W obliczu dynamicznego rozwoju technologii i cyfrowego przekształcenia współczesnego społeczeństwa, ochrona danych osobowych przyjęła nową, kluczową rolę. Ogólne rozporządzenie o ochronie danych (RODO), wprowadzone w maju 2018 roku, ustala ramy i zasady dotyczące gromadzenia, przetwarzania oraz przechowywania danych osobowych w Unii Europejskiej. Jednym z centralnych elementów RODO są prawa podmiotów danych do składania żądań dotyczących ich danych osobowych. Wartościowe zarządzanie i skuteczna realizacja tych żądań nie tylko stanowią obowiązek dla administratorów danych, ale również budują trwałe fundamenty zaufania i poszanowania prywatności klientów.
Jakie prawa przysługują osobom, których dane przetwarzamy?
Zgodnie z RODO każda osoba, której danej osobowe przetwarza administrator, ma możliwość skorzystania ze swoich praw wskazanych w art. 15-22 RODO, tj. prawa do: dostępu do danych, sprostowania danych, usunięcia danych (prawo do bycia zapomnianym), ograniczenia przetwarzania danych, przenoszenia danych, sprzeciwu, niepodlegania decyzjom opartym wyłącznie na zautomatyzowanym przetwarzaniu.
W praktyce najczęściej do administratorów spływają wnioski o usunięcie danych, w następnej kolejności można wymienić wnioski z żądaniem realizacji prawa dostępu do danych. Żądania odnoszące się do sprostowania danych, przenoszenia danych oraz niepodlegania decyzjom opartym wyłącznie na zautomatyzowanym przetwarzaniu zdarzają się stosunkowo rzadko.
Kto jest uprawniony do złożenia wniosku?
Każda osoba, której dane są przetwarzane, może złożyć do administratora wniosek o realizację praw wymienionych powyżej. W praktyce najczęściej takie wnioski pochodzą od klientów, kontrahentów, kandydatów do pracy. Wnioski rozpatruje się wyłącznie, gdy zostały złożone przez uprawnioną osobę, tj. wnioskodawcę lub osobę właściwie umocowaną. Nie rekomenduje się udzielania odpowiedzi na zapytania ustne, w tym kierowane telefonicznie. W takim przypadku najlepiej zawsze prosić o kontakt mailowy/pisemny, w przeciwnym wypadku trudno prawidłowo ustalić tożsamość wnioskodawcy oraz zapewnić wywiązanie się z zasady rozliczalności.
W jaki sposób zweryfikować tożsamość wnioskodawcy?
Zgodnie z art. 12 ust. 6 RODO weryfikacja powinna być przeprowadzona wtedy, gdy administrator ma „uzasadnione wątpliwości co do tożsamości” osoby składającej żądanie.
W celu weryfikacji administrator „może żądać dodatkowych informacji niezbędnych do potwierdzenia tożsamości osoby, której dane dotyczą”. To jakie będą to informacje, zależeć będzie od okoliczności konkretnego przypadku, czyli okoliczności określonego procesu przetwarzania danych osobowych. W praktyce weryfikacja najczęściej odbywa się poprzez odpytanie osoby składającej wniosek o podanie swoich danych, takich jak np. nazwisko, adres e-mail, numer klienta, czy innych informacji przypisanych danej osobie, którymi dysponuje administrator.
Zestaw pytań weryfikacyjnych musi być oczywiście tak dobrany, aby dotyczył tylko takich danych czy informacji, jakie administrator jest w stanie porównać z danymi/ informacjami zgromadzonymi przez siebie na temat tej osoby. Zbieranie szerszego zakresu danych, które nie będą służyły weryfikacji, będzie niezgodne z zasadą minimalizacji danych (art. 5 ust. 1 lit. c RODO).
Forma udzielania odpowiedzi
Zgodnie z art. 12 ust. 1 RODO wszelka komunikacja i udzielanie informacji osobom powinno odbywać się „w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem”.
Intencją legislatora było realizowanie praw osób, których dane dotyczą w sposób zrozumiały dla tych osób, a nie tylko dla osób przygotowujących te odpowiedzi (najczęściej specjalistów posługujących się prawniczym językiem).
Drugim aspektem formy udzielania odpowiedzi jest kanał komunikacji – jeśli wnioskodawca, przekazał swoje żądanie elektronicznie, w miarę możliwości informacje także są przekazywane elektronicznie, chyba że wnioskodawca, zażąda innej formy. Jeżeli wniosek został skierowany listownie, to również odpowiedzi należy udzielić w ten sam sposób. Na wnioski odpowiada się z wykorzystaniem danych adresowych, na które wniosek został skierowany.
Jeżeli administrator nie podejmuje działań w związku z żądaniem wnioskodawcy, to niezwłocznie – najpóźniej w terminie miesiąca od otrzymania żądania – informuje tę osobę, o powodach niepodjęcia działań oraz o możliwości wniesienia skargi do organu nadzorczego, oraz skorzystania ze środków ochrony prawnej przed sądem.
Jak szybko zareagować na wniosek podmiotu danych?
RODO w art. 12 ust. 3 precyzuje, że na żądania podmiotów danych należy odpowiadać „bez zbędnej zwłoki, a w każdym razie w terminie miesiąca”. W przypadku skomplikowanych wniosków lub dużej liczby wniosków, których administrator nie może zrealizować w terminie miesiąca, termin ten można przedłużyć o kolejne dwa miesiące. Wtedy w terminie miesiąca od otrzymania żądania administrator informuje osobę, której dane dotyczą o takim przedłużeniu terminu, z podaniem przyczyn opóźnienia.
Termin na udzielenie odpowiedzi liczy się zawsze od daty „otrzymania” żądania. Bez znaczenia będzie więc np. data, w której list zawierający żądanie został nadany na poczcie. W określonych sytuacjach może się również okazać, że datą, od której rozpocznie się bieg terminu, będzie data doprecyzowania żądania. W praktyce często zdarzają się bardzo ogólne, nieprecyzyjne wnioski, na które ciężko odpowiedzieć prawidłowo bez zadania dodatkowych pytań podmiotowi danych.
Ponieważ RODO wskazuje administratorom konkretne terminy, niezwykle istotne jest, aby mieli oni wdrożone procedury, które umożliwią szybką reakcję na zgłoszenia podmiotów danych, co w rezultacie wpłynie na budowanie pozytywnego wizerunku firmy.
Staranne dokumentowanie procesu
Ostatnim istotnym elementem jest prowadzenie dokładnej dokumentacji procesu realizacji żądań podmiotów danych (m.in. prowadzona korespondencja dotycząca uprawnień osób, których dane dotyczą, wysłane odpowiedzi na tego typu żądania). Jest to nie tylko dowód przestrzegania przepisów RODO, ale również narzędzie służące do monitorowania tego procesu i zapewniające administratorowi pełna rozliczalność.
Podsumowanie
Współczesne otoczenie biznesowe wymaga skrupulatnej i zgodnej z przepisami realizacji praw podmiotów danych określonych w RODO. Dostosowanie się do tych wymagań nie tylko gwarantuje zgodność z prawem, ale także buduje zaufanie klientów i wzmacnia wizerunek firmy. Przyjęcie praktycznych strategii, takich jak zapewnienie łatwego dostępu do danych, umożliwienie poprawiania czy usunięcia danych oraz skuteczne procedury komunikacji, przyczynią się do skutecznej realizacji tych praw. Ostatecznie, przestrzeganie przepisów RODO to nie tylko wymóg prawny, ale również etyczny obowiązek, który ma na celu ochronę prywatności i zaufanie klientów w erze cyfrowej.
