Prawo dostępu do danych osobowych to jedno z najważniejszych uprawnień przewidzianych w RODO. Jego znaczenie potwierdza niedawna decyzja włoskiego organu nadzorczego – Garante per la protezione dei dati personali – który nałożył na bank administracyjną karę pieniężną w wysokości 100 000 EUR za nieterminowe udostępnienie nagrań rozmów telefonicznych klientowi[1].
Sprawa ta jest doskonałą ilustracją tego, jak w praktyce stosowane są Wytyczne 01/2022 dotyczące prawa dostępu, opracowane przez Europejską Radę Ochrony Danych (EROD)[2].
Stan faktyczny: klient żąda nagrań rozmów
Klient banku padł ofiarą oszustwa finansowego. Aby zakwestionować przelew na ok. 10 000 EUR i odtworzyć przebieg zdarzeń, zwrócił się do banku o udostępnienie:
- nagrań rozmów telefonicznych z obsługą klienta,
- danych związanych z realizacją transakcji.
Bank nie przekazał żądanych informacji w ustawowym terminie. Dopiero po wniesieniu skargi do organu nadzorczego i wszczęciu postępowania nagrania zostały udostępnione — jednak 30-dniowy termin wynikający z RODO już upłynął.
To opóźnienie stało się podstawą do stwierdzenia naruszenia.
Dlaczego nagrania rozmów podlegają prawu dostępu?
Kluczowe znaczenie w tej sprawie mają Wytyczne 01/2022 dotyczące prawa dostępu, wydane przez Europejską Radę Ochrony Danych.
Zgodnie z nimi:
- pojęcie „danych osobowych” należy interpretować szeroko,
- nagranie rozmowy telefonicznej może stanowić dane osobowe, jeśli umożliwia identyfikację osoby (np. poprzez głos, treść rozmowy, dane transakcyjne),
- osoba ma prawo otrzymać kopię swoich danych, a nie jedynie ich opis czy streszczenie.
Oznacza to, że administrator nie może ograniczyć się do przekazania notatki służbowej zamiast samego nagrania. Jeżeli rozmowa zawiera dane osobowe klienta – stanowi ona przedmiot prawa dostępu.
Decyzja włoskiego organu potwierdza praktyczne zastosowanie tej wykładni.
Prawo dostępu według EROD – standard, który muszą spełniać administratorzy
Wytyczne EROD precyzują, że realizacja prawa dostępu obejmuje dwa elementy:
- Kopię danych osobowych
Osoba ma prawo uzyskać rzeczywistą kopię swoich danych – w analizowanej sprawie były to nagrania rozmów telefonicznych.
- Informacje towarzyszące
Administrator musi również przekazać informacje m.in. o:
- celach przetwarzania,
- kategoriach danych,
- odbiorcach danych,
- okresie przechowywania,
- prawie wniesienia skargi do organu nadzorczego.
Prawo dostępu ma umożliwić osobie ocenę zgodności przetwarzania z prawem oraz podjęcie dalszych działań (np. sprostowanie, usunięcie danych, dochodzenie roszczeń).
Terminowość jako element zgodności z RODO
Jednym z najważniejszych elementów podkreślanych w wytycznych EROD jest terminowość.
Administrator musi:
- odpowiedzieć bez zbędnej zwłoki,
- nie później niż w ciągu jednego miesiąca od otrzymania żądania.
Termin ten może zostać przedłużony o kolejne dwa miesiące ze względu na skomplikowany charakter żądania, jednak administrator ma obowiązek poinformować osobę o przedłużeniu w ciągu pierwszego miesiąca.
W analizowanej sprawie bank nie dotrzymał miesięcznego terminu i nie wykazał przesłanek uzasadniających jego przedłużenie. Fakt późniejszego udostępnienia nagrań – już w toku postępowania administracyjnego – nie wyeliminował uprzedniego naruszenia.
Wytyczne EROD podkreślają bowiem, że terminowość jest integralnym elementem realizacji prawa dostępu, a jego przekroczenie może samo w sobie stanowić naruszenie RODO.
Właśnie taka sytuacja miała miejsce w sprawie włoskiego banku. Udostępnienie nagrań dopiero po interwencji organu nie usunęło naruszenia polegającego na opóźnieniu.
Ochrona praw osób trzecich – ale bez automatycznej odmowy
Wytyczne EROD wskazują również, że prawo dostępu nie ma charakteru absolutnego. Administrator powinien uwzględniać prawa i wolności innych osób – np. pracowników uczestniczących w rozmowie.
Nie oznacza to jednak możliwości całkowitej odmowy udostępnienia danych. Zgodnie z zasadą proporcjonalności administrator powinien rozważyć:
- anonimizację części nagrania,
- ograniczenie zakresu udostępnianych informacji,
- zastosowanie środków technicznych chroniących dane osób trzecich.
Decyzja włoskiego organu pokazuje, że brak właściwej organizacji procesu realizacji żądań nie może być usprawiedliwieniem dla opóźnienia.
Dlaczego kara wyniosła 100 000 EUR?
Nakładając karę administracyjną, włoski organ nadzorczy uwzględnił:
- skalę działalności i obrót banku,
- współpracę w trakcie postępowania,
- brak wcześniejszych naruszeń.
Choć kara nie była maksymalna, ma istotne znaczenie prewencyjne. Pokazuje, że organy nadzorcze traktują prawo dostępu jako realne, egzekwowalne uprawnienie – a nie formalność.
Wnioski dla administratorów danych
Połączenie tej decyzji z wytycznymi EROD prowadzi do kilku praktycznych wniosków:
- nagrania rozmów telefonicznych to dane osobowe,
- prawo dostępu obejmuje rzeczywistą kopię danych,
- odpowiedź musi być udzielona w terminie,
- procedury wewnętrzne muszą umożliwiać szybkie wyszukiwanie danych,
- spóźniona realizacja żądania może skutkować karą finansową.
Prawo dostępu jest jednym z filarów systemu ochrony danych. Decyzja włoskiego organu pokazuje, że postanowienia RODO, a także wytyczne EROD nie są wyłącznie dokumentem interpretacyjnym – stanowią praktyczny standard, którego niespełnienie może prowadzić do sankcji.
[1] https://www.edpb.europa.eu/news/national-news/2025/right-access-data-protection-authority-fines-bank-100-000-eur-customers-can_en
[2] https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-012022-data-subject-rights-right-access_en
