Europejska Rada Ochrony Danych przyjęła na początku roku 2022 wytyczne, dotyczące wykonywania prawa dostępu z art. 15 RODO. Nowe regulacje były interpretowane przez kraje członkowskie na różne sposoby. Sprawdziliśmy, jak wyglądało to w 2022 roku.
Przypominamy najważniejsze ustępy tego artykułu:
- ust. 1 uzyskanie od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące; jeżeli tak to uzyskanie do nich dostępu i zestawu informacji opisujących takie przetwarzanie;
- ust. 2 zabezpieczenia w przypadku transferu danych do państwa trzeciego;
- ust. 23 prawo do uzyskania kopii takich danych.
Sprawdź jak wdrożyć RODO w twojej organizacji
Francuski organ nadzorczy (CNIL) badał zestaw skarg wynikających z prawa dostępu, dotyczących m.in. operatora telefonicznego.
Osoby składające skargi wskazywały, że ich żądania z art. 15 nie były wykonywane w terminie. Operator bronił się twierdząc, że odpowiednie procedury zostały wprowadzone, a brak odpowiedzi na żądania prawa dostępu wynikał z błędów pracowniczych, które dotyczyły mniej niż 1% wszystkich żądań. CNIL w ogóle nie odniósł się do tego argumentu, tym samym uważając go za nieistotny dla rozstrzygnięcia. Rola prawa dostępu jest na tyle duża, że nie ma znaczenia niska częstotliwość związanych z nim naruszeń. Dodatkowo wspomniał, że po złożeniu skarg procedura ta została usprawniona. Część żądań dotyczyła danych objętych tajemnicą przedsiębiorstwa, np. tożsamości brokera, który był źródłem danych wnioskodawcy, przez co spółka Free odmówiła ich udzielenia.
Organ zauważył, że ograniczenie prawa dostępu z art. 15 ust. 4 dotyczy jedynie prawa do uzyskania kopii danych. Prawo dostępu, zgodnie z art. 15 ust. 1 może być ograniczone wyłącznie na warunkach przewidzianych w art. 23 RODO, co nie ma miejsca w tym przypadku. W związku z wykorzystaniem prawa dostępu, administrator jest zobowiązany podać konkretne źródło danych osobowych wnioskodawcy, bez możliwości zasłaniania się tajemnicą przedsiębiorstwa. Celem tej regulacji jest weryfikacja zgodności przetwarzania z prawem, czyli dane, do których udzielany jest dostęp powinny być jak najdokładniejsze i w miarę możliwości administratora pozwolić na ustalenie pierwotnego źródła danych.
Ograniczenie prawa do uzyskania kopii z uwagi na tajemnice handlową jest natomiast dopuszczalne – Federalny Sąd Administracyjny Austrii uznał w procedurze odwoławczej, że wnioskodawca nie może domagać się ujawnienia szczegółowej oceny ryzyka ubezpieczeniowego. Wykonaniem takiego prawa jest udostępnienie danych osobowych, a nie procesu ich oceny.
Prawo dostępu do danych nie dotyczy informacji o tym, kto miał do nich dostęp. Fiński organ ochrony danych osobowych uznał, że nie obejmuje ono logów systemowych do programu, w którym były one przetwarzane. Stanowisko to podzielił również Rzecznik Generalny Trybunału Sprawiedliwości UE w opinii w sprawie C-579/21.
Z kolei według hiszpańskiego organu ochrony danych osobowych,wykonaniem prawa dostępu do nagranej rozmowy telefonicznej jest udostępnienie transkrypcji. Taka forma może pozwolić ukryć dane dotyczące innych uczestników rozmowy, w tym ton i barwę głosu.
Jak zauważył sąd rejonowy w Holandii skarga na niewykonanie prawa dostępu do danych musi precyzować do jakich informacji osoba dostępu nie uzyskała. W badanej sprawie skarżący stwierdził, że administrator – Mollie B.V. – nie udostępnił jego „innych danych”, które przetwarza – co sąd uznał za niedostatecznie precyzyjne.
Rozpatrując skargę na decyzję Organu Nadzorczego Dolnej Saksonii Sąd Drugiej instancji w Celle (Niemcy) zauważył, że dla prawa z art. 15 nie ma znaczenia to, dlaczego osoba składa wniosek o dostęp do swoich danych, w tym brak znaczenia takiego żądania dla ochrony danych. Jak zauważył Sąd „motywacja wnioskodawcy jest bez znaczenia, ponieważ przepisy nie uzależniają prawa dostępu od określonego celu wnioskodawcy oraz wniosek o dostęp do danych nie musi zostać uzasadniony”. Warto zauważyć, że takie stanowisko stanowi częściowe odejście od wcześniejszej tendencji niemieckiej, by korzystania z prawa do informacji uzależnić od tego czy służyło ono celom związanym z ochroną danych osobowych.
Islandzki organ ochrony danych wskazał, że nie jest wykonaniem prawa z art. 15 ust. 3- uzyskanie kopii danych, a jedynie ich udostępnienie w siedzibie administratora w formie papierowej. Zgodnie z treścią przepisu, jeżeli osoba, której dane dotyczą, zwraca się o kopię drogą elektroniczną i nie zaznaczy inaczej, to informacji udziela się powszechnie stosowaną drogą elektroniczną – nawet jeżeli dane są przetwarzane przez administratora jedynie w formie papierowej.
Prawo dostępu posiada duże znaczenie jako umożliwiające wykonanie innych praw z RODO – jak prawo do poprawiania danych, czy, w mniejszym stopniu, prawo do ograniczenia przetwarzania/do usunięcia danych, dają praktyczne podstawy do ich wykonania. Stosunkowa duża aktywność organów nadzorczych wskazuje na rolę i znaczenie tego prawa – jak i aktywność samych podmiotów danych. O ile wykładnia art. 15 w wykonaniu organów nadzorczych zmierza w stronę ułatwienia korzystania z tego prawa, to jednak widzimy tutaj także że uznają pewne ograniczenia.