Prawo dostępu do danych osobowych jest jednym z podstawowych praw przewidzianych w RODO. W praktyce oznacza, że osoba może zwrócić się do administratora z pytaniem, czy jej dane są przetwarzane, a jeżeli tak — uzyskać dostęp do tych danych oraz informacje o zasadach ich przetwarzania. Z perspektywy organizacji taki wniosek nie zawsze wygląda jak formalne pismo z nagłówkiem „wniosek z art. 15 RODO”. Może to być zwykły e-mail, wiadomość przez formularz kontaktowy, zgłoszenie do działu obsługi klienta, HR, reklamacji albo sprzedaży. Jeżeli z treści wynika, że osoba chce uzyskać informacje o swoich danych, organizacja powinna potraktować taką wiadomość jako żądanie dostępu.
Po co jest prawo dostępu?
EDPB wskazuje, że celem prawa dostępu jest umożliwienie osobie zrozumienia, jak jej dane są przetwarzane, oraz sprawdzenia czy przetwarzanie odbywa się zgodnie z prawem. To nie jest więc wyłącznie obowiązek formalny. Odpowiedź administratora ma dać osobie realną wiedzę o tym, jakie dane organizacja posiada, dlaczego je przetwarza, komu je ujawnia i jak długo je przechowuje. Administrator powinien przekazać m.in. informacje o celach przetwarzania, kategoriach danych, odbiorcach lub kategoriach odbiorców, okresie przechowywania, źródle danych, prawach osoby oraz ewentualnym zautomatyzowanym podejmowaniu decyzji. Osoba ma również prawo uzyskać kopię danych osobowych podlegających przetwarzaniu. Nie oznacza to jednak automatycznego obowiązku przekazania wszystkich dokumentów, całych akt sprawy czy pełnej korespondencji wewnętrznej. Administrator powinien udostępnić dane osobowe dotyczące wnioskodawcy, ale jednocześnie chronić prawa i wolności innych osób, tajemnicę przedsiębiorstwa oraz informacje, które nie są danymi osobowymi tej osoby.
Termin odpowiedzi
Administrator powinien odpowiedzieć bez zbędnej zwłoki, nie później niż w terminie miesiąca od otrzymania wniosku. Jeżeli sprawa jest skomplikowana albo liczba żądań jest duża, termin można przedłużyć maksymalnie o kolejne dwa miesiące. Trzeba jednak poinformować osobę o przedłużeniu w ciągu pierwszego miesiąca i wskazać przyczyny opóźnienia. To ważne praktycznie: termin biegnie od otrzymania wniosku przez organizację, a nie od momentu, w którym sprawa trafi do IOD, działu prawnego albo osoby odpowiedzialnej za RODO. Dlatego organizacja powinna mieć procedurę rozpoznawania takich żądań we wszystkich kanałach komunikacji.
Czy trzeba odpowiadać, jeśli nie przetwarzamy danych?
Tak. Jeżeli administrator nie przetwarza danych osoby składającej wniosek, powinien ją o tym poinformować. Brak danych nie oznacza braku obowiązku odpowiedzi. Milczenie jest ryzykowne, bo z perspektywy osoby wygląda jak zignorowanie jej prawa. Może to prowadzić do skargi do Prezesa UODO i konieczności tłumaczenia, dlaczego organizacja nie odpowiedziała w terminie.
Weryfikacja tożsamości
Administrator powinien upewnić się, że udostępnia dane właściwej osobie. EDPB akcentuje, że weryfikacja tożsamości powinna być proporcjonalna i nie może prowadzić do nadmiarowego zbierania danych. Jeżeli osoba składa wniosek z adresu e-mail przypisanego do konta, często wystarczy mniej inwazyjna metoda weryfikacji. W przypadku szerszych lub bardziej wrażliwych danych można poprosić o dodatkowe informacje. Nie należy jednak automatycznie żądać skanu dowodu osobistego przy każdym wniosku. Taka praktyka może sama w sobie tworzyć niepotrzebne ryzyko.
Co grozi za brak odpowiedzi?
Brak odpowiedzi na wniosek o dostęp do danych może mieć kilka konsekwencji. Po pierwsze, osoba może złożyć skargę do Prezesa UODO. Dla osoby jest to relatywnie proste: wystarczy wykazać, że wniosek został wysłany, a odpowiedzi nie było albo była spóźniona. Po drugie, organ nadzorczy może nakazać administratorowi realizację prawa dostępu. Wtedy organizacja i tak będzie musiała odpowiedzieć, ale już w ramach postępowania przed organem. Po trzecie, brak odpowiedzi może skutkować administracyjną karą pieniężną. Naruszenie praw osób, których dane dotyczą, jest traktowane jako poważne naruszenie RODO. Wysokość kary zależy od okoliczności sprawy, w tym skali, czasu trwania naruszenia, stopnia winy, działań naprawczych i współpracy z organem. Po czwarte, brak reakcji może eskalować spór z klientem, pracownikiem, kandydatem lub kontrahentem. Wnioski o dostęp do danych często pojawiają się w sytuacjach konfliktowych: przy reklamacjach, sporach pracowniczych, wypowiedzeniach umów, odmowie zatrudnienia albo przygotowywaniu roszczeń.
Najczęstsze błędy administratorów
Najczęstszy błąd to zignorowanie wniosku, bo nie został nazwany „wnioskiem z RODO”. Drugim błędem jest przekazywanie sprawy między działami bez kontroli terminu. Trzecim — wysłanie wyłącznie ogólnej klauzuli informacyjnej zamiast faktycznej odpowiedzi na żądanie dostępu. Czwartym — udostępnienie zbyt szerokiego pakietu dokumentów, w tym danych innych osób. Piątym — brak dokumentacji pokazującej, jak organizacja obsłużyła żądanie.
Jak powinien wyglądać dobry proces?
Organizacja powinna zarejestrować wniosek, ustalić termin odpowiedzi, zweryfikować tożsamość, zidentyfikować systemy i zasoby, w których mogą znajdować się dane, przygotować odpowiedź, sprawdzić ją pod kątem praw innych osób i wysłać ją w bezpieczny sposób. Warto dokumentować cały proces: datę wpływu wniosku, zakres żądania, sposób weryfikacji tożsamości, sprawdzone systemy, osoby zaangażowane, datę odpowiedzi oraz zakres udostępnionych informacji.
Wniosek praktyczny
Wniosek o dostęp do danych nie powinien być traktowany jako problem administracyjny do odłożenia na później. To prawo osoby, którego realizację administrator musi umieć wykazać. Brak odpowiedzi może prowadzić do skargi, nakazu organu, kary administracyjnej i eskalacji sporu. Dobra odpowiedź nie polega na wysłaniu wszystkiego, co organizacja posiada. Polega na przekazaniu osobie jasnej, kompletnej i bezpiecznej informacji o przetwarzaniu jej danych. Najbezpieczniejsze podejście dla administratora jest proste: rozpoznać wniosek, pilnować terminu, odpowiedzieć konkretnie i udokumentować cały proces.
