Jednym z popularniejszych i skuteczniejszych wyznaczników, czy w organizacji właściwie wdrożono RODO, jest realizacja tzw. “prawa do dostępu do danych”. Zgodnie z art.15 RODO każdej osobie fizycznej przysługuje prawo do zwrócenia się do administratora z pytaniem, czy przetwarza on jej dane i w jakim zakresie. Administrator po wpłynięciu takiego żądania, powinien poinformować wnioskującego o tym, czy jest w posiadaniu jego danych osobowych, a jeśli tak, to również o tym jakie to są dane.
Prawo dostępu do danych a zakres udostępnianych informacji
Wypełniając żądanie złożone w trybie art. 15 RODO, administrator, który potwierdza przetwarzanie danych, przekazuje osobie uprawnionej następujące informacje:
- cele przetwarzania – informacja ta powinna być przekazana osobie, której dane dotyczą już na samym początku administrowania danymi, a cele przetwarzania należy umieć wskazać w sposób prawidłowy na każdym etapie przetwarzania danych;
- kategorie odnośnych danych osobowych – chodzi o wskazanie, czy administrator przetwarzane w uproszczeniu chodzi o dane zwykłe i szczególne takie jak dane dotyczące stanu zdrowia, czy poglądów politycznych;
- informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych – wskazanie procesorów, podprocesorów i współadministratorów, szczególnie jeżeli odbiorcy znajdują się poza europejskim obszarem gospodarczym lub są to organizacje międzynarodowe;
- w miarę możliwości planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
- informacje o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania;
- informacje o prawie wniesienia skargi do organu nadzorczego;
- jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą – wszelkie dostępne informacje o ich źródle;
- informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu.
Sprawdź jak wdrożyć RODO w twojej organizacji
Prawo dostępu do danych w praktyce
Na czym w praktyce może polegać udostępnienie danych osobowych zgodnie z żądaniem?
Przede wszystkim, na udostępnieniu akt dokumentacji w biurze administratura lub też za pomocą środków elektronicznych. Prawo do dostępu do danych może być realizowane w formie elektronicznej, szczególnie jeżeli żądanie zostało w ten sposób skierowane.
Co ciekawe, motyw 63 RODO wskazuje na możliwość realizacji żądania za pomocą zdalnego dostępu do bezpiecznego systemu,co stanowić ma pewnego rodzaju elektroniczną samoobsługę podmiotów. Rozwiązałoby to problem niemożności dotrzymania terminów odpowiedzi na żądanie.
Prawo dostępu do danych a kopia danych
RODO wskazuje też, że osoba, której dane dotyczą ma prawo do otrzymania kopii danych osobowych, uprawnienie to jest jednak ograniczone. Ograniczenie to ma na celu zapobieganie sytuacji, w której podmiot danych będzie domagać się kopii swoich danych osobowych. Rozporządzenie zobowiązuje administratora do wydania podmiotowi danych jednej bezpłatnej kopii, kolejne mogą być powiązane z koniecznością opłaty administracyjnej. RODO skłania się ku stanowisku, że kwota, której żąda administrator powinna być „rozsądna” i wynikać z kosztów administracyjnych.
Praktyka wskazuje, że bezpłatna kopia danych osobowych przysługuje osobie raz do roku, nie jest to jednak potwierdzone w przepisach i wynika z dobrej woli administratora.
Prawo dostępu do danych a termin
W odpowiedzi na to w jakim terminie należy zrealizować żądanie podmiotu danych przychodzi artykuł 12 RODO. Wskazuje, że realizacja prawa podmiotu danych powinna nastąpić bez zbędnej zwłoki, nie dłużej jednak niż w ciągu miesiąca od otrzymania żądania. Można przedłużyć termin o 2 miesiące, przy uprzednim poinformowaniu podmiotu o przedłużeniu terminu wraz z dołączeniem wyjaśnień przyczyn opóźnienia.
Przeprowadzenie w organizacji testu realizacji art.15 RODO jest doskonałym sposobem przeglądu procedury i prawidłowości przetwarzania danych osobowych. Sprawna generacja raportu w zakresie żądania osoby fizycznej w dostępie do danych jest wskaźnikiem kultury przetwarzania danych osobowych w organizacji.