Aktualności

RODO: O czym należy pamiętać realizując żądania osób w zakresie przetwarzania danych osobowych?

RODO: O czym należy pamiętać realizując żądania osób w zakresie przetwarzania danych osobowych?

Realizacja żądań podmiotów danych dotyczących ich praw wskazanych w art. 15 - 23 RODO (w tym tzw. prawa do zapomnienia) to jedno z większych wyzwań jakie stoi przed administratorami danych. Żeby prawidłowo wywiązać się z tego obowiązku należy przestrzegać kilku podstawowych zasad związanych z przyjmowaniem i rozpoznawaniem wniosków.

  1. Zweryfikuj tożsamość osoby zgłaszającej żądanie

Żądania osób, których dane dotyczą mogą być składane różnymi kanałami - w tym drogą elektroniczną i osobiście. Z samego żądania często nie wynika, kto rzeczywiście jest jego autorem, zwłaszcza gdy jest wysyłane z nieznanego administratorowi adresu mailowego. Może się zdarzyć również tak, że wniosek o przesłanie kopii danych lub przeniesienie, jest w rzeczywistości próbą ich wyłudzenia przed podmioty trzecie.

By ustrzec się przed nieuprawnionym udostępnieniem lub usunięciem danych, w przypadku pojawienia się wątpliwości co do tożsamości osoby należy przeprowadzić jej dodatkową identyfikację np. w oparciu o dane już posiadane przez administratora. W przypadku osób osobiście składających żądanie można poprosić o ich wylegitymowanie się (bez pobierania kopii dokumentu). Osoby składające wnioski mailowo mogą zostać poproszone o podanie informacji, którą administrator ma już w swojej bazie (numeru telefonu, numeru klienta, daty urodzenia itd.).

Jeżeli żądanie składane jest przez pełnomocnika należy poprosić o okazanie dokumentu pełnomocnictwa i sprawdzić czy jego zakres faktycznie upoważnia do złożenia żądania w imieniu osoby, której dane dotyczą.

Uwaga! Weryfikacja tożsamości osoby zgłaszającej żądanie nie powinna prowadzić do nadmiarowego zbierania danych osobowych, które nie są przetwarzane przez administratora w momencie otrzymania żądania (np. numeru PESEL w celu wypisania się z newslettera).

  1. Pilnuj terminu odpowiedzi na żądanie

Administrator ma co do zasady miesiąc na poinformowanie osoby, której dane dotyczą o realizacji żądania lub odmowie jego realizacji. Wpływ wniosku warto więc odnotować w rejestrze żądań podmiotu danych, tak by każda osoba zajmująca się realizacją żądania wiedziała ile czasu ma na wykonanie zadania. Podjęcie działań może wymagać współpracy różnych działów organizacji (np. prawnego, IT, kadr), co stwarza ryzyko przekroczenia przewidzianego terminu.

W razie potrzeby termin na odpowiedź można przedłużyć o kolejne 2 miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań. O przedłużeniu terminu trzeba osobę, której dane dotyczą poinformować i wskazać, dlaczego sprawa wymaga dłuższego procesowania. Informacja powinna być przekazana w terminie miesiąca od zgłoszenia żądania.

Ponieważ może zdarzyć się tak, że żądanie wpłynie nie bezpośrednio do administratora, ale do podmiotu przetwarzającego, zaleca się uregulowanie szczegółowo w umowie powierzenia przetwarzania, w jaki sposób i w jakim terminie następuje przekazanie żądania - tak by administrator wiedział, od kiedy liczyć miesięczny termin na udzielenie odpowiedzi i miał wystarczająco dużo czasu, by podjąć decyzję w przedmiocie realizacji żądania.

  1. Dostosuj język oraz formę odpowiedzi na żądanie podmiotu danych do odbiorcy

Przepisy RODO nakładają na administratora obowiązek nie tylko udzielenia odpowiedzi na złożony wniosek, ale również odpowiedniego jej sformułowania - jasnym i prostym językiem w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie. W tym celu administrator może przygotować wytyczne lub wzór odpowiedzi na żądanie np. z zastosowaniem piktogramów. Jeżeli żądanie zostało rozpatrzone negatywnie, odpowiedź administratora koniecznie musi zawierać wyraźną informację o możliwości wniesienia skargi do organu nadzorczego (PUODO) oraz skorzystania ze środków ochrony prawnej przed sądem.

Odpowiedź na żądanie podmiotu danych nie zawsze musi być udzielona pisemnie. Dopuszczalne są również inne formy kontaktu w tym elektroniczna - zwłaszcza, jeżeli samo żądanie zostało skierowane w ten sam sposób. Na żądanie osoby, której dane dotyczą, odpowiedź może być także udzielona ustnie. W takim przypadku konieczne jest potwierdzenie jej tożsamości. Jeżeli wybrano inną formę odpowiedzi niż pisemna, w celu realizacji zasady rozliczalności, warto odnotować ten datę i sposób udzielenia odpowiedzi w rejestrze żądań podmiotów danych.

Ponieważ realizacja żądań podmiotów danych to proces dosyć skomplikowany, zwłaszcza w większych organizacjach, dobrym rozwiązaniem jest wprowadzenie instrukcji przyjmowania i realizacji żądań, w tym rejestrowania podjętych działań, tak by administrator miał możliwość wykazania realizacji swoich obowiązków zgodnie z przepisami ochrony danych osobowych.



Anna Szymielewicz

Prawnik

Anna Szymielewicz

Radca prawny, Counsel

Anna Szymielewicz

Kontakt:

ul. Rondo ONZ 1
00-124 Warszawa