Osoba, która chce dowiedzieć się czy dany administrator (firma, podmiot publiczny) przetwarza jego dane i na jakich zasadach, może skorzystać z uprawnienia opisanego w art. 15 RODO (tzw. prawo dostępu do danych). Prawo dostępu do danych, uzyskania ich kopii, a także uprawnienia informacyjne, są jednymi z najważniejszych praw przysługujących osobom fizycznym. Osoba, która domaga się informacji na swój temat, nie ma obowiązku uzasadniania swojego wniosku.
Jednym z podstawowych obowiązków każdego administratora danych jest realizacja obowiązku informacyjnego, o którym mowa w art. 13 ust. 1 i ust. 2 RODO, wobec osób, których dane planuje przetwarzać. Obowiązek ten realizowany jest z reguły poprzez klauzule informacyjne, z którymi osoby fizyczne mogą się zapoznać np. przy zawieraniu umowy, na stronie internetowej. Formy przekazania takich klauzul mogą być różne. RODO stanowi, że informacje te administrator danych musi przekazywać w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Nie narzuca administratorowi żadnej szczególnej formy, w której obowiązek informacyjny ma zostać spełniony wobec podmiotu danych. Informacje te muszą być przekazane osobie, której dane dotyczą, już podczas pozyskiwania danych osobowych, czyli np. w momencie wypełniania przez nią formularza, nagrywania rozmowy telefonicznej itp. Zakres danych, które powinny być pobierane w przypadku pozyskiwania danych osobowych w sposób inny niż bezpośrednio od osoby, której dane dotyczą, określa art. 14 ust. 1 i ust. 2 RODO. Informacje te administrator powinien przekazać osobom, których dane pozyskał, w rozsądnym terminie po pozyskaniu danych osobowych - najpóźniej w ciągu miesiąca - mając na uwadze konkretne okoliczności przetwarzania danych osobowych, a jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą - najpóźniej przy pierwszej takiej komunikacji.
Często jednak zdarza się, że takie informacje nie są udostępniane osobom, których dane są przetwarzane, w konsekwencji czego nie wiedzą one, kto, przez jaki czas, na jakiej podstawie prawnej przetwarza te dane. Uprawnienie dostępu do danych ma gwarantować, że nawet jeżeli administrator nie dopełni obowiązku informacyjnego przy zbieraniu danych albo jest zwolniony z obowiązku informacyjnego na danym etapie przetwarzania, to osoba, której dane dotyczą, ma możliwość uzyskania informacji o przetwarzaniu danych na swój temat w terminie późniejszym, kiedy dane te są już przetwarzane. Uprawnienie informacyjne wynikające z art. 13 i art. 14 RODO realizowane z inicjatywy administratora to tzw. bierne uprawnienie informacyjne. Natomiast żądanie dostępu do informacji na podstawie art. 15 RODO można określić mianem czynnego prawa do uzyskania informacji. Osoba, której dane dotyczą, może zwrócić się do administratora z żądaniem udzielenia informacji na temat przetwarzania jej danych osobowych. Skorzystanie z tego uprawnienia nie jest zależne od tego, czy administrator poinformował tę osobę o przetwarzaniu przy gromadzeniu danych, czy też nie.
Wniosek o dostęp do informacji, a także wniosek dotyczący dostępu do danych czy uzyskania ich kopii, przysługują podmiotowi danych w stosunku do administratora i do niego powinny być kierowane. Ich adresatem nie może być organ nadzorczy ani podmiot przetwarzający. Wniosek o udzielenie informacji może przybrać dowolną formę, gdyż RODO nie określa, jak powinien on wyglądać. Osoba, której dane dotyczą, może zwrócić się o udzielenie informacji ustnie lub pisemnie. Do złożenia wniosku mogą być także wykorzystywane środki komunikacji (np. telefon, poczta elektroniczna).
W przypadku gdy administrator przetwarza dane osoby, która występuje z żądaniem informacyjnym, powinien on udostępnić dane na jej temat. Z uprawnienia tego może skorzystać każda osoba, która chce uzyskać informacje o sobie (na swój temat), natomiast uprawnienie to nie rozciąga się na ujawnianie informacji na temat innych osób. Taka osoba jest uprawniona do uzyskania informacji o tym:
Jeżeli administrator nie przetwarza danych dotyczących osoby, która zwraca się z żądaniem udzielenia informacji, to działanie administratora ogranicza się do odpowiedzi przeczącej i nie ma on obowiązku podawać podmiotowi danych innych informacji. W sytuacji gdy administrator wcześniej przetwarzał dane wnioskodawcy, ale zaprzestał ich przetwarzania (usunął albo zanonimizował dane), to - w miarę możliwości - powinien poinformować o tym fakcie osobę, której dane dotyczą.
Obowiązkiem administratora danych, który otrzymał taki wniosek, jest ustalenie tożsamości wnioskodawcy, aby uniknąć udostępnienia danych innej osobie niż podmiot danych. W praktyce najprostszym i najczęstszym sposobem weryfikacji tożsamości jest okazanie dokumentu tożsamości. Oczywiście nie jest to możliwe, jeżeli wniosek jest kierowany drogą elektroniczną. W takiej sytuacji trzeba dokonać weryfikacji na podstawie znacznie bardziej szczegółowych danych, co do których prawdopodobieństwo, że będą one znane osobom postronnym, jest znikome. Art. 12 ust. 6 RODO stanowi, że jeżeli administrator ma uzasadnione wątpliwości co do tożsamości osoby fizycznej składającej żądanie, może zażądać dodatkowych informacji niezbędnych do potwierdzenia tożsamości osoby, której dane dotyczą. Ważne jest, aby podmiot realizujący uprawnienie miał pewność, że przekazuje informacje osobie uprawnionej do ich uzyskania.
|
Dostęp do danych, gdy jest kilku współadministratorów W przypadku współadministratorów zakres odpowiedzialności za wypełnianie obowiązków wynikających z art. 15 RODO może być ustalony w drodze wspólnych uzgodnień. Na ich mocy możliwe jest powierzenie obowiązku realizacji prawa dostępu do danych jednemu ze współadministratorów. Przy czym takie uzgodnienie nie może ograniczać prawa zainteresowanej osoby do realizacji przysługujących jej uprawnień wobec któregokolwiek z współadministratorów, do którego skieruje zapytanie. |
| ||||||||||||
|
||||||||||||
