Przypominamy, że w grudniu 2022 roku na naszym blogu opublikowaliśmy artykuł, który stanowił wprowadzenie do serii poświęconej praktycznej realizacji poszczególnych uprawnień podmiotów danych. Przywołujemy go na początku każdej publikacji z cyklu, aby podkreślić, że każde z uprawnień podmiotu danych powinno być realizowane z uwzględnieniem ogólnych zasad przejrzystej komunikacji oraz trybu wykonywania praw. Zasady te prawodawca unijny ustalił w art. 12 RODO, który został przez nas przeanalizowany właśnie w grudniowym artykule, otwierającym cały cykl.
W tym miesiącu kontynuujemy tę serię niniejszą publikacją. Jej temat to Prawo dostępu przysługujące osobie, której dane dotyczą, określone w art. 15 RODO.
Po lekturze artykułu czytelnik dowie się:
Istota prawa dostępu do danych
Prawo dostępu do danych przetwarzanych przez administratora przysługujące podmiotowi danych wydaje się być dość naturalnym. RODO zawiera oczywiście wprowadzenie do tego uprawnienia zawarte w motywie (63).
„Każda osoba fizyczna powinna mieć prawo dostępu do zebranych danych jej dotyczących oraz powinna mieć możliwość łatwego wykonywania tego prawa w rozsądnych odstępach czasu, by mieć świadomość przetwarzania i móc zweryfikować zgodność przetwarzania z prawem. (…) Dlatego też każda osoba, której dane dotyczą, powinna mieć prawo do wiedzy i informacji, w szczególności w zakresie celów, w jakich dane osobowe są przetwarzane, w miarę możliwości okresu, przez jaki dane osobowe są przetwarzane, odbiorców danych osobowych, założeń ewentualnego zautomatyzowanego przetwarzania danych osobowych oraz, przynajmniej w przypadku profilowania, konsekwencji takiego przetwarzania…”
Powyższy zapis zawiera intencje prawodawcy unijnego co do potrzeby istnienia regulacji art. 15 RODO. Daje ona podmiotowi danych możliwość kontroli przetwarzania w zakresie jego dopuszczalności, ograniczenia celu, minimalizacji danych, prawidłowości i ograniczenia przechowywania. Jeśli na podstawie dostarczonych informacji osoba uzna, że którakolwiek z zasad przetwarzania danych została naruszona, może skorzystać z pozostałych praw, o których mowa w Rozdziale III RODO lub złożyć skargę do organu nadzorczego. Skargę można złożyć również w przypadku odmowy realizacji przez ADO wniosku złożonego w trybie art. 15 lub w razie bezczynności administratora. Wówczas organ powinien, w trybie postępowania administracyjnego, wydać decyzję nakazującą dopełnienie tego obowiązku.
Art. 15, podobnie jak art. 13 i 14, jest częścią Sekcji 2 „Informacje i dostęp do danych osobowych”. Jednak w odróżnieniu od realizacji obowiązku informacyjnego z inicjatywy administratora przy zbieraniu danych, prawo dostępu realizowane jest na wniosek osoby w dalszych etapach przetwarzania. Analogicznie jednak administrator, gdy otrzyma taki wniosek, jest zobowiązany do podania osobie, której dane dotyczą pewnych konkretnych informacji. Podaje je, niezależnie od tego, w jaki sposób i kiedy pozyskał dane wnioskodawcy. Dlatego prawo dostępu jest niemniej istotnym filarem ochrony danych osobowych niż obowiązek informacyjny, zwłaszcza jeśli informacje podane przez ADO z jego własnej inicjatywy nie były wystarczająco precyzyjne lub kompletne, czy też były zbyt ogólne. Prawo dostępu przysługuje osobie fizycznej nawet, jeśli administrator w ogóle nie poinformował jej o przetwarzaniu przy gromadzeniu danych.
O co może wnioskować osoba, której dane dotyczą
Przede wszystkim osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarza jej dane osobowe. Jeśli tak nie jest, w odpowiedzi wystarczy zaprzeczyć i nie ma obowiązku podawania dodatkowych informacji. Jednak jeżeli na podstawie treści wniosku ADO jest w stanie ustalić, że przetwarzał wcześniej dane osoby, która zwraca się z żądaniem, powinien poinformować ją o okolicznościach ich usunięcia. W szczególności wniosek może zostać złożony właśnie w celu sprawdzenia czy ADO usunął dane po zrealizowaniu celu ich przetwarzania.
Odpowiedź zgodna z prawdą wymaga oczywiście jednoznacznego potwierdzenia tożsamości wnioskodawcy. Dopiero wówczas można przejść do realizacji wniosku. Podkreślono to w motywie (64) RODO: „Administrator powinien skorzystać z wszelkich rozsądnych środków w celu zweryfikowania tożsamości żądającej dostępu osoby, której dane dotyczą, w szczególności w kontekście usług internetowych i identyfikatorów internetowych….”. Prawidłowy tryb weryfikacji tożsamości opisaliśmy w Procedurze realizacji prawa dostępu, o której mowa poniżej.
Zidentyfikowany wnioskodawca jest uprawniony, aby uzyskać dostęp do danych. Nie zawsze będzie to oznaczało taki sam dostęp, jaki mają osoby upoważnione przez administratora. I nie może nigdy oznaczać możliwości wglądu do całej bazy (zbioru) danych. Jednak jeśli użytkownik ma swoje konto w systemie informatycznym ADO, wówczas prawo dostępu do danych mógłby realizować przy użyciu tego konta. Mogą być tam przedstawione wszystkie informacje na temat użytkownika, którymi dysponuje ADO. Do takiego podejścia zachęca prawodawca unijny w motywie (63) RODO „…W miarę możliwości administrator powinien mieć możliwość udzielania zdalnego dostępu do bezpiecznego systemu, który zapewni osobie, której dane dotyczą, bezpośredni dostęp do jej danych osobowych…”.
Taka organizacja realizacji prawa dostępu ma niebywałe zalety. Znacznie ogranicza liczbę wniosków osób fizycznych, które niemal w dowolnym momencie mogą same bezpośrednio uzyskać dostęp do swoich danych. Pozwala nie tylko się z nimi zapoznać, ale niekiedy również uzupełnić, zmodyfikować lub usunąć. A zatem umożliwia również realizację innych uprawnień wynikających z Rozdziału III RODO.
W przypadku, gdy ADO nie zapewnił podmiotom danych takiej możliwości lub gdy osoba nie wnioskuje o podanie treści danych tylko żąda przekazania informacji dotyczących procesu ich przetwarzania, należy zapewnić inny, sprawny sposób realizacji takiego wniosku.
Informacje podawane wnioskodawcy nt. procesu przetwarzania
Prawo dostępu nie ogranicza się bowiem jedynie do możliwości uzyskania wglądu w swoje dane osobowe. Umożliwia również uzyskanie informacji na temat ich przetwarzania, które – co do zasady – administrator w większości powinien przedstawić w klauzuli informacyjnej.
Osoba, której dane dotyczą, jest uprawniona do uzyskania informacji wymienionych w art. 15 ust. 1:
a) cele przetwarzania;
Analogicznie jak w art. 13 ust. 1 lit. c
b) kategorie odnośnych danych osobowych;
Analogicznie jak w art. 14 ust. 1 lit. d. Przy czym należy podkreślić, że nawet jeśli podmiot danych sam je wcześniej bezpośrednio podawał, nie musi pamiętać ich zakresu. Ponadto kategorie i treść przetwarzanych danych mogły się zmienić w związku z działaniami ADO w procesie lub modyfikacją samego procesu przetwarzania.
c) informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych;
Analogicznie jak w art. 13 ust. 1 lit. e. Przy czym należy podkreślić przypadki przekazywania danych odbiorcom spoza EOG lub będących organizacjami międzynarodowymi. Więcej informacji na ten temat podaje się zgodnie z art. 15 ust. 2.
d) w miarę możliwości planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
Analogicznie jak w art. 13 ust. 2 lit. a
e) informacje o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania;
Analogicznie jak w art. 13 ust. 2 lit. b
f) informacje o prawie wniesienia skargi do organu nadzorczego;
Analogicznie jak w art. 13 ust. 2 lit. d
g) jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą – wszelkie dostępne informacje o ich źródle;
Analogicznie jak w art. 14 ust. 1 lit. f
h) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
Analogicznie jak w art. 13 ust. 2 lit. f
- Jeżeli dane osobowe są przekazywane do państwa trzeciego lub organizacji międzynarodowej, osoba, której dane dotyczą, ma prawo zostać poinformowana o odpowiednich zabezpieczeniach, o których mowa w art. 46, związanych z przekazaniem.
Analogicznie jak w art. 13 ust. 1 lit. f. Przy czym art. 15 ust. 2 odnosi się jedynie do art. 46. Należy więc przyjąć, że ADO nie musi dostarczać wnioskodawcy – w przeciwieństwie do konieczności zawarcia w klauzuli informacyjnej – szczegółowych informacji nt. wiążących reguł korporacyjnych (art. 47) oraz sytuacji opisanych w akapicie drugim art. 49 ust. 1.
Dostarczenie kopii danych
Prawo dostępu daje wnioskodawcy jeszcze jedno uprawnienie. Niezależnie od tego czy skorzystał z możliwości założenia konta w systemie ADO, a zwłaszcza gdy nie mógł tego zrobić, może zawnioskować o kopię danych osobowych podlegających przetwarzaniu. Uprawnienie to zapisano w ust. 3 art. 15.
- Administrator dostarcza osobie, której dane dotyczą, kopię danych osobowych podlegających przetwarzaniu. Za wszelkie kolejne kopie, o które zwróci się osoba, której dane dotyczą, administrator może pobrać opłatę w rozsądnej wysokości wynikającej z kosztów administracyjnych. Jeżeli osoba, której dane dotyczą, zwraca się o kopię drogą elektroniczną i jeżeli nie zaznaczy inaczej, informacji udziela się w powszechnie stosowanej formie elektronicznej.
Przepis ten zawiera również wskazówki dotyczące trybu realizacji uprawnienia. Natomiast w ust. 4 zawarto ograniczenie dotyczące uzyskania kopii danych:
- Prawo do uzyskania kopii, o której mowa w ust. 3, nie może niekorzystnie wpływać na prawa i wolności innych.
Warto zwrócić uwagę, że nie chodzi wyłącznie o prawa i wolności innych osób fizycznych. Intencje prawodawcy unijnego związane z tym ograniczeniem opisano w motywie (63) RODO:
(63) …Prawo to nie powinno negatywnie wpływać na prawa lub wolności innych osób, w tym tajemnice handlowe lub własność intelektualną, w szczególności na prawa autorskie chroniące oprogramowanie. Względy te nie powinny jednak skutkować odmową udzielenia osobie, której dane dotyczą, jakichkolwiek informacji. Jeżeli administrator przetwarza duże ilości informacji o osobie, której dane dotyczą, powinien on mieć możliwość zażądania, przed podaniem informacji, by osoba, której dane dotyczą, sprecyzowała informacje lub czynności przetwarzania, których dotyczy jej żądanie.
Wyjątki od ogólnych zasad udostępniania danych osobie, której one dotyczą, mogą być zawarte w przepisach szczególnych. Na przykład w art. 45 ustawy Prawo o aktach stanu cywilnego została określona procedura udostępniania odpisów skróconego aktu stanu cywilnego.
Czy są przypadki zwolnienia z obowiązku realizacji prawa dostępu
Art. 15 RODO nie przewiduje przypadków wyłączenia realizacji prawa dostępu. Co więcej, nie ma potrzeby, aby osoba, która domaga się informacji na swój temat, w jakikolwiek sposób uzasadniała wniosek. Zatem każda osoba fizyczna musi zostać rzetelnie poinformowana w zakresie złożonego przez nią żądania. Jednakże administrator nie może przechowywać danych osobowych tylko po to, aby móc odpowiedzieć na ewentualny wniosek. Mówi o tym motyw (64) RODO „…Administrator nie powinien zatrzymywać danych osobowych wyłącznie w celu reagowania na ewentualne żądania.” Takie postępowanie było niezgodne z zasadą ograniczenia celu, ponieważ skorzystanie z prawa dostępu nie jest celem ADO.
Ograniczenia realizacji prawa dostępu mogą być jednak wprowadzane w przepisach szczególnych. Dość istotną grupą takich ustaw są m.in. przepisy dotyczące wykonywania zawodów prawniczych wprowadzające tajemnice zawodowe, które uniemożliwiają dostęp np. do informacji na własny temat dostarczonych pełnomocnikowi przez przeciwną stronę sporu.
Jak prawidłowo realizować prawo dostępu
Zgodnie z zasadą przejrzystości zalecamy realizację wniosku w sposób jak najbardziej skrupulatny i rzetelny, oczywiście z uwzględnieniem praw innych osób (w tym osób prawnych). Dość zaskakująca jest w tym zakresie opinia UODO, z której wynika, że wnioskodawca musi dysponować znajomością przepisów, co najmniej na równi z ADO i posługiwać się we wniosku językiem stosowanym w RODO. W przeciwnym wypadku podmiot danych może nie uzyskać informacji, o które prosi i – zdaniem UODO – takie działanie ADO nie narusza przepisów RODO. Szczegółowo opisaliśmy tę kwestię w artykule nt. kontrowersyjnych decyzji UODO, przedstawiając decyzję dotyczą skargi na nieprawidłową realizację art. 15 przez Bisnode.
W przypadku wpłynięcia do organizacji wniosku dotyczącego uprawnienia określonego w art. 15 RODO, niezależnie od jego formy, zalecamy postępowanie zgodnie z naszą procedurą.
Procedura jest dostępna dla zainteresowanych czytelników – prosimy o zgłoszenie w komentarzu pod artykułem.
Podsumowanie
Prawo dostępu można określić mianem czynnego prawa do uzyskania informacji, w przeciwieństwie do biernego prawa do bycia poinformowanym, czyli obowiązku informacyjnego realizowanego z inicjatywy administratora. Zwykle będzie ono prawem pierwotnym względem pozostałych uprawnień podmiotu danych określonych w RODO. Z tej prostej przyczyny, że bez możliwości skutecznego skorzystania z prawa do informacji zazwyczaj nie będzie zasadne skorzystanie z innych praw. Na przykład dopiero na podstawie informacji uzyskanych od ADO w trybie art. 15 podmiot danych może stwierdzić ponad wszelką wątpliwość, że jego dane są nieprawidłowe lub nieaktualne. Wówczas może wystąpić z wnioskiem o ich sprostowanie w trybie art. 16 RODO.
Co istotne, nawet jeżeli administrator nie dopełnił obowiązku informacyjnego przy zbieraniu danych albo jest z niego zwolniony na podstawie przepisów szczególnych, to osoba, której dane dotyczą, ma możliwość uzyskania tych informacji na podstawie prawa dostępu. Zwłaszcza, gdy dowie się o wykorzystaniu jej danych osobowych na przykład w związku z otrzymaniem niezamówionej informacji handlowej lub podejrzewa ADO o ich przetwarzanie ze względu na charakter działalności tego podmiotu.
Ze względu na dużą istotność obowiązku administratora polegającego na prawidłowej realizacji prawa dostępu, jego niedopełnienie może powodować znaczne konsekwencje finansowe. Naruszenie przepisów art. 15 może pociągnąć za sobą odpowiedzialność w postaci nałożenia przez organ nadzorczy administracyjnej kary pieniężnej w wysokości do 20 mln euro, lub 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Zatem jest to wyższa z kar określonych w RODO (w art. 83 ust. 5).
Zachęcamy do lektury kolejnych artykułów z cyklu, które ukażą się niebawem.
Grzegorz 12 kwietnia, 2023
Witam. Jestem zainteresowany procedurą, jak prawidłowo realizować prawo dostępu do danych.