Prawo dostępu do danych osobowych
Chyba najczęściej stosowany przez administratorów danych osobowych przepis ogólnego rozporządzenia o ochronie danych (zwanego dalej – co za niespodzianka! – „RODO“) to art. 13, określający jakie informacje należy podać w przypadku zbierania danych osobowych od osoby, której dane dotyczą. W internecie i na różnego rodzaju drukowanych dokumentach już od pierwszego dnia obowiązywania RODO zaczęły pojawiać się bardzo rozbudowane klauzule odzwierciedlające wszystkie postanowienia art. 13 RODO. Wśród nich bardzo często wręcz cytowany jest ust. 2 p. b, zgodnie z którym administrator podaje osobie, której dane dotyczą „informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych“. W dzisiejszym artykule rozpoczynam cykl wyjaśnień poszczególnych informacji z tego przepisu. Na początek prawo dostępu do danych osobowych.
Najlepiej podać wszystkie wymienione informacje
Jak napisałem w artykule „Przetwarzanie danych osobowych – obowiązek informacyjny“, najbezpieczniej jest w klauzuli informacyjnej wykorzystać wszystkie elementy art. 13 ust. 2 p. b RODO (rozporządzenie przy żadnej z tych informacji nie posługuje się zwrotem „jeżeli ma to zastosowanie“ lub innym podobnym), jednak nawet w przypadku uwzględnienia w klauzuli informacyjnej, nie wszystkie z nich będą miały zawsze zastosowanie.
Prawo dostępu do danych osobowych
Kwestię prawa dostępu do danych osobowych reguluje art. 15 RODO i jest to prawo, które przysługuje w każdej sytuacji. Można wskazać jego następujące elementy:
- prawo do uzyskania informacji czy przetwarzane są dane osoby, która zwróciła się do administratora z zapytaniem;
- prawo do uzyskania dostępu do danych osobowych;
- prawo do uzyskania konkretnych informacji wymienionych w art. 15 RODO;
- prawo do uzyskania kopii danych.
Prawo do uzyskania informacji czy dane osobowe są przetwarzane, jest sformułowane na tyle prosto, że nie wymaga dodatkowych wyjaśnień. Kilka słów wyjaśnienia przydałoby się jednak w kontekście pkt 2 powyżej. W jaki sposób umożliwić realizację prawa do uzyskania dostępu do danych osobowych? W zdecydowanej większości przypadków będzie sprowadzało się to po prostu do podania osobie zwracającej się z żądaniem, jej danych osobowych, które przetwarza administrator.
Prawo do uzyskania konkretnych informacji
Jak napisałem powyżej, osoba, której dane są przetwarzane, ma także prawo do uzyskania od administratora konkretnych informacji, wskazanych w art. 15 RODO. Są to następujące informacje:
- cele przetwarzania;
- kategorie odnośnych danych osobowych;
- informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych;
- w miarę możliwości planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
- informacje o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania;
- informacje o prawie wniesienia skargi do organu nadzorczego;
- jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą – wszelkie dostępne informacje o ich źródle;
- informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą;
- jeżeli dane osobowe są przekazywane do państwa trzeciego lub organizacji międzynarodowej – informacja o odpowiednich zabezpieczeniach związanych z przekazaniem.
Wskazany powyżej zakres informacji, które uzyskuje osoba realizująca prawo dostępu do swoich danych osobowych, jest bardzo zbliżony to informacji, które należy przekazać w ramach realizacji obowiązku informacyjnego określonego w art. 13 RODO. Należy jednak odróżnić te dwie sytuacje – obowiązek informacyjny musi być zrealizowany przez administratora danych osobowych niezależnie od jakichkolwiek działań osoby, której dane dotyczą, natomiast prawo dostępu do danych polega na aktywnym działaniu osoby w tym zakresie. Aby uzyskać dostęp do swoich danych, powinna zwrócić się do administratora z odpowiednim żądaniem.
Kopia danych osobowych
Zgodnie z art. 15 ust. 3 RODO, administrator dostarcza osobie, której dane dotyczą, kopię danych osobowych podlegających przetwarzaniu. Pierwsza kopia jest bezpłatna, za każdą kolejną administrator może pobrać opłatę w rozsądnej wysokości wynikającej z kosztów administracyjnych (czyli nie może na tym zarabiać).
W jaki sposób przekazać kopię danych? Nie wiadomo. RODO tego nie precyzuje. Jest tylko jedna wskazówka – „jeżeli osoba, której dane dotyczą, zwraca się o kopię drogą elektroniczną i jeżeli nie zaznaczy inaczej, informacji udziela się w powszechnie stosowanej formie elektronicznej”. Należy zatem przyjąć, że – w zależności od sytuacji – dopuszczalne są różne formy przekazania kopii – od zwykłego wydruku, poprzez zrzut ekranu, plik PDF lub umożliwienia odobie, której dane dotyczą, samodzielnego wygenerowania kopii danych (np. poprzez kliknięcie odpowiedniego przycisku w serwisie internetowym, w związku z którym dane są przetwarzane).