Przeczytanie artykułu zajmie Ci około 7 minut.

Z artykułu dowiesz się:

1. Na co zwrócić uwagę przy analizie treści wniosku o dostęp do danych?
2. Czy osoba, której dane dotyczą może wnioskować o dostęp do danych osobowych innej osoby?
3. Jaka forma wniosku o dostęp do danych osobowych jest rekomendowana przez EROD?
4. Co uwzględniać przy uwierzytelnianiu i identyfikacji osoby, która złożyła wniosek?
5. Co zrobić, by identyfikacja osoby nie była nieproporcjonalna?
6. Jakie jeszcze prawa wynikające z RODO mają osoby, których dane dotyczą? I jak najlepiej uporządkować ich obsługę?

Wstęp

Prawo dostępu do danych osobowych to podstawowe uprawnienie, które posiadamy. Zostało opisane w art. 15 RODO. W praktyce jednak, gdy w Organizacji pojawia się wniosek o dostęp do danych osobowych jego ocena i obsługa jest trudna. Dziś analizuję dla Państwa kilka ciekawych wskazówek z rozdziału 3 Wytycznych 01/2022 dotyczących praw osób, których dane dotyczą – Prawo dostępu -wersja 2.0 przyjętych w dniu 28 marca 2023 r. Europejską Radę Ochrony Danych.

Analiza treści wniosku – na co zwrócić szczególną uwagę?

1. Europejska Rada Ochrony Danych przede wszystkim wskazuje, że Administrator Danych powinien podchodzić do kwestii wniosków w sposób indywidualny: “(…) administrator musi ocenić, każdy wniosek indywidualnie. Administrator bierze pod uwagę między innymi następujące kwestie, rozwinięte w kolejnych punktach: czy wniosek dotyczy danych osobowych powiązanych z osobą wnioskującą oraz kim jest osoba wnioskująca.”
2. Dodatkowo podkreśla istotność pro aktywności oraz trzymania się wyznaczonych terminów przy obsłudze wniosków: “(…) administratorzy powinni być proaktywnie gotowi do obsługi wniosków o dostęp do danych osobowych. Oznacza to, że administrator powinien być przygotowany na otrzymanie wniosku, jego właściwą ocenę oraz udzielenie stosownej odpowiedzi osobie wnioskującej bez zbędnej zwłoki.”

Dostęp do danych osobowych – to dostęp do Twoich danych osobowych

1. Co istotne EROD wyraźnie podkreśla, że dostęp do danych wynikający z RODO dotyczy, co do zasady, tylko danych osobowych bezpośrednio dotyczących danej osoby: “Co do zasady, wniosek może dotyczyć wyłącznie danych osoby składającej wniosek. O dostęp do danych innych osób można wnioskować wyłącznie po uzyskaniu odpowiedniego upoważnienia.”
2. Obrazuje to następującym przykładem: “Przykład 7: Podmiot danych X pracuje jako kierownik działu w firmie, która zapewnia swoim kierownikom miejsca parkingowe na firmowym parkingu. Mimo, że osoba, której dane dotyczą, ma stałe miejsce parkingowe, gdy przyjeżdża do biura na drugą zmianę, miejsce to jest już często zajęte przez inny samochód. W związku z tym, że sytuacja ta jest powtarzalna, w celu zidentyfikowania kierowcy, który w sposób nieuprawniony zajmuje miejsce parkingowe, osoba, której dane dotyczą, zwraca się do administratora systemu monitoringu wizyjnego obejmującego obszar parkingu biura o dostęp do danych osobowych tego kierowcy. W takim przypadku wniosek podmiotu danych X nie będzie wnioskiem o dostęp do jego danych osobowych, ponieważ wniosek nie dotyczy danych osoby wnioskującej, ale danych innej osoby – a zatem nie powinien być uznany za wniosek na podstawie art. 15 RODO.”

Forma wniosku – czyli jak podchodzić do nietypowych próśb?

1. EROD zachęca administratorów do zapewnienia najbardziej odpowiednich i przyjaznych dla użytkownika kanałów komunikacji, aby umożliwić osobie, której dane dotyczą, złożenie skutecznego wniosku: “Niemniej jednak, jeżeli osoba, której dane dotyczą, wystąpi z żądaniem za pośrednictwem kanału komunikacji udostępnionego przez administratora, który różni się od kanału wskazanego jako preferowany, takie żądanie należy zasadniczo uznać za skuteczne, a administrator powinien odpowiednio rozpatrzyć takie żądanie.”
2. W tym przypadku tezę te obrazuje przykładem: “Przykład 8: Administrator X podaje, zarówno na swojej stronie internetowej, jak i w informacji o ochronie prywatności, dwa adresy e-mail – ogólny adres e-mail administratora: CONTACT@X.COM oraz adres e-mail punktu kontaktowego administratora ds. ochrony danych: QUERIES@X.COM. Dodatkowo, administrator X wskazuje na swojej stronie internetowej, że w celu złożenia zapytania lub wniosku dotyczącego przetwarzania danych osobowych, osoby fizyczne powinny skontaktować się z punktem kontaktowym ds. ochrony danych za pośrednictwem podanego adresu e-mail. Natomiast osoba, której dane dotyczą, przesyła żądanie na ogólny adres e-mail administratora: CONTACT@X.COM. 

W takim przypadku administrator powinien dołożyć wszelkich starań, aby jego służby wiedziały o żądaniu złożonym za pośrednictwem ogólnego adresu e-mail, tak aby można było przekierować je do punktu kontaktowego ds. ochrony danych i odpowiedzieć na nie w terminach przewidzianych w RODO. Ponadto administrator nie jest uprawniony do przedłużenia terminu odpowiedzi na wniosek tylko dlatego, że osoba, której dane dotyczą, wysłała wniosek na ogólny adres e-mail administratora, a nie na adres e-mail punktu kontaktowego ds. ochrony danych administratora.”

Identyfikacja i uwierzytelnienie – oceń czy to osoba, której dane dotyczą

1. Prawidłowa ocena tego czy wniosek dotyczący danych osobowych został złożony rzeczywiście przez osobę, której te dane dotyczą, to kolejne wyzwanie dla Administratora. W wytycznych EROD możemy przeczytać, że: “Aby zapewnić bezpieczeństwo przetwarzania i zminimalizować ryzyko nieuprawnionego ujawnienia danych osobowych, administrator musi być w stanie dowiedzieć się, które dane odnoszą się do osoby, której dane dotyczą (identyfikacja) i potwierdzić tożsamość tej osoby (uwierzytelnienie).”
2. Zobrazowano to niezwykle ciekawym i życiowym przykładem dotyczącym monitoringu wizyjnego. Możemy się z niego dowiedzieć, że nie każdy wniosek o dostęp do nagrania z monitoringu złożony przez osobę fizyczną powinien zostać pozytywnie rozpatrzony: “Przykład 10: X jest administratorem danych przetwarzanych w związku z monitoringiem wideo budynku. Zgodnie z Art. 11 ust. 1 RODO, administrator nie jest zobowiązany do identyfikacji wszystkich osób, które zostały zarejestrowane przez kamerę bezpieczeństwa w ramach monitoringu (cel niewymagający identyfikacji). Administrator otrzymuje wniosek o dostęp do danych osobowych od osoby, która twierdzi, że została zarejestrowana przez monitoring wizyjny administratora. Działania administratora będą zależały od dostarczonych dodatkowych informacji. Jeżeli osoba wnioskująca wskaże konkretny dzień i godzinę, kiedy kamery mogły zarejestrować dane zdarzenie, prawdopodobnie administrator będzie w stanie udostępnić takie dane (art. 11 ust. 2 RODO). Jeżeli jednak administrator nie jest w stanie zidentyfikować osoby, której dane dotyczą (np. jeżeli nie może mieć pewności, że osoba wnioskująca jest faktycznie osobą, której dane dotyczą, lub jeżeli wniosek dotyczy np. długiego okresu nagrań, a administrator nie jest w stanie przetworzyć tak dużej ilości danych), może odmówić podjęcia działań, jeżeli wykaże, że nie jest w stanie zidentyfikować osoby, której dane dotyczą (art. 12 ust. 2 RODO).”

Ocena proporcjonalności w odniesieniu do uwierzytelnienia osoby wnioskującej – czyli zidentyfikuj „ale”?

1. Prawidłowa ocena tego, czy wniosek dotyczący danych osobowych, został złożony rzeczywiście przez osobę, której te dane dotyczą to kolejne wyzwanie dla Administratora. Pewnie zauważyłeś/aś, że poprzedni rozdział artykułu zacząłem w ten sam sposób. To dlatego, że tu właśnie pojawia się “ale”. “Ale” musi być proporcjonalne. Jak to ugryźć? EROD opisuje to tak: “(…) jeżeli administrator ma uzasadnione podstawy, aby wątpić w tożsamość osoby wnioskującej, może zażądać dodatkowych informacji w celu potwierdzenia tożsamości osoby, której dane dotyczą. Administrator musi jednak jednocześnie zapewnić, że nie gromadzi więcej danych osobowych niż jest to konieczne do umożliwienia uwierzytelnienia osoby wnioskującej. W związku z tym administrator przeprowadza ocenę proporcjonalności, która musi uwzględniać rodzaj przetwarzanych danych osobowych (np. szczególne kategorie danych lub ich brak), charakter wniosku, kontekst, w którym wniosek jest składany, a także wszelkie szkody, które mogą wyniknąć z niewłaściwego ujawnienia.”
2. Co może być przykładem takiego nieproporcjonalnego działania w sklepie internetowym: Przykład 13: Użytkownik Pani Y utworzył w sklepie internetowym konto chronione hasłem, podając swój adres e-mail i/lub nazwę użytkownika. Następnie właściciel konta zwraca się do administratora z prośbą o udzielenie informacji, czy przetwarza on jego dane osobowe, a jeśli tak, prosi o dostęp do nich w zakresie wskazanym w art. 15 RODO. Administrator prosi o identyfikator osoby składającej wniosek w celu potwierdzenia jej tożsamości. Działanie administratora jest w tym przypadku nieproporcjonalne i prowadzi do zbędnego gromadzenia danych.  Jednakże, aby potwierdzić tożsamość osoby składającej wniosek, jednocześnie zapobiegając niepotrzebnemu gromadzeniu danych, administrator mógłby wymagać od niej uwierzytelnienia poprzez zalogowanie się na konto lub zadać jej (nieinwazyjne) pytania bezpieczeństwa, na które odpowiedź powinna znać tylko osoba, której dane dotyczą, lub użyć uwierzytelniania wieloskładnikowego, które zostało skonfigurowane, gdy osoba, której dane dotyczą, zarejestrowała swoje konto, lub użyć innych istniejących środków komunikacji, o których wiadomo, że należą do osoby, której dane dotyczą, takich jak adres e-mail lub numer telefonu, w celu wysłania hasła dostępu.
3. A kiedy powinniśmy zachować czujność w miejscu takim jak bank: Przykład 14: Klient banku, pan Y, planuje uzyskać kredyt konsumencki. W tym celu Pan Y udaje się do oddziału banku w celu uzyskania informacji, w tym swoich danych osobowych, niezbędnych do oceny jego zdolności kredytowej. W celu weryfikacji tożsamości osoby, której dane dotyczą, konsultant prosi o notarialne poświadczenie jej tożsamości, aby móc udzielić jej wymaganych informacji.

Administrator danych nie powinien wymagać notarialnego potwierdzenia tożsamości, chyba że jest to konieczne, odpowiednie i zgodne z prawem krajowym (na przykład, gdy dana osoba tymczasowo nie posiada żadnego dokumentu tożsamości, a prawo krajowe wymaga dowodu tożsamości osoby, której dane dotyczą, w celu wykonania czynności prawnej). Taka praktyka naraża osoby wnioskujące na dodatkowe koszty i nakłada nadmierne obciążenie na osoby, których dane dotyczą, utrudniając im korzystanie z prawa dostępu.”

Na koniec – nie trać dostępu

1. Dziś skupiliśmy się na małym wycinku jednego z uprawnień jakie przysługują osobom, których dane osobowe przetwarzamy, czyli podstawowych kwestiach związanych z wnioskiem o dostępem do danych osobowych.
2. Nie jest to najprostsze. Czy wiesz jednak, że w niektórych sytuacjach uprawnienia podmiotów danych należy rozszerzyć o:

• prawo do sprostowania danych,

• prawo do bycia zapomnianym,
• prawo do ograniczenia przetwarzania danych,
• prawo do przenoszenia danych,
• prawo do sprzeciwu oraz do niepodleganiu decyzji opartych na zautomatyzowanym przetwarzaniu?

03. Im szybciej uporządkujesz tą kwestie, tym mniej pracy czeka Cię w przyszłości. Tak naprawdę RODO dopiero się rozkręca. Mimo, że jest z nami już 5 lat. Większość osób jeszcze tego nie wiem i uczy się, jak może korzystać ze swoich uprawnień.

Dlatego nie powinieneś czekać. Jeśli jeszcze tego nie zrobiłeś, przygotuj instrukcję obsługi praw osób, których dane dotyczą i śpij spokojnie. Taka procedura powinna być elementem, każdej przemyślanej polityki ochrony danych osobowych.

Oczywiście możesz też odezwać się do nas, a my zaproponujemy najlepsze rozwiązanie dla Ciebie – pisz: biuro@comp-net.pl. 

Autor: Kamil Lewicki, Kierownik Projektu w CompNet Sp. z o.o.