Dla profesjonalistów: w jaki sposób odpowiedzieć na wniosek o skorzystanie z prawa dostępu ?
Ustawa w sprawie informatyki oraz wolności (francuska ustawa o ochronie danych osobowych) pozwala każdej osobie, której dane dotyczą na uzyskanie dostępu do danych jej dotyczących. Prawo to zostało wzmocnione Ogólnym Rozporządzeniem o Ochronie Danych (RODO), które weszło w życie w maju
2018 r.
Każda osoba fizyczna, która wystąpi z wnioskiem, ma prawo otrzymać potwierdzenie, że dotyczące jej dane są przetwarzane oraz może otrzymać kopię danych będących przedmiotem przetwarzania. Prawo to zostało wzmocnione Ogólnym Rozporządzeniem o Ochronie Danych (RODO).
Osoba może na przykład skorzystać z prawa dostępu wobec:
- swojego pracodawcy: aby uzyskać dostęp do danych ze swoich akt osobowych;
- swojego lekarza: aby uzyskać kopie danych ze swoich akt medycznych;
- administracji : aby uzyskać potwierdzenie, że dane jej dotyczące są przetwarzane.
Jako administrator danych osobowych muszą Państwo:
- poinformować osoby, których dane dotyczą o istnieniu przysługującego im prawa dostępu do danych w momencie ich zbierania;
- udzielić dostępu osobom, których dane dotyczą w praktyczny sposób (formularz, dane kontaktowe), tak aby mogły one łatwo uzyskać dostęp;
- wprowadzić skuteczne mechanizmy wewnętrzne w Państwa organizacji w celu obsługi wniosków o skorzystanie z prawa dostępu. Skutkuje to koniecznością wprowadzenia procedur wewnętrznych pozwalających na przekazanie wniosków dotyczących prawa dostępu do odpowiedniej osoby, w celu ich rozpoznania
w określonym terminie; - wprowadzić metody udzielania odpowiedzi osobom, których dane dotyczą, które będą zrozumiałe, dostępne oraz sformułowane w jasny i prosty sposób.
Kto może złożyć taki wniosek?
Osoba, które chce uzyskać dostęp do swoich danych osobowych, którą Państwo znacie.
Osoba taka może upoważnić inną, wybraną przez siebie osobę, do wykonania prawa dostępu w jej imieniu. W takim przypadku, wybrana osoba musi przedstawić pełnomocnictwo,
w którym sprecyzowany został jego zakres (którym jest wykonanie prawa dostępu); wskazana została tożsamość osoby upoważniającej (tożsamość wnioskodawcy, który wykonuje swoje prawo dostępu do danych osobowych) oraz tożsamość osoby upoważnionej. Osoba ta musi potwierdzić swoją tożsamość jak również tożsamość wnioskodawcy.
W przypadku osób niepełnoletnich oraz osób niezdolnych (do czynności prawnych) osobami tymi są, w zależności od przypadku, rodzice, osoby uprawnione do sprawowania władzy rodzicielskiej lub opiekun, który sprawuje opiekę.
Ograniczenia prawa dostępu
Wykonanie prawa dostępu musi odbywać się przy poszanowaniu praw osób trzecich: przykładowo nie można wnioskować o dostęp do danych dotyczących swojego małżonka; (innego) pracownika przedsiębiorstwa ani otrzymać danych dotyczących wynagrodzeń innych osób.
Podobnie prawo dostępu nie może naruszyć tajemnicy przedsiębiorstwa ani własności intelektualnej (np. prawa autorskiego dotyczącego oprogramowania).
Termin udzielania odpowiedzi na wniosek
Obecnie, muszą Państwo odpowiedzieć na wniosek dotyczący prawa dostępu bez zbędnej zwłoki, w maksymalnym terminie jednego miesiąca (art. 12 ust. 3 RODO). Jednakże przewidziane jest wydłużenie tego terminu do dwóch miesięcy: „z uwagi na skomplikowany charakter żądania lub liczbę żądań”, pod warunkiem poinformowania osoby, której dane dotyczą w terminie jednego miesiąca od otrzymania wniosku (art. 12 ust. 3 RODO).
Uwaga: jeżeli udzielają Państwo odpowiedzi na wniosek dotyczący prawa dostępu lub decydują się na przedłużenie terminu o dwa miesiące, koniecznie muszą się Państwo skontaktować z osobą, której dane dotyczą w maksymalnym terminie jednego miesiąca.
Prawo dostępu do danych dotyczących zdrowia: w przypadku dostępu do danych dotyczących zdrowia, terminy są inne. Przekazanie danych dotyczących zdrowia (np. danych medycznych) musi nastąpić najpóźniej 8 dnia po otrzymania wniosku a najwcześniej – mając na uwadze czas na refleksję przyznany przez prawo osobie (składającej wniosek) w jej interesie – po 48 godzinach. Jeżeli informacje te mają więcej niż pięć lat termin wzrasta do dwóch miesięcy (art. L.1111-7 francuskiego kodeksu zdrowia publicznego).
Koszty uzyskania kopii
RODO przewiduje zasadę bezpłatności w odniesieniu do kopii przekazywanych w związku
z wnioskiem o dostęp (art. 12 ustęp 5 RODO).
Mogą Państwo domagać się „rozsądnej opłaty opartej na kosztach administracyjnych”:
- za każdą kolejną kopię o którą zwraca się osoba, której dane dotyczą;
- jeżeli żądania są ewidentnie nieuzasadnione lub nadmierne.
Uwaga : „rozsądne opłaty oparte na kosztach administracyjnych” nie mogą utrudniać wykonania prawa dostępu.
Sposoby przekazania danych
Wnioski powinny być złożone na miejscu lub na piśmie (drogą poczty tradycyjnej lub elektronicznie).
Jeżeli wniosek zostaje złożony na miejscu, a Państwo nie są w stanie natychmiast udzielić odpowiedzi, muszą Państwo przekazać wnioskodawcy potwierdzenie przyjęcia wniosku opatrzone datą oraz podpisem.
Jeżeli wniosek zostaje złożony drogą elektroniczną, informacje są przekazane w takiej samej formie elektronicznej, chyba że osoba, której dane dotyczą zażąda innej formy (art. 12 ust.
3 RODO). W takim przypadku, należy zapewnić, że informacje są przekazane w sposób bezpieczny.
Jeżeli wniosek zostaje złożony na piśmie a Państwo potrzebują jego doprecyzowania lub dodatkowych informacji w celu udzielenia odpowiedzi, muszą się Państwo skontaktować
z wnioskodawcą (drogą poczty tradycyjnej lub elektronicznej).
Jeżeli wysyłają Państwo dane osobowe drogą poczty tradycyjnej zaleca się aby list był wysłany przesyłką poleconą za potwierdzeniem odbioru.
Jeżeli dane są przekazane za pomocą pamięci USB powinni Państwo wręczyć pamięć USB osobie do rąk własnych lub wysłać ją pocztą. Muszą Państwo podjąć odpowiednie środki
w celu ochrony danych zawartych na tym nośniku, w szczególności w odniesieniu do danych wrażliwych. W celu uniknięcia sytuacji w której dane są dostępne dla wszystkich, możliwe jest ich zaszyfrowanie. Klucz deszyfrujący musi być przekazany w innym liście lub przy użyciu innych środków (SMC, wiadomość elektroniczna…).
W celu uzyskania pomocy odnośnie szyfrowania danych, mogą Państwo przeczytać porady CNIL dotyczące tej kwestii?
A co w przypadku zaangażowanego przeze mnie podmiotu przetwarzającego?
Rozporządzenie stanowi, że podmiot przetwarzający pomaga administratorowi wywiązać się z jego obowiązków dotyczących prawa dostępu (art. 28 litera e) RODO). Na przykład: pracodawca może wymagać od swojego podmiotu przetwarzającego, dostarczenia urządzenia geolokalizacyjnego, w celu udzielani mu pomocy w dostarczeniu pracownikom, którzy złożyli wnioskiem danych geolokalizacyjnych „w łatwo dostępnej formie”; jeżeli administrator dysponuje jedynie analizą danych, może zwrócić się do podmiotu przetwarzającego, które przechowuje dane pozwalające na identyfikację.
Odmowa
Nie muszą Państwo odpowiadać na wniosek o skorzystanie z prawa dostępu jeżeli:
- są one ewidentnie nieuzasadnione lub nadmierne, w szczególności ze względu na swój ustawiczny charakter (na przykład wielokrotne żądania oraz składane wtedy, gdy kopie zostały już dostarczone);
- dane nie są już przechowywane/ zostały usunięte: w takim przypadku dostęp jest niemożliwy (na przykład: nagrania wykonane przy użyciu urządzeń wideo monitoringu są zwykle przechowywane maksymalnie przez 30 dni. Po przekroczeniu tego terminu są one usuwane).
Uwaga: Okoliczność, że osoba zwraca się z wnioskiem o ponowne przekazanie swoich danych, do których uzyskała już dostęp nie może zawsze powodować, że wniosek jest uznany za nadmierny. W związku z tym należy ocenić okres występujący pomiędzy tymi dwoma wnioskami, ocenić czy nie zostały zebrane nowe dane, itd.
Jeżeli nie udzielą Państwo odpowiedzi na wniosek, muszą Państwo uzasadnić swoją decyzję oraz poinformować wnioskodawcę o sposobie oraz terminie odwołania się o takiej decyzji.