorystyczne procedury weryfikacyjne powinny być wdrożone u administratora, który przetwarza duże ilości danych, w tym dane szczególnych kategorii (np. dane dotyczące zdrowia). Duże znacznie ma także kanał komunikacji za pośrednictwem którego wpływa taki wniosek. Bardziej wnikliwy sposób weryfikacji powinien być przyjęty przy obsłudze wniosków składanych ustnie (np. poprzez kontakt z sekretariatem lub działem call center). Szczególnej uwagi wymagają również wnioski dotyczące realizacji określonych rodzajów praw, przede wszystkim: prawa dostępu do danych (art. 15 ust. 1 RODO), prawa do uzyskania kopii danych (art. 15. ust.2 RODO), czy prawa do przenoszenia danych (art. 20 RODO). W przypadku tych praw, błędna weryfikacja tożsamości osoby może bowiem skutkować ujawnieniem jej danych osobie nieuprawnionej i spowodować poważne konsekwencje dla osoby i dla administratora – w postaci naruszenia przez niego zasady poufności i integralności danych (art. 5 ust. 1 lit. f RODO).
Dlatego właśnie tak ważny jest dobór odpowiedniej metody weryfikacji tożsamości. Właściwa metoda weryfikacyjna to taka, która z jednej strony zapewniać będzie sprawną i szybką obsługę wniosków, a równocześnie nie będzie stwarzała dodatkowego ryzyka dla osoby, której dane są przetwarzane ani też dla administratora.
Potrzebujesz procedur realizacji praw osób, których dane dotyczą na podstawie RODO? Skorzystaj z naszej oferty i zakup w sklepie pełną wersję Polityki Ochrony Danych wraz ze wszystkimi procedurami i dokumentami w formie załączników.
Wnioski nieprecyzyjne
W naszej praktyce niejednokrotnie spotykamy się z przypadkami, kiedy wnioski o realizację praw są niejasne i powodują wątpliwości u administratorów.
Jednym z takich żądań jest wniosek o „usuniecie wszystkich moich danych”. Na pierwszy rzut oka wydaje się, że to wniosek prosty i jednoznaczny tj. powołanie się na prawo do żądania od administratora usunięcia dotyczących tej osoby danych osobowych na podstawie art. 17 ust. 1 RODO. Jednakże jak się okazuje, nie zawsze taki wniosek będzie prosty w obsłudze. Jeśli wniosek taki złoży użytkownik serwisu internetowego, a administrator – podmiot prowadzący ten serwis przetwarzać będzie dane tej osoby wyłącznie w bazie newsletter, to taki wniosek nie będzie budził wątpliwości. Wiadomo, że osoba oczekuje usunięcia jej danych z tej bazy.
Jeśli jednak tak brzmiący wniosek trafi np. do administratora prowadzącego sklep internetowy, który w wyniku przeprowadzonej analizy ustali, że dane tej osoby znajdują się w wielu jego bazach np. bazie klientów sklepu, uczestników programu lojalnościowego czy subskrybentów newslettera, wówczas taki wniosek może być bardziej kłopotliwy. Jeśli bowiem dane zostaną usunięte z wszystkich tych baz, to usunięte zostanie także konto klienta tej osoby, co uniemożliwi jej składanie kolejnych zamówień w sklepie. Czy na pewno tego właśnie chciała ta osoba? A może jednak miała na myśli wyłącznie usunięcie swoich danych z bazy newsletter, bo akurat dzień wcześniej był rozsyłany mailing z najnowszymi promocjami? W takiej sytuacji, administrator nie powinien domyślać się intencji osoby. Zawsze warto wysłać pytanie doprecyzowujące i ustalić jakie były rzeczywiste oczekiwania tej osoby.
Wśród otrzymywanych przez administratorów wniosków, niejednokrotnie trafiają się także takie, które w swojej treści nie odwołują się wprost do żadnego z praw wynikających z RODO. Jednym z takich żądań jest wniosek „o wypisanie z newslettera”. Czy ten wiosek należy rozumieć jako żądanie usunięcia danych z bazy newsletter ? Sprzeciw wobec przetwarzania danych ? Cofniecie zgody ? A może jednak, w tej sytuacji należy poprosić osobę o doprecyzowanie ? W zależności od konkretnych okoliczności faktycznych każde z tych rozwiązań może być prawidłowe.
Warto również podkreślić, że w określonych sytuacjach administrator może odmówić realizacji wniosku pochodzącego od osoby. Przykładem takiej sytuacji może być np. odmowa usunięcia danych ze względu na istnienie określonego prawem obowiązku ich przetwarzania lub wystąpienia innych wyjątków opisanych art. 17 ust. 3 RODO. Jeśli jednak administrator podejmie decyzje o odmowie realizacji prawa, wówczas wiązać się to będzie dla niego ze szczególnym obowiązkiem informacyjnym. Musi bowiem poinformować osobę o powodach niepodjęcia działań, ale także o możliwości wniesienia skargi do organu nadzoru oraz skorzystania ze środków ochrony przed sądem.
Co wpływa na ilość składanych wniosków o realizację praw ?
W pierwszych miesiącach stosowania przepisów RODO można było zaobserwować dużą ilość wniosków o realizację praw osób, których dane dotyczą. W znacznej mierze było to związane z „szumem medialnym” wokół nowych przepisów o ochronie danych osobowych. W tamtym czasie, a także i nieco wcześniej, temat RODO był stale obecny w mediach. W licznych przekazach na ten temat prawa przysługujące osobom, takie jak „prawo do bycia zapomnianym” czy prawo do przenoszenia danych, wymieniane były szczególnie często.
Dużą liczbę wniosków napędzała także masowa wysyłka klauzul informacyjnych przez administratorów (w dodatku, bardzo często zupełnie niepotrzebnych). W ten sposób dowiadywaliśmy się o różnych podmiotach, którzy informowali nas o tym, że są administratorami naszych danych i przypominali nam o przysługujących prawach wynikających z RODO. Wśród nich byli także tacy, o których istnieniu nie mieliśmy pojęcia lub znaliśmy ich, ale np. z notorycznego wysłania nam irytujących maili reklamowych. Nic więc dziwnego, że częstą reakcją był wniosek o usunięcie danych.
Obecnie, po prawie już 10 miesiącach stosowania przepisów Ogólnego rozporządzenia o ochronie danych zauważamy inne czynniki, które wpływają na ilość składanych wniosków.
Najważniejsze wśród nich to :
- Źle zbudowana baza marketingowa lub niewłaściwie określony „target” kampanii emailingowej lub telemarketingowej.
To w praktyce najczęstsza przyczyna otrzymywania żądań, przede wszystkim wniosków o usunięcie danych. Źle wyselekcjonowana grupa odbiorców kampanii marketingowej bardzo często kończy się takimi właśnie wnioskami.
- Błędna lub niezrozumiała klauzula informacyjna,
Napisanie poprawnej klauzuli informacyjnej (na podstawie art. 13 lub 14 RODO) nie jest zadaniem prostym. Podobnie jak przestrzeganie zasady, aby informacje w niej zawarte zostały przedstawione w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie oraz jasnym i prostym językiem. Jeśli więc taka klauzula zamiast informować i wyjaśniać, bardziej powoduje wątpliwości lub obawy u osób do których jest kierowana, często sama w sobie może powodować wnioski o realizację praw.
- Nieprzygotowanie organizacyjne i technologiczne
Często można spotkać się z sytuacją, kiedy niezrealizowany lub nieprawidłowo zrealizowany wniosek skutkuje tym, że administrator otrzymuje kolejny. Przykładowo, źle obsłużony wniosek o usunięcie danych, może spowodować otrzymanie kolejnego żądania, np. o wydanie kopii danych, a taki wniosek może być już bardziej uciążliwy od tego wcześniejszego.
- Niewłaściwa obsługa klienta
Zdarza się, że niezadowolony z obsługi klient, po złożeniu reklamacji składa kolejne wnioski, takie jak np. wniosek o usunięcie danych (szczególnie wtedy, jeśli wcześniej jego reklamacja także nie była prawidłowo obsłużona).
Podsumowanie
Rosnąca świadomość społeczna w zakresie ochrony danych osobowych, w tym praw jakie przysługują osobom sprawia, że kwestie związane z realizacją praw osób, których dane dotyczą są i będą stałym elementem funkcjonowania każdego administratora. Trzeba więc być do tego odpowiednio przygotowanym.
Jak to zrobić ?
Na pewno należy zacząć od zbudowania odpowiedniej struktury organizacyjnej oraz wdrożenia procedur wewnętrznych zapewniających właściwy przepływ informacji.
Równie ważne jest to, aby wszystkie osoby zaangażowane w obsługę wniosków znały te procedury, a przede wszystkimi stosowały się do nich. Dotyczy to, zarówno pracowników administratora, jak i pracowników z firm zewnętrznych (jeśli takie są zaangażowane w ten proces). Bardzo ważna jest również stała kontrola tych procedur i w razie potrzeby ich aktualizacja w celu dostosowania do zmieniających się okoliczności.
Jako, że zdecydowana większość danych jest przetwarzana w systemach informatycznych nie można również pominąć kwestii odpowiedniego przystosowania infrastruktury teleinformatycznej. Infrastruktura zbudowana w zgodzie z wymaganiami RODO zapewniająca m.in. rozliczalność działań stanowić będzie także istotną pomoc przy obsłudze wniosków o realizację praw.
Źródła:
7 Odpowiedzi
Zostaw odpowiedź
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.
Dzień dobry:)
Proszę o pomoc w kwestii udostępniania danych osobowych w postaci wizerunku. Dyrektor Domu Kultury chciałby zorganizować wystawę zdjęć z okresu, w którym budynek Domu Kultury był miejscem organizowania studniówek ( lata 1970-1990). Pomysł polega na umieszczeniu ogłoszenia w prasie i portalach internetowych do mieszkańców miasta z prośbą o przesłanie zdjęć, z prywatnych kolekcji, z tamtego okresu.
Czy takie działanie nie narusza przepisów RODO?
Obawiam się, że umieszczenie klauzuli informacyjnej dotyczącej przetwarzania wizerunku w związku z wystawą w ogłoszeniu będzie niewystarczające. Nie jesteśmy w stanie uzyskać zgody każdej osoby która może znaleźć się na fotografiach…
Dzień dobry:) W opisanej przez Panią sytuacji mamy do czynienia również z prawem do rozpowszechniania wizerunku w rozumieniu art. 81 Prawo autorskie, zatem należałoby przede wszystkim zadbać aby były spełnione wymogi tej regulacji. Kwestia zgody – w przypadku przesyłania zdjęć przez osoby zainteresowane nie widzimy konieczności pozyskiwania zgody – zakładamy, że zdjęcia będą przesyłane dobrowolnie, pod jednym warunkiem, że w ogłoszeniu dokładnie zostanie opisane: kto, w jakim celu będzie przetwarzał wizerunek osoby. pozdrawiamy
Dziękuje bardzo za odpowiedź:) Pozdrawiam!
A jak zapatrujecie się Państwo na następujący stan faktyczny: Użytkownik rowerów miejskich chce rozwiązać umowę i odzyskać opłatę aktywacyjną (20pln). W odpowiedzi na dyspozycję rozwiązania umowy otrzymuje informację, że administrator nie jest w stanie zweryfikować użytkownika i prosi o wejście na konto i podanie swojego nru pesel i dokładnego adresu zamieszkania. Dodam, że usługa została wykonana. Do konta podpięto kartę w celu jego aktywacji. I na żadnym z tych etapów nie były wymagane dane, których teraz administrator potrzebuje do rozwiązania umowy.
Dla mnie – tak jak napisaliście Państwo powyżej – weryfikujemy na podstawie danych, które posiadamy, a nie żądamy nowych. Tym bardziej tak szczegółowych. Pozdrawiam!
Dzień dobry 🙂 podtrzymujemy nasze stanowisko-weryfikujemy na podstawie danych, które posiadamy, a nie żądamy nowych. pozdrawiamy
Wystosowałem do instytucji państwowej zapytanie w ramach dostępu do informacji publicznej dotyczące stanu prawnego podmiotu, który podlegał pod tą instytucje. W wyniku tego zapytania ta jednostka, o którą pytałem została poddana kontroli. Pracownik, który został skierowany w teren na kontrolę poinformował przedstawiciela kontrolowanej jednostki, że jest to wynik donosu i tutaj podał moje imię, nazwisko i miejscowość zamieszkania czyli dane, które figurowały w skierowanym przeze mnie zapytaniu. W wyniku tego stałem się obiektem różnego rodzaju nacisków i presji, można powiedzieć, że utraciłem swoje dobre imię. Jakie prawa przysługują mi w tej sytuacji?
Dzień dobry 🙂 w naszej ocenie w opisanej przez Pana sytuacji mamy do czynienia przede wszystkim z naruszeniem dóbr osobistych. W przypadku naruszenia dóbr osobistych każda osoba, której dobra osobiste zostały naruszone ma prawo do żądania różnych roszczeń, które zostały zdefiniowane w art. 24 Kodeksu Cywilnego m.in. zaprzestania dalszych działań, zapłatę zadośćuczynienia. Pozdrawiamy!