Realizacja praw osób, których dane dotyczą na podstawie RODO (cz. 1)

Za nami ponad pół roku stosowania przepisów Ogólnego rozporządzenia o ochronie danych (RODO). Czas ten pozwala na wyciągniecie pierwszych wniosków oraz wskazanie najczęstszych problemów, z jakimi mierzą się administratorzy danych. Jednym z większych wyzwań to obsługa wniosków dotyczących realizacji praw osób których dane dotyczą zgodnie z RODO.

Jest to pierwsza część serii artykułów poświęconych realizacji praw osób, których dane dotyczą na podstawie RODO. Zapraszamy do części drugiej: Jak zweryfikować tożsamość osób wnioskujących o realizację praw wynikających z RODO? Jak zidentyfikować nieprecyzyjne wnioski?
Poprzez realizację praw osób, których dane dotyczą mamy na myśli prawa wskazane w art. 15-22 RODO, tj. prawo do:
  • Dostępu do danych,
  • Sprostowania danych,
  • Usunięcia danych („prawo do bycia zapomnianym”),
  • Ograniczenia przetwarzania danych,
  • Przenoszenia danych,
  • Sprzeciwu,
  • Niepodlegania decyzjom opartym wyłącznie na zautomatyzowanym przetwarzaniu.

W praktyce działalności administratorów obsługujących takie żądania, ich problemy nie dotyczą wyłącznie tego jakie dane można usunąć, czy tego, jak wykonać prawo do przenoszenia danych. Wątpliwości administratorów dotyczą także kwestii takich jak to:

  • w jakiej formie powinna być udzielona odpowiedź,
  • jak poprawie zweryfikować tożsamość osoby składającej wniosek,
  • kiedy można odmówić realizacji wniosku,
  • w jakiej sytuacji możliwe jest wydłużenie terminu na udzielenie odpowiedzi,
  • jak postępować z nieprecyzyjnie sformułowanymi wnioskami.

Właśnie tego rodzaju zagadnieniom będzie poświęcony ten artykuł. Z uwagi na obszerność tematu został on podzielny na dwie części. Dziś część pierwsza.

Osoby uprawnione do składania wniosków o realizację praw

Każda osoba, której dane są przetwarzane może złożyć do administratora wniosek o realizację praw określonych w art. 15-22 RODO. W praktyce, najczęściej takie wnioski pochodzą od klientów lub kontrahentów. Warto też pamiętać, że wniosek może zgłosić do swojego pracodawcy także pracownik (bez względu na formę zatrudnienia).

Poza tym, nie tylko aktualny klient, kontrahent czy pracownik posiadają takie uprawnienia. Szczególną kategorią osób zainteresowanych złożeniem takich żądań mogą być także, kandydaci do pracy, szczególnie Ci którzy nie zostali zatrudnieni. Takie osoby mogą żądać np. usunięcia swoich danych z bazy rekrutacyjnej. Wnioski mogą składać również byli pracownicy. Podobnie wygląda sytuacja w przypadku potencjalnych oraz byłych klientów lub kontrahentów.

Wśród osób najczęściej składających wnioski jest grupa byłych klientów. Szczególnie dotyczy to tych klientów, którzy zakończyli współpracę z administratorem z powodu niezadowolenia ze świadczonych na ich rzecz usług. Ten temat zostanie jeszcze szerzej omówiony w drugiej części artykułu.
e-learning RODO

Zminimalizuj ryzyko naruszenia RODO w Twojej organizacji – przeszkól zespół.

Zależy Ci na tym aby Twoi pracownicy otrzymali certyfikat i poznali praktyczną wiedzę z zakresu RODO zamiast nużących regułek?

Sprawdź nasze interaktywne szkolenia e-learningowe.

Sprawdź

Forma udzielania odpowiedzi realizującą prawa osób których dane dotyczą zgodnie z RODO

Zanim przejdę do przedstawienia poszczególnych form udzielenia odpowiedzi, chciałbym zwrócić uwagę, na ogólną zasadę, do której należy się stosować bez względu na rodzaj przyjętej formy. Zgodnie z art. 12 ust. 1 RODO wszelka komunikacja i udzielanie informacji osobom powinno odbywać się „w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem”. Tego rodzaju postulat, wprost wynikający z przepisów RODO (jako tzw. zasada rzetelności i przejrzystości) jest swoistym novum w prawie ochrony danych osobowych.

Intencją twórców RODO było bowiem, aby realizacja praw osób których dane dotyczą zgodnie z RODO odbywała się w sposób zrozumiały. Aby komunikaty kierowane do osób były dla nich zrozumiałe, aby nie zawierały specjalistycznego, prawniczego języka. Niewątpliwie, stanowi to pewnego rodzaju wyzwanie dla osób przygotowujących odpowiedzi. Szczególnie dla prawników, którzy muszą „przestawić się” na nieco inny styl formułowania odpowiedzi.

Jeśli chodzi o same formy udzielania odpowiedzi, to można wyróżnić następujące formy:
  1. Pisemną, czyli udzielenie odpowiedzi w formie pisma przesłanego pocztą lub przesyłką kurierską, a nawet wręczenie go osobiście. W tym ostatnim przypadku warto zadbać o odpowiednie potwierdzenie odbioru pisma.
  2. Elektroniczną, czyli w praktyce, przede wszystkim wysłanie odpowiedzi drogą email. Przepisy RODO wskazują, że jeśli osoba złożyła wniosek drogą elektroniczną, to również odpowiedź administratora „w miarę możliwości” powinna odbywać się w tej właśnie formie.
  3. Ustną, czyli np. udzielenie odpowiedzi podczas rozmowy telefonicznej. Co niezwykle ważne, tę formę powinniśmy stosować jedynie w wyjątkowych przypadkach. Przed wszystkim, tylko wtedy, gdy osoba zażąda udzielenia odpowiedzi w taki sposób, a także pod warunkiem, że administrator innymi sposobami potwierdzi jej tożsamość. Ten drugi warunek, w praktyce sprawiający administratorom wiele trudności sprawia, że forma ustna nie jest (i zapewne także w przyszłości nie będzie) powszechnie stosowana.

Termin udzielenia odpowiedzi w związku z realizacją praw osób których dane dotyczą

Przepis art. 12 ust. 3 RODO stanowi, że administrator ma obowiązek udzielić odpowiedzi „bez zbędnej zwłoki, a w każdym razie w terminie miesiąca„. Administrator powinien zatem udzielić odpowiedzi możliwe jak najszybciej, przy założeniu, że termin jej udzielenia nie może przekroczyć jednego miesiąca. Ten termin jest najważniejszy i należy go bezwzględnie przestrzegać. Istnieje wprawdzie możliwość wydłużenia go o kolejne dwa miesiące, jednakże nie w każdym przypadku będzie to możliwe. Do okoliczności umożliwiających wydłużenie terminu wrócę jeszcze w dalszej części artykułu.

A jak należy liczyć termin realizacji praw osób których dane dotyczą zgodnie z RODO? Decydująca będzie zawsze data „otrzymania” żądania. Bez znaczenia będzie więc, np. data, w której list zawierający żądanie został nadany na poczcie. W określonych sytuacjach, może się również okazać, że datą, od której rozpocznie się bieg terminu będzie nie data otrzymania żądania, lecz data doprecyzowania tego żądania. Będzie tak w przypadku wniosków, które w sposób oczywisty będą nieprecyzyjne. Tego rodzaju wnioskom poświęcimy drugą część artykułu.

Niezwykle istotne jest to, aby w tym terminie osoba otrzymała "merytoryczną" odpowiedź. Nie wystarczy więc samo przesłanie maila potwierdzającego otrzymanie wniosku i przyjęcie go do realizacji. W terminie jednego miesiąca osoba powinna bowiem otrzymać konkretną odpowiedź realizującą jej prawo. Przykładowo: informacje o przetwarzaniu danych, potwierdzenie usunięcia danych, potwierdzenie odnotowania sprzeciwu wobec przetwarzania danych lub cofnięcia zgody.

Co jeśli wystąpią takie okoliczności, które będą dawały administratorowi prawo do wydłużenia terminu na udzielenie odpowiedzi? W tym samym jednomiesięcznym terminie administrator powinien poinformować osobę, której dane dotyczą o wydłużeniu terminu oraz o jego powodach.

e-learning RODO

Polityka Ochrony Danych wraz z załącznikami

Skorzystaj z naszej oferty i zakup w sklepie pełną wersję Polityki Ochrony Danych wraz ze wszystkimi procedurami i dokumentami w formie załączników.

Sprawdź

Kiedy można wydłużyć termin?

Niejednokrotnie miesięczny termin może okazać się niewystarczający na udzielenie odpowiedzi.

Z naszej praktyki wynika, że najczęściej na wydłużenie czasu realizacji wniosków wpływają:
  • złożona struktura organizacyjna;
  • skomplikowana struktura rozwiązań IT (duża ilość systemów przetwarzających dane);
  • konieczność uzyskiwania informacji z centrali znajdującej się zagranicą;
  • brak procedur wewnętrznych lub ich nieznajomość przez pracowników.

W przypadku administratorów, którzy nie wdrożyli odpowiednich procedur, bądź ich nie przestrzegają może się zdarzyć, że sam czas, jaki jest potrzebny na dotarcie wniosku do osoby, odpowiedzialnej za jego rozpatrzenie wyniesie kilka dni. Jeśli do tego dodamy czas potrzebny na kontakt z kolejnymi osobami w celu uzyskania informacji, niejednokrotnie także z zewnętrznych firm obsługujących administratora, może się okazać, że termin jednego miesiąca jest zbyt krótki.

Należy jednak pamiętać, że dopuszczalne przyczyny wydłużania terminu realizacji wniosków, są ściśle określone w przepisach RODO i są nimi wyłącznie „skomplikowany charakter żądania lub liczba żądań(art. 12 ust. 3 RODO). A zatem, nie każda przyczyna, a szczególnie nie taka, która wynika z niewłaściwego przygotowania organizacyjnego administratora będzie podstawą do wydłużenia terminu.

Koniec części pierwszej, kolejne artykuły z serii Realizacja praw osób, których dane dotyczą zgodnie z RODO, opublikujemy w najbliższym czasie.

Powiązane artykuły

10 najczęstszych RODO błędów na stronie internetowej
Zasady pracy zdalnej a RODO – poradnik
Pusty rejestr naruszeń RODO – powód do dumy czy niepokoju?

2 Odpowiedzi

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO