Na stronie internetowej ICO, brytyjskiego organu nadzorczego w rozumieniu RODO, pojawił się projekt wytycznych poświęconych realizacji prawa dostępu do danych. Jest obecnie poddawany konsultacjom. Materiał jest skierowany do inspektorów ochrony danych i osób odpowiedzialnych za ochronę danych w większych organizacjach.
Poniżej prezentujemy wybrane fragmenty wytycznych, które w języku angielskim dostępne są tutaj.
Prawo dostępu do danych
Przed przejściem do przedstawienia fragmentów poradnika przypomnieć należy, iż zgodnie z treścią art. 15 RODO prawo dostępu do danych polega na tym, że osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz następujących informacji:
- a) cele przetwarzania;
- b) kategorie odnośnych danych osobowych;
- c) informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych;
- d) w miarę możliwości planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
- e) informacje o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania;
- f) informacje o prawie wniesienia skargi do organu nadzorczego;
- g) jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą – wszelkie dostępne informacje o ich źródle;
- h) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
Ponadto, jeżeli dane osobowe są przekazywane do państwa trzeciego lub organizacji międzynarodowej, osoba, której dane dotyczą, ma prawo zostać poinformowana o odpowiednich zabezpieczeniach, o których mowa w art. 46 RODO, związanych z przekazaniem.
Administrator dostarcza osobie, której dane dotyczą, kopię danych osobowych podlegających przetwarzaniu. Za wszelkie kolejne kopie, o które zwróci się osoba, której dane dotyczą, administrator może pobrać opłatę w rozsądnej wysokości wynikającej z kosztów administracyjnych. Jeżeli osoba, której dane dotyczą, zwraca się o kopię drogą elektroniczną i jeżeli nie zaznaczy inaczej, informacji udziela się w powszechnie stosowanej formie elektronicznej. Prawo to, nie może też niekorzystnie wpływać na prawa i wolności innych.
Jakie kroki należy podjąć?
Istnieje wiele sposobów na przygotowanie się do rozpatrywania wniosków o dostęp do danych. To, co jest odpowiednie dla Twojej organizacji, zależy od wielu czynników, w tym:
- rodzaju przetwarzanych danych osobowych;
- liczby otrzymanych wniosków; oraz
- rozmiaru i zasobów Twojej organizacji.
Poniższa lista nie jest wyczerpująca, ale zawiera przykłady możliwych sposobów przygotowania:
- Świadomość – udostępniaj informacje o tym, w jaki sposób osoby fizyczne mogą zgłosić wniosek o dostęp do danych (np. na Twojej stronie internetowej, na ulotkach, w informacji o prywatności).
- Szkolenia – przeprowadź ogólne szkolenie dla wszystkich pracowników dotyczące rozpoznawania wniosków o dostęp do danych. Zapewnij bardziej szczegółowe szkolenie w zakresie postępowania z takimi wnioskami dla zaangażowanego personelu, w zależności od zakresu ich obowiązków.
- Wytyczne – utwórz dla pracowników dedykowaną ochronie danych stronę w intranecie z linkami do zasad i procedur realizacji wniosku o dostęp do danych.
- Personel rozpatrujący wnioski – wyznacz konkretną osobę lub zespół odpowiedzialny centralnie za udzielanie odpowiedzi na zapytania. Upewnij się, że więcej niż jedna osoba wie, jak rozpatrywać wnioski, tak, aby być przygotowanym na nieobecności.
- Rejestr zasobów – utrzymuj rejestr zasobów informacyjnych, w którym określone są miejsca i sposoby przechowywania danych osobowych. Pomaga to przyspieszyć proces wyszukiwania informacji wymaganych do odpowiadania na wnioski.
- Listy kontrolne – opracuj standardową listę kontrolną, z której pracownicy mogą korzystać, aby zapewnić spójne podejście do rozpatrywania wniosku o dostęp do danych.
- Rejestry – zarządzaj rejestrem otrzymanych wniosków, aktualizuj go by monitorować postępy. Rejestr może zawierać kopie informacji dostarczonych w odpowiedzi na wniosek, wraz z kopiami tych, które nie zostały przekazane i uzasadnieniem takiego działania.
- Polityka przechowywania i usuwania – posiadaj udokumentowane zasady przechowywania i usuwania przetwarzanych danych osobowych. Pomaga to zapewnić, abyś nie przechowywał informacji dłużej niż potrzebujesz, a zatem potencjalnie zmniejsza ilość informacji, które musisz przejrzeć, reagując na wniosek.
- Bezpieczeństwo – zastosuj środki, aby bezpiecznie wysyłać informacje. Na przykład za pomocą zaufanego kuriera lub systemu do sprawdzania adresów e-mail przed wysłaniem.
Co z naszymi systemami zarządzania informacjami?
Trudno będzie skutecznie radzić sobie z wnioskami bez odpowiednich systemów i procedur zarządzania informacjami. Biorąc pod uwagę, że dostęp do danych jest elementem prawa o ochronie danych od lat 80-tych XX wieku, systemy zarządzania informacjami powinny ułatwiać radzenie sobie z takimi wnioskami, umożliwiając łatwą lokalizację i ekstrakcję danych osobowych. Wasze systemy powinny być również zaprojektowane tak, aby umożliwić redagowanie (zwykle usuwanie – przyp. tłum) danych stron trzecich w razie potrzeby.
Jeśli wdrażasz nowy system zarządzania informacjami, musisz zastosować podejście „uwzględnienia ochrony danych w fazie projektowania oraz domyślnej ochrona danych” i upewnić się, że system ułatwia obsługę wniosków.
Powinieneś także posiadać skuteczne polityki zarządzania danymi. Na przykład:
- dobrze ustrukturyzowany plan plików;
- standardowe nazewnictwo plików dla dokumentów elektronicznych; oraz
- jasne zasady retencji dotyczące tego, kiedy należy zachować i kiedy usunąć dokumenty.
Pomoże to w wypełnianiu obowiązków związanych z rozliczalnością i dokumentowaniem.
Czy powinniśmy udostępnić standardowy formularz do złożenia wniosku?
Standardowe formularze mogą ułatwić nam rozpoznanie wniosku o dostęp do danych, a osobom umożliwić wskazanie wszystkich szczegółów potrzebnych do zlokalizowania dotyczących ich informacji.
Motyw 59 RODO zaleca organizacjom „zapewnienie możliwość wnoszenia odnośnych żądań także drogą elektroniczną, w szczególności gdy dane osobowe są przetwarzane drogą elektroniczną”. Dlatego też powinieneś rozważyć zaprojektowanie formularza, który osoby mogą uzupełnić i przesłać drogą elektroniczną.
Należy jednak pamiętać, że taki wniosek jest równie ważny, niezależnie od tego, czy jest przesyłany listownie, pocztą elektroniczną, czy zgłoszony ustnie. Dlatego musisz wyraźnie zaznaczyć, że korzystanie z formularza nie jest obowiązkowe i po prostu zachęcać do jego wypełniania.
Czy można złożyć wniosek za pośrednictwem mediów społecznościowych?
Osoby fizyczne mogą złożyć wniosek za pośrednictwem dowolnych mediów społecznościowych, w których Twoja organizacja jest obecna. Chociaż może to nie być najskuteczniejszym sposobem złożenia żądania, nic nie stoi na przeszkodzie, aby z niego skorzystać.
Dlatego powinieneś oszacować możliwość składania wniosków za pośrednictwem mediów społecznościowych i upewnić się, że podejmujesz uzasadnione i proporcjonalne kroki w celu skutecznego reagowania na te prośby.
W większości przypadków wykorzystanie mediów społecznościowych do dostarczania informacji zwrotnej w odpowiedzi na wniosek nie będzie właściwe ze względów bezpieczeństwa. Zamiast tego należy poprosić o alternatywny kanał dostarczenia informacji.
Szczegółowe wytyczne
W dalszej części wytycznych można dowiedzieć się m.in. jak rozpoznać wniosek o dostęp do danych, jakie są wyjątki przy jego realizacji, co powinniśmy wziąć pod uwagę odpowiadając wnioskodawcy, jak wyszukać odpowiednie informacje, jak powinniśmy przekazać żądane informacje, kiedy możemy odmówić spełnienia żądania, czy też co powinniśmy zrobić, jeśli żądanie obejmuje informacje o innych osobach.