W grudniu na naszym blogu opublikowany został artykuł, który rozpoczął serię poświęconą realizacji praw osób, których dane dotyczą. Jest on przywoływany na początku każdej publikacji z cyklu, aby podkreślić, że każde z uprawnień podmiotu danych powinno być realizowane z uwzględnieniem trybu wykonywania praw oraz ogólnych zasad przejrzystej komunikacji. Zostały one sprecyzowane w art. 12 RODO, który został przeanalizowany w grudniowej publikacji.
Niniejszy artykuł nie będzie jednak poświęcony uprawnieniu, z którego podmiot danych może skorzystać bezpośrednio. Publikacja opisuje obowiązek administratora, który ma ścisły związek z niektórymi z praw określonych w Rozdziale III RODO.
Z artykułu czytelnik może dowiedzieć się:
- O czym stanowi art. 19 RODO
- Kto jest odbiorcą danych
- O czym stanowi motyw (66) i jaki jest jego związek z prawem do bycia zapomnianym (art. 17 ust. 2 RODO)
- Jaki związek ma art. 19 RODO z zasadą prawidłowości danych
- Kiedy nie trzeba zrealizować obowiązku z art. 19 RODO
- Kiedy zachodzi obowiązek informowania podmiotu danych
O czym stanowi art. 19 RODO
W art. 19 RODO prawodawca unijny sprecyzował powinność administratora, która ma związek z wcześniej zrealizowanym prawem osoby, której dane dotyczą. Zgodnie z nim administrator informuje każdego odbiorcę, któremu ujawniono dane osobowe o ich sprostowaniu (zarówno poprawieniu danych nieprawidłowych, jak i uzupełnienia niekompletnych informacji; art. 16 RODO), usunięciu danych osobowych (art. 17 ust. 1) lub ograniczeniu przetwarzania (art. 18). Wspomniane prawa, do których odwołuje się art. 19 RODO zostały przez nas przybliżone we wcześniejszych artykułach.
Prawodawca unijny nie sprecyzował sposobu informowania, dając tym samym administratorom swobodę w doborze środków. Trzeba jednak pamiętać o trybie realizacji praw podmiotów danych określonym w art. 12 RODO, który w pewnym zakresie dotyczy również omawianego obowiązku ADO.
Kim jest odbiorca danych
Pojęcie odbiorcy należy rozumieć w myśl definicji zawartej w art. 4 pkt 10 RODO, zgodnie z którą pojęcie to „oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią”. Do odbiorców danych można zaliczyć m.in. podmiot przetwarzający, któremu powierzono przetwarzanie danych osobowych oraz podmiot, któremu udostępniono dane, a także wszelkich odbiorców wykorzystujących dane powszechnie dostępne, np. opublikowane na stronie internetowej.
Odbiorcą danych nie będzie natomiast organ publiczny, który może otrzymać dane w ramach konkretnego postępowania. Przykładowo Zakład Ubezpieczeń Społecznych (ZUS), któremu przekazuje się dane pracownika w ramach obowiązków wynikających z przepisów prawnych nie będzie odbiorcą tych danych osobowych w rozumieniu art. 4 pkt 10 RODO. W tym przypadku ZUS działa w ramach swoich kompetencji ustawowych jako odrębny administrator, a dane dotyczą oznaczonej osoby. Natomiast samo przekazanie danych następuje w ramach konkretnego postępowania odbywającego się zgodnie z prawem krajowym.
Motyw (66) RODO i prawo do bycia zapomnianym (art. 17 ust. 2 RODO)
Chociaż art. 19 RODO nie odwołuje się wprost do prawa do bycia zapomnianym (celowo pominięto odwołanie do art. 17 ust. 2 RODO), to jednak nie sposób nie zwrócić uwagi na podobieństwa między nimi. Prawo do bycia zapomnianym dotyczy sytuacji, kiedy administrator upublicznił dane konkretnej osoby (np. w Internecie). W tym przypadku otrzymując wniosek o usunięcie danych i realizując go, ADO musi dopełnić obowiązku poinformowania odbiorców, aby ci „usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje”.
Brzmienie prawa do bycia zapomnianym podkreśla motyw (66) preambuły RODO. Zgodnie z nim:
„Aby wzmocnić prawo do >>bycia zapomnianym<< w internecie, należy rozszerzyć prawo do usunięcia danych poprzez zobowiązanie administratora, który upublicznił te dane osobowe, do poinformowania administratorów, którzy przetwarzają takie dane osobowe o usunięciu wszelkich łączy do tych danych, kopii tych danych osobowych lub ich replikacji. Spełniając ten obowiązek administrator powinien podjąć racjonalne działania z uwzględnieniem dostępnych technologii i dostępnych mu środków, w tym dostępnych środków technicznych, w celu poinformowania administratorów, którzy przetwarzają dane osobowe, o żądaniu osoby, której dane dotyczą”.
Co ważne, obowiązek ten nie ma charakteru bezwzględnego. Administrator przed podjęciem decyzji o wykonaniu go powinien wziąć pod uwagę dostępną technologię oraz potencjalny koszt realizacji tego obowiązku. W związku z tym, jeżeli administrator nie będzie miał dostępu do stosownej technologii lub obowiązek spowoduje zbyt wysokie koszty może go nie realizować. Należy pamiętać, że okoliczność ta nie powoduje braku konieczności realizacji obowiązku informowania o usunięciu danych, a dotyczy jedynie łączy do tych danych, ich kopii lub replikacji. Brak dostępu do stosownej technologii i zbyt wysokie koszty nie zwalniają z realizacji obowiązku z art. 19 RODO.
Jeżeli administrator zdecyduje się zrealizować wskazówki motywu (66) to powinien brać pod uwagę podczas tego działania kryterium rzetelności. Oznacza to, że ADO będzie oceniany pod względem dołożenia wszelkiej staranności przy realizacji obowiązku. Nie będzie jednak odpowiadał za rezultat swoich działań. W związku z tym administrator nie będzie odpowiedzialny za to, czy oraz w jaki sposób powiadomieni przez niego odbiorcy wykorzystają tę informację.
Jaki związek ma art. 19 RODO z zasadą prawidłowości danych
Zasada prawidłowości danych została określona w art. 5 ust. 1 lit. d RODO i stanowi, że dane osobowe muszą być: „prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane”.
Powyższa zasada wskazuje na dwa obowiązki administratora. Jest on zobligowany, aby zadbał o prawidłowość danych oraz (w razie potrzeby) o ich aktualność. Istotnym narzędziem jest w tym zakresie obowiązek z art. 19 RODO, który pomaga administratorom realizować wspomnianą zasadę. Dzięki poinformowaniu przez ADO odbiorcy, którym ADO przekazał dane będą mogli je zaktualizować.
W związku z tym obowiązek powiadomienia powinien być jak najszybciej realizowany przez administratora. Z kolei odbiorcy (zwłaszcza podmioty przetwarzające) powinni bezzwłocznie zareagować na otrzymaną informację.
Kiedy nie trzeba zrealizować obowiązku z art. 19 RODO
W art. 19 RODO prawodawca uwzględnił również sytuacje, kiedy administrator nie jest zobowiązany do realizacji tego obowiązku. Ma to miejsce w sytuacji, kiedy:
1) okaże się to niemożliwe;
2) realizacja obowiązku pociąga za sobą niewspółmiernie duży wysiłek.
Pierwsza okoliczność zachodzi, kiedy administrator mimo starań nie może powiadomić odbiorców, na przykład gdy nie jest w stanie ustalić ich danych kontaktowych. Natomiast nie zawsze można powoływać się na tę okoliczność. Jeżeli ADO zamieścił dane osobowe na stronie internetowej i nie może stwierdzić do kogo one trafiły, to obowiązek powiadomienia można zrealizować poprzez zamieszczenie informacji w tym samym miejscu, w którym dane były udostępnione.
„O niewspółmiernie dużym wysiłku możemy mówić natomiast, gdy mielibyśmy do czynienia z istotną dysproporcją pomiędzy wysiłkiem administratora włożonym w informowanie a założonym celem, jakim jest zabezpieczenie praw osoby, której dane dotyczą” (dr hab. M. Sakowska – Baryła [w:] „Ogólne rozporządzenie o ochronie danych osobowych. Komentarz”). Może mieć to miejsce w przypadku przekazywania danych w znikomym zakresie np. do celów statystycznych lub historycznych. Wówczas informowanie wielu odbiorców o otrzymaniu wniosku z art. 16-18 RODO może być dla ADO bardziej uciążliwe niż potencjalne naruszenie praw lub wolności podmiotu danych.
Obowiązek informowania podmiotu danych
Prawodawca unijny w art. 19 RODO nakłada na administratorów również obowiązek poinformowania o powiadomionych odbiorcach na żądanie podmiotu danych. Obowiązek informowania podmiotu danych nie ma charakteru samoistnego, ponieważ jest uwarunkowany wystąpieniem wcześniejszego żądania.
Osoba, której dane dotyczą może wystąpić z takim żądaniem już na etapie złożenia wniosku o realizację praw z art. 16-18 RODO. Jego wykonanie będzie mieć wówczas charakter warunkowy, zależny od zrealizowania praw z art. 16-18 RODO. Możliwość złożenia wniosku o poinformowanie o powiadomionych odbiorcach umożliwia podmiotowi danych sprawowanie większej kontroli nad jego danymi osobowymi.
Podsumowanie
Zapewnienie każdej osobie fizycznej kontroli nad jej danymi osobowymi jest jednym z głównych założeń RODO. W tym celu unijny prawodawca nadał podmiotom danych szereg uprawnień, które mają to umożliwić, natomiast na administratorów nałożył obowiązki.
Prawodawca unijny w art. 19 RODO unormował dwie kwestie: obowiązek powiadomienia oraz prawo podmiotu danych do uzyskania informacji na temat powiadomionych odbiorców.
Obowiązek powiadomienia z art. 19 RODO nie ma charakteru samoistnego. Jest on zależny od zrealizowania jednego z praw opisanych w art. 16-18 RODO. Nie oznacza to jednak, że jego istota jest mniej ważna. Prawodawca poprzez regulację art. 19 RODO podkreślił znaczenie zasady prawidłowości danych i znacznie ułatwił jej realizację. Ponadto komentowany przepis daje osobie, której dane dotyczą dodatkowe narzędzie sprawowania kontroli nad informacjami na jej temat. Składając wniosek o sprostowanie, usunięcie danych lub ograniczenie przetwarzania podmiot danych może zakładać, że zostanie on rozpatrzony nie tylko przez administratora, do którego został skierowany, ale również przez odbiorców danych (w tym przez administratorów realizujących własne cele).
Pozyskanie wiedzy o powiadomionych odbiorcach daje podmiotowi danych możliwość skontrolowania ich reakcji na informację o usunięciu lub sprostowaniu danych. Ułatwia realizację uprawnień na gruncie RODO wobec takich administratorów (nawet gdyby wcześniej nie został wykonany obowiązek informacyjny zgodnie z art. 14 RODO i niezależnie od zakresu informacji jakie można uzyskać na podstawie art. 15 RODO). W przypadku braku właściwej reakcji odbiorcy na powiadomienie, osoba, której dane dotyczą, ma wobec takiego administratora pełen wachlarz uprawnień określonych w RODO. W tym może on ponosić odpowiedzialność cywilną (na podstawie art. 82 ust. 2 RODO), jeśli niedopełnienie żądania spowoduje szkodę podmiotowi danych.