Prawo do uzyskania kopii danych, znane również jako prawo do dostępu, jest jednym z podstawowych praw przewidzianych przez RODO (Rozporządzenie Ogólne o Ochronie Danych) – unijne rozporządzenie dotyczące prywatności i ochrony danych osobowych obywateli Unii Europejskiej. RODO wprowadza zasady, których należy przestrzegać podczas przetwarzania danych osobowych, a także udziela praw jednostkom, których dane dotyczą.
Prawo do uzyskania kopii danych (art. 15 RODO) daje osobom fizycznym możliwość uzyskania informacji o tym, czy i jakie ich dane osobowe są przetwarzane przez organizację, a także uzyskania kopii tych danych. Osoba, której dane dotyczą, może wystąpić z wnioskiem do administratora danych (organizacji przetwarzającej dane) o dostarczenie informacji na temat:
- Celów przetwarzania danych.
- Kategorii danych osobowych przetwarzanych.
- Odbiorców lub kategorii odbiorców, którym dane zostały lub zostaną ujawnione.
- Okresu przechowywania danych osobowych lub kryteriów wyznaczania tego okresu.
- Prawa osoby, której dane dotyczą, w tym prawa do sprostowania, usunięcia lub ograniczenia przetwarzania danych oraz prawo wniesienia sprzeciwu wobec przetwarzania.
- Prawa do wniesienia skargi do organu nadzorczego.
- Źródła danych, jeśli nie zostały one zebrane bezpośrednio od osoby, której dane dotyczą.
- Informacji o zautomatyzowanym podejmowaniu decyzji, w tym profilowaniu oraz o logice za tym stojącej oraz o przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
Administrator danych jest zobowiązany dostarczyć te informacje oraz kopię danych osobowych w ciągu miesiąca od dnia otrzymania wniosku, z możliwością przedłużenia tego okresu o dwa kolejne miesiące w przypadku skomplikowanych lub licznych wniosków. W większości przypadków dostarczenie informacji i kopii danych powinno być bezpłatne, chyba że wniosek jest oczywiście bezzasadny lub nadmierny. W takim przypadku administrator może pobrać opłatę adekwatną do kosztów realizacji wniosku lub odmówić jego realizacji.
Wyrok Trybunału Sprawiedliwości UE z 4 maja 2023 r. w/s Österreichische Datenschutzbehörde / CRIF GmbH (C-487/21)
Sprawa dotyczyła agencji CRIF, która na prośbę klientów dostarcza informacje o wypłacalności osób fizycznych, przetwarzając ich dane osobowe. Pewna osoba zażądała od CRIF dostępu do swoich danych oraz kopii dokumentów, takich jak wiadomości e-mail i wyciągi z baz danych zawierające jej dane “w standardowym formacie”. W odpowiedzi, firma CRIF przekazała jej streszczenie swoich danych, co uznała za niewystarczające.
Żądający skierował skargę do austriackiego organu ochrony danych, Österreichische Datenschutzbehörde, lecz przegrał sprawę, gdyż organ stwierdził, że CRIF nie naruszyło prawa dostępu do danych osobowych. Następnie została złożona skarga do federalnego sądu administracyjnego, który zwrócił się do Trybunału Sprawiedliwości Unii Europejskiej (TSUE) z pytaniem o interpretację przepisów RODO dotyczących treści i zakresu prawa dostępu osoby, której dane są przetwarzane.
Trybunał Sprawiedliwości Unii Europejskiej wydał orzeczenie dotyczące prawa konsumentów do odszkodowania za naruszenie przepisów unijnego ogólnego rozporządzenia o ochronie danych (RODO). Sąd ustalił, że prawo do odszkodowania opiera się na standardzie opartym na trzech kryteriach, z wyjaśnieniem, że „nie każde naruszenie RODO automatycznie upoważnia do odszkodowania”. TSUE podkreślił również, że odszkodowanie nie musi być ograniczone do szkód majątkowych, a sądy krajowe będą miały swobodę podejmowania decyzji dotyczących oceny szkód.
Trybunał orzekł ponadto, że prawo osoby, której dane są przetwarzane, do uzyskania kopii swoich danych osobowych oznacza, że powinna otrzymać „wierną i zrozumiałą reprodukcję” wszystkich tych danych. Prawo to obejmuje możliwość uzyskania kopii fragmentów dokumentów lub nawet całych dokumentów, bądź wyciągów z baz danych zawierających te informacje, jeżeli jest to niezbędne dla skutecznego wykonywania praw przysługujących tej osobie na mocy RODO – stwierdził TSUE.
