Realizacja praw osób, których dane dotyczą na podstawie RODO (cz. 1)
Za nami ponad pół roku stosowania przepisów Ogólnego rozporządzenia o ochronie danych (RODO). Czas ten pozwala na wyciągniecie pierwszych wniosków oraz wskazanie najczęstszych problemów, z jakimi mierzą się administratorzy danych. Jednym z większych wyzwań to obsługa wniosków dotyczących realizacji praw osób których dane dotyczą zgodnie z RODO.
- Dostępu do danych,
- Sprostowania danych,
- Usunięcia danych („prawo do bycia zapomnianym”),
- Ograniczenia przetwarzania danych,
- Przenoszenia danych,
- Sprzeciwu,
- Niepodlegania decyzjom opartym wyłącznie na zautomatyzowanym przetwarzaniu.
W praktyce działalności administratorów obsługujących takie żądania, ich problemy nie dotyczą wyłącznie tego jakie dane można usunąć, czy tego, jak wykonać prawo do przenoszenia danych. Wątpliwości administratorów dotyczą także kwestii takich jak to:
- w jakiej formie powinna być udzielona odpowiedź,
- jak poprawie zweryfikować tożsamość osoby składającej wniosek,
- kiedy można odmówić realizacji wniosku,
- w jakiej sytuacji możliwe jest wydłużenie terminu na udzielenie odpowiedzi,
- jak postępować z nieprecyzyjnie sformułowanymi wnioskami.
Właśnie tego rodzaju zagadnieniom będzie poświęcony ten artykuł. Z uwagi na obszerność tematu został on podzielny na dwie części. Dziś część pierwsza.
Osoby uprawnione do składania wniosków o realizację praw
Każda osoba, której dane są przetwarzane może złożyć do administratora wniosek o realizację praw określonych w art. 15-22 RODO. W praktyce, najczęściej takie wnioski pochodzą od klientów lub kontrahentów. Warto też pamiętać, że wniosek może zgłosić do swojego pracodawcy także pracownik (bez względu na formę zatrudnienia).
Poza tym, nie tylko aktualny klient, kontrahent czy pracownik posiadają takie uprawnienia. Szczególną kategorią osób zainteresowanych złożeniem takich żądań mogą być także, kandydaci do pracy, szczególnie Ci którzy nie zostali zatrudnieni. Takie osoby mogą żądać np. usunięcia swoich danych z bazy rekrutacyjnej. Wnioski mogą składać również byli pracownicy. Podobnie wygląda sytuacja w przypadku potencjalnych oraz byłych klientów lub kontrahentów.
Zminimalizuj ryzyko naruszenia RODO w Twojej organizacji – przeszkól zespół.
Zależy Ci na tym aby Twoi pracownicy otrzymali certyfikat i poznali praktyczną wiedzę z zakresu RODO zamiast nużących regułek?
Sprawdź nasze interaktywne szkolenia e-learningowe.
Forma udzielania odpowiedzi realizującą prawa osób których dane dotyczą zgodnie z RODO
Zanim przejdę do przedstawienia poszczególnych form udzielenia odpowiedzi, chciałbym zwrócić uwagę, na ogólną zasadę, do której należy się stosować bez względu na rodzaj przyjętej formy. Zgodnie z art. 12 ust. 1 RODO wszelka komunikacja i udzielanie informacji osobom powinno odbywać się „w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem”. Tego rodzaju postulat, wprost wynikający z przepisów RODO (jako tzw. zasada rzetelności i przejrzystości) jest swoistym novum w prawie ochrony danych osobowych.
Intencją twórców RODO było bowiem, aby realizacja praw osób których dane dotyczą zgodnie z RODO odbywała się w sposób zrozumiały. Aby komunikaty kierowane do osób były dla nich zrozumiałe, aby nie zawierały specjalistycznego, prawniczego języka. Niewątpliwie, stanowi to pewnego rodzaju wyzwanie dla osób przygotowujących odpowiedzi. Szczególnie dla prawników, którzy muszą „przestawić się” na nieco inny styl formułowania odpowiedzi.
- Pisemną, czyli udzielenie odpowiedzi w formie pisma przesłanego pocztą lub przesyłką kurierską, a nawet wręczenie go osobiście. W tym ostatnim przypadku warto zadbać o odpowiednie potwierdzenie odbioru pisma.
- Elektroniczną, czyli w praktyce, przede wszystkim wysłanie odpowiedzi drogą email. Przepisy RODO wskazują, że jeśli osoba złożyła wniosek drogą elektroniczną, to również odpowiedź administratora „w miarę możliwości” powinna odbywać się w tej właśnie formie.
- Ustną, czyli np. udzielenie odpowiedzi podczas rozmowy telefonicznej. Co niezwykle ważne, tę formę powinniśmy stosować jedynie w wyjątkowych przypadkach. Przed wszystkim, tylko wtedy, gdy osoba zażąda udzielenia odpowiedzi w taki sposób, a także pod warunkiem, że administrator innymi sposobami potwierdzi jej tożsamość. Ten drugi warunek, w praktyce sprawiający administratorom wiele trudności sprawia, że forma ustna nie jest (i zapewne także w przyszłości nie będzie) powszechnie stosowana.
Termin udzielenia odpowiedzi w związku z realizacją praw osób których dane dotyczą
Przepis art. 12 ust. 3 RODO stanowi, że administrator ma obowiązek udzielić odpowiedzi „bez zbędnej zwłoki, a w każdym razie w terminie miesiąca„. Administrator powinien zatem udzielić odpowiedzi możliwe jak najszybciej, przy założeniu, że termin jej udzielenia nie może przekroczyć jednego miesiąca. Ten termin jest najważniejszy i należy go bezwzględnie przestrzegać. Istnieje wprawdzie możliwość wydłużenia go o kolejne dwa miesiące, jednakże nie w każdym przypadku będzie to możliwe. Do okoliczności umożliwiających wydłużenie terminu wrócę jeszcze w dalszej części artykułu.
A jak należy liczyć termin realizacji praw osób których dane dotyczą zgodnie z RODO? Decydująca będzie zawsze data „otrzymania” żądania. Bez znaczenia będzie więc, np. data, w której list zawierający żądanie został nadany na poczcie. W określonych sytuacjach, może się również okazać, że datą, od której rozpocznie się bieg terminu będzie nie data otrzymania żądania, lecz data doprecyzowania tego żądania. Będzie tak w przypadku wniosków, które w sposób oczywisty będą nieprecyzyjne. Tego rodzaju wnioskom poświęcimy drugą część artykułu.
Co jeśli wystąpią takie okoliczności, które będą dawały administratorowi prawo do wydłużenia terminu na udzielenie odpowiedzi? W tym samym jednomiesięcznym terminie administrator powinien poinformować osobę, której dane dotyczą o wydłużeniu terminu oraz o jego powodach.
Polityka Ochrony Danych wraz z załącznikami
Skorzystaj z naszej oferty i zakup w sklepie pełną wersję Polityki Ochrony Danych wraz ze wszystkimi procedurami i dokumentami w formie załączników.
SprawdźKiedy można wydłużyć termin?
Niejednokrotnie miesięczny termin może okazać się niewystarczający na udzielenie odpowiedzi.
- złożona struktura organizacyjna;
- skomplikowana struktura rozwiązań IT (duża ilość systemów przetwarzających dane);
- konieczność uzyskiwania informacji z centrali znajdującej się zagranicą;
- brak procedur wewnętrznych lub ich nieznajomość przez pracowników.
W przypadku administratorów, którzy nie wdrożyli odpowiednich procedur, bądź ich nie przestrzegają może się zdarzyć, że sam czas, jaki jest potrzebny na dotarcie wniosku do osoby, odpowiedzialnej za jego rozpatrzenie wyniesie kilka dni. Jeśli do tego dodamy czas potrzebny na kontakt z kolejnymi osobami w celu uzyskania informacji, niejednokrotnie także z zewnętrznych firm obsługujących administratora, może się okazać, że termin jednego miesiąca jest zbyt krótki.
Koniec części pierwszej, kolejne artykuły z serii Realizacja praw osób, których dane dotyczą zgodnie z RODO, opublikujemy w najbliższym czasie.
Related Posts
2 Responses
Leave a Reply
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.
Witam,
czy mamy opublikowaną część 2 tego artykułu?
Dzień dobry,
Tak, oczywiście :). Linkujemy do niej we wstępie artykułu. Bezpośredni link: https://blog-daneosobowe.pl/realizacja-praw-osob-ktorych-dane-dotycza-na-podstawie-rodo/
Pozdrawiamy!