Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Rodo w praktyce – odpowiedzi na 273 najtrudniejsze pytania

Rodo w praktyce – odpowiedzi na 273 najtrudniejsze pytania
 

Bartosz Marcinkowski, Robert Brodzik, Klaudia Czarniecka, Michał Kluska, Katarzyna Kulesza, Olga Legat, Justyna Tyc

Cena: 128,00 zł

Zamów

Jak zrealizować prawo dostępu

28-01-2020 Autor: Aleksandra Baranowska-Górecka

Rodo nadaje podmiotom danych szereg uprawnień, do których należy chociażby prawo dostępu do danych. W artykule przedstawione zostaną praktyczne wskazówki, w jaki sposób powinno być ono realizowane przez administratorów danych.

 

Rodo w szczególny sposób reguluje kwestię uprawnień tzw. podmiotów danych. Mają one na celu zwiększenie ochrony osób fizycznych, ich wiedzy na temat tego, jakich działań administratora w związku z przetwarzaniem ich danych osobowych mogą się spodziewać, a w konsekwencji umożliwienie im zwiększenia kontroli nad ich zakresem i samym przetwarzaniem. Do takich uprawnień należy m.in. tzw. prawo dostępu.

 

Czym jest prawo dostępu?

 

Pełni ono szczególną rolę. Dzięki niemu osoba fizyczna ma możliwość potwierdzenia, czy informacje jej dotyczące (a także w jakim zakresie i w jakich okolicznościach) są przetwarzane przez dany podmiot.
 
Z szeroko rozumianego prawa dostępu uregulowanego w art. 15 rodo wynika tak naprawdę szereg uprawnień osoby, której dane dotyczą. Jest to nie tylko prawo do potwierdzenia, że dane jej dotyczące są przetwarzane przez konkretnego administratora, uzyskania dostępu do danych, lecz również prawo do uzyskania informacji o tym, w jaki sposób te dane są przetwarzane, prawo do uzyskania informacji o odpowiednich zabezpieczeniach, jakie zostały zastosowane – co dotyczy przypadku przekazania danych do tzw. państwa trzeciego lub organizacji międzynarodowej, a także prawo do uzyskania kopii danych osobowych.
 
Na podstawie art. 15 ust. 1 rodo należy uznać, że jeżeli osoba fizyczna prosi o potwierdzenie, że dane jej dotyczące są przetwarzane, to jeżeli administrator faktycznie takie dane przetwarza, powinien jednocześnie umożliwić uzyskanie dostępu do tych danych oraz przekazać informacje wskazane w tym przepisie, tj.:
  • cele przetwarzania;
  • kategorie odnośnych danych osobowych;
  • informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych;
  • w miarę możliwości planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
  • informacje o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania;
  • informacje o prawie wniesienia skargi do organu nadzorczego;
  • jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą, wszelkie dostępne informacje o ich źródle;
  • informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4 rodo, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
Dodatkowo jeżeli dane są przekazywane do państwa trzeciego lub organizacji międzynarodowej, należy przekazać informacje o odpowiednich zabezpieczeniach, o których mowa w art. 46 rodo, związanych z przekazaniem (np. o zastosowaniu standardowych klauzul umownych, wiążących reguł korporacyjnych). Bardzo ważne jest to, że nawet jeżeli takie informacje były już przekazywane w ramach realizowania tzw. obowiązku informacyjnego (zgodnie z art. 13 i art. 14 rodo), to nie zwalnia to w żadnym wypadku administratora z przekazania tych informacji w ramach realizowania prawa dostępu.
 
Kontrowersyjną kwestią jest to, w jaki sposób powinno być realizowane to uprawnienie w formie uzyskania dostępu. Modelowym rozwiązaniem powinno być zapewnienie możliwości faktycznego wglądu zarówno do systemów informatycznych, w których są przetwarzane te dane, jak i dokumentów. To uprawnienie może być więc realizowane np. przez okazanie informacji na ekranie komputera w siedzibie przedsiębiorcy lub pokazanie w siedzibie dokumentów zawierających dane osobowe1.
 
Ważne jest jednak to, że przy takich czynnościach nie może dojść do ujawnienia danych dotyczących innych osób. W związku z tym administratorzy często stają przed trudnym dylematem, czy faktycznie powinni okazywać treść dokumentów bądź danych z systemu. W motywie 63 preambuły rodo wskazano, że: „Prawo to [prawo bezpośredniego dostępu] nie powinno negatywnie wpływać na prawa lub wolności innych osób, w tym tajemnice handlowe lub własność intelektualną, w szczególności na prawa autorskie chroniące oprogramowanie. Względy te nie powinny jednak skutkować odmową udzielenia osobie, której dane dotyczą, jakichkolwiek informacji”. W takiej sytuacji rozwiązaniem może być okazanie podmiotowi danych tych dokumentów lub treści zawartych w systemach itp. częściowo zanonimizowanych w części dotyczącej innych osób.
 
Uzyskanie dostępu do danych nie jest równoznaczne z uzyskaniem kopii nośnika danych. Może ono (choć nie w każdej sytuacji) wynikać z prawa uzyskania kopii danych osobowych, które podlegają przetwarzaniu. Jeżeli podmiot danych wystąpi z takim żądaniem, co do zasady, można takiej osobie przekazać np. kserokopię dokumentu zawierającego jej dane osobowe, wydruk z systemu informatycznego czy też umożliwić samodzielne pobranie kopii danych bezpośrednio z systemu informatycznego2. Ta ostatnia opcja jest już bardzo często wykorzystywana przez niektóre aplikacje.
 
Pierwsza kopia danych powinna zostać wydana nieodpłatnie. Kolejne kopie mogą być ewentualnie odpłatne, ale może to być w zasadzie jedynie zwrot poniesionych kosztów administracyjnych.
 
W niektórych sytuacjach przekazanie kopii dokumentu czy innego nośnika może jednak wiązać się z przekazaniem danych dotyczących innych osób. W tym przypadku z uwagi na treść art. 15 ust. 4 rodo administrator powinien odmówić przekazania takiej kopii.
 
[...]
 
Autorka jest radcą prawnym, współpracującym z Kancelarią Prawną Schampera, Dubis, Zając i Wspólnicy sp. k. we Wrocławiu (SDZLEGAL SCHINDHELM).
 

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

Zapraszamy do składania zamówień na prenumeratę.


 

_____________________________________________________________________________________________________________________________________

Informacje o cookies © 2019 PRESSCOM Sp. z o.o.