GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

Wytyczne ICO dotyczące realizacji prawa dostępu do danych

Pierwszy rok RODO w Wielkiej Brytanii

Na stronie internetowej ICO, brytyjskiego organu nadzorczego w rozumieniu RODO, pojawił się projekt wytycznych poświęconych realizacji prawa dostępu do danych. Jest obecnie poddawany konsultacjom. Materiał jest skierowany do inspektorów ochrony danych i osób odpowiedzialnych za ochronę danych w większych organizacjach.

Poniżej prezentujemy wybrane fragmenty wytycznych, które w języku angielskim dostępne są  tutaj.

Prawo dostępu do danych

Przed przejściem do przedstawienia fragmentów poradnika przypomnieć należy, iż zgodnie z treścią art. 15 RODO prawo dostępu do danych polega na tym, że osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz następujących informacji:

  1. a) cele przetwarzania;
  2. b) kategorie odnośnych danych osobowych;
  3. c) informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych;
  4. d) w miarę możliwości planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
  5. e) informacje o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania;
  6. f) informacje o prawie wniesienia skargi do organu nadzorczego;
  7. g) jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą – wszelkie dostępne informacje o ich źródle;
  8. h) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Aby posłuchać podcastu kliknij  TUTAJ

Ponadto, jeżeli dane osobowe są przekazywane do państwa trzeciego lub organizacji międzynarodowej, osoba, której dane dotyczą, ma prawo zostać poinformowana o odpowiednich zabezpieczeniach, o których mowa w art. 46 RODO, związanych z przekazaniem.

Administrator dostarcza osobie, której dane dotyczą, kopię danych osobowych podlegających przetwarzaniu. Za wszelkie kolejne kopie, o które zwróci się osoba, której dane dotyczą, administrator może pobrać opłatę w rozsądnej wysokości wynikającej z kosztów administracyjnych. Jeżeli osoba, której dane dotyczą, zwraca się o kopię drogą elektroniczną i jeżeli nie zaznaczy inaczej, informacji udziela się w powszechnie stosowanej formie elektronicznej. Prawo to, nie może też niekorzystnie wpływać na prawa i wolności innych.

Jakie kroki należy podjąć?

Istnieje wiele sposobów na przygotowanie się do rozpatrywania wniosków o dostęp do danych. To, co jest odpowiednie dla Twojej organizacji, zależy od wielu czynników, w tym:

Poniższa lista nie jest wyczerpująca, ale zawiera przykłady możliwych sposobów przygotowania:

Co z naszymi systemami zarządzania informacjami?

Trudno będzie skutecznie radzić sobie z wnioskami bez odpowiednich systemów i procedur zarządzania informacjami. Biorąc pod uwagę, że dostęp do danych jest elementem prawa o ochronie danych od lat 80-tych XX wieku, systemy zarządzania informacjami powinny ułatwiać radzenie sobie z takimi wnioskami, umożliwiając łatwą lokalizację i ekstrakcję danych osobowych. Wasze systemy powinny być również zaprojektowane tak, aby umożliwić redagowanie (zwykle usuwanie – przyp. tłum) danych stron trzecich w razie potrzeby.

Jeśli wdrażasz nowy system zarządzania informacjami, musisz zastosować podejście „uwzględnienia ochrony danych w fazie projektowania oraz domyślnej ochrona danych” i upewnić się, że system ułatwia obsługę wniosków.

Powinieneś także posiadać skuteczne polityki zarządzania danymi. Na przykład:

Pomoże to w wypełnianiu obowiązków związanych z rozliczalnością i dokumentowaniem.

Czy powinniśmy udostępnić standardowy formularz do złożenia wniosku?

Standardowe formularze mogą ułatwić nam rozpoznanie wniosku o dostęp do danych, a osobom umożliwić wskazanie wszystkich szczegółów potrzebnych do zlokalizowania dotyczących ich informacji.

Motyw 59 RODO zaleca organizacjom „zapewnienie możliwość wnoszenia odnośnych żądań także drogą elektroniczną, w szczególności gdy dane osobowe są przetwarzane drogą elektroniczną”. Dlatego też powinieneś rozważyć zaprojektowanie formularza, który osoby mogą uzupełnić i przesłać drogą elektroniczną.

Należy jednak pamiętać, że taki wniosek jest równie ważny, niezależnie od tego, czy jest przesyłany listownie, pocztą elektroniczną, czy zgłoszony ustnie. Dlatego musisz wyraźnie zaznaczyć, że korzystanie z formularza nie jest obowiązkowe i po prostu zachęcać do jego wypełniania.

Czy można złożyć wniosek za pośrednictwem mediów społecznościowych?

Osoby fizyczne mogą złożyć wniosek za pośrednictwem dowolnych mediów społecznościowych, w których Twoja organizacja jest obecna. Chociaż może to nie być najskuteczniejszym sposobem złożenia żądania, nic nie stoi na przeszkodzie, aby z niego skorzystać.

Dlatego powinieneś oszacować możliwość składania wniosków za pośrednictwem mediów społecznościowych i upewnić się, że podejmujesz uzasadnione i proporcjonalne kroki w celu skutecznego reagowania na te prośby.

W większości przypadków wykorzystanie mediów społecznościowych do dostarczania informacji zwrotnej w odpowiedzi na wniosek nie będzie właściwe ze względów bezpieczeństwa. Zamiast tego należy poprosić o alternatywny kanał dostarczenia informacji.

Szczegółowe wytyczne

W dalszej części wytycznych można dowiedzieć się m.in. jak rozpoznać wniosek o dostęp do danych, jakie są wyjątki przy jego realizacji, co powinniśmy wziąć pod uwagę odpowiadając wnioskodawcy, jak wyszukać  odpowiednie informacje, jak powinniśmy przekazać żądane informacje, kiedy możemy odmówić spełnienia żądania, czy też co powinniśmy zrobić, jeśli żądanie obejmuje informacje o innych osobach.