Usługi
Aktualności
RODO
Szkolenia
Wydarzenia
O nas
kontakt

Strona główna
Aktualności
Realizacja prawa dostępu do danych osobowych według EROD

Realizacja prawa dostępu do danych osobowych według EROD

02.04.2024
Autor: Alicja Pomorska
analizy

Prawo dostępu do danych osobowych jest jednym z uprawnień przysługujących podmiotowi danych na gruncie RODO[1]. Praktyka pokazuje, że stosowanie tego prawa pociąga za sobą szereg trudności np. w jaki sposób zapewnić dostęp danych lub w jakim zakresie udostępnić dane. Z pomocą dla administratorów danych i podmiotów przetwarzających przyszła Europejska Rada Ochrony Danych (EROD), tworząc wytyczne w sprawie prawa dostępu do danych osobowych. Po przeprowadzeniu konsultacji publicznych Europejska Rada Ochrony Danych (EROD) 17 kwietnia 2023 ogłosiła ostateczną wersję wytycznych w sprawie praw osób, których dane dotyczą – prawo dostępu[2].

Celem niniejszego artykułu jest omówienie najważniejszych aspektów realizacji prawa dostępu do danych osobowych z uwzględnieniem najistotniejszych kwestii wynikających z treści wytycznych EROD.

Warto już na wstępie wskazać, że prawo dostępu do danych pełni niezwykle istotną funkcję, dając podmiotom danym możliwość pozyskania wiedzy na temat przetwarzania ich danych osobowych, co z kolei umożliwia im zarządzanie swoimi danymi i realizację pozostałych praw przysługujących im na gruncie RODO.

Treść prawa dostępu do danych

Prawo dostępu do danych osobowych obejmuje trzy różne elementy:

Potwierdzenie czy dane o osobie są przetwarzane, czy też nie,
Dostęp do tych danych osobowych i
Dostęp do informacji o przetwarzaniu, takich jak cel, kategorie danych i odbiorcy, czas przetwarzania, prawa osób, których dane dotyczą oraz wreszcie odpowiednie zabezpieczenia w przypadku przekazywania danych do państw trzecich.

Ponadto, w art. 15 ust. 3 RODO mowa jest o dostarczaniu kopii danych osobie, której dane dotyczą. To żądanie kopii danych odnosi się do drugiego komponentu tj. dostępu do danych osobowych. Według EROD obowiązek dostarczenia kopii należy rozumieć jako sposób zapewnienia dostępu do danych, nie zaś dodatkowe prawo osoby, której dane dotyczą. Wymóg dostarczenia kopii powinien być szeroko interpretowany i oznacza podanie informacji o danych osobowych osoby składającej żądanie osobie, której dane dotyczą, w sposób umożliwiający osobie, której dane dotyczą, zachowanie wszystkich informacji i powrócenie do nich. Administrator jest zobowiązany zapewnić bezpłatną pierwszą kopię danych niezależnie od kosztu jej wydania.

Zasadą jest, że gdy administrator otrzymuje żądanie dostępu do danych powinien przekazać w całości podmiotowi danych wszystkie informacje wymagane w art. 15 RODO. Administrator musi zatem udzielić informacji wskazanych w art. 15 ust. 1 RODO, a gdy ma to zastosowanie to także informacji, o których mowa w art. 15 ust. 2 RODO[3].

Komunikacja z podmiotem danych

EROD w swoich wytycznych podkreśla, jak ważna jest zapewnienie przejrzystej, łatwej komunikacji z wnoszącym żądanie. Oznacza to w szczególności stworzenie przejrzystych kanałów, na pośrednictwem których podmiot danych może wnieść żądanie np. dedykowany adres e-mail, specjalny formularz etc. Administrator nie może jednak wymagać, by osoba, której dane dotyczą, kierowała do niego swoje żądania wyłącznie za pośrednictwem wskazanych przez niego kanałów.

Nie należy zapominać o weryfikacji tożsamości osoby wnoszącej żądanie, która jest pierwszym krokiem jaki należy podjąć zanim dane zostaną udostępnione. Pominięcie tego kroku może prowadzić do konsekwencji w postaci ujawnienia danych osobie nieuprawnionej, to jest naruszenia ochrony danych osobowych.

Jeżeli administrator nie jest przekonany co do tożsamości wnoszącego żądanie, powinien zwrócić się o podanie dodatkowych informacji, które umożliwią zidentyfikowanie osoby. Należy jednak pamiętać, że zakres żądanych informacji powinien być proporcjonalny do danych już przetwarzanych przez administratora. Potwierdzenie tożsamości nie powinno prowadzić do gromadzenia przez administratora nadmiarowych danych osobowych.

Zakres i sposób realizacji żądania dostępu do danych

Jeśli chodzi o zakres realizacji prawa dostępu do danych osobowych należy wskazać, że według EROD prawo dostępu do danych dotyczy wszystkich danych osobowych wnioskodawcy, które są przetwarzane przez administratora – również tych poddanych pseudonimizacji. Zakres żądania dostępu do danych jest zdeterminowany definicją „danych osobowych” zawartą w RODO. Prawo dostępu odnosi się do danych osobowych osoby składającej żądanie. EROD wskazał, że nie należy tego interpretować zbyt restrykcyjnie tzn. zakresem prawa dostępu do danych mogą być objęte także dane osobowe innej osoby. Jako przykład podano historię komunikacji zawierającą wychodzące i przychodzące wiadomości.

EROD wskazuje, że jeżeli w żądaniu nie wskazano inaczej, prawo dostępu do danych dotyczy wszystkich danych osobowych wnioskującego zgromadzonych przez administratora. Administrator w pewnych sytuacjach jest jednak uprawniony do zwrócenia się o sprecyzowanie żądania, jeżeli ilość przechowywanych przez niego danych dotyczących wnioskującego jest znaczna.

Udzielenie dostępu do danych oraz informacji o ich przetwarzaniu powinno zapewniać przejrzystość. Główną metodą zapewnienia dostępu jest dostarczenie osobie, której dane dotyczą, kopii jej danych, ale można przewidzieć inne sposoby (takie jak informacje ustne i dostęp na stronie). Jeżeli dane osobowe przetwarzane przez administratora są w formie kodowej lub w postaci innego rodzaju „surowych danych”, administrator ma obowiązek zapewnić wyjaśnienie przekazywanych informacji w taki sposób, by były jasne dla wnioskodawcy. Jako jedno z rozwiązań w sytuacji, gdy administrator przetwarza dużą ilość danych, wskazano możliwość zastosowania podejścia warstwowego, które ułatwi osobie zrozumienie przekazywanych jej danych i informacji.

W przypadku, gdy podmiot danych wnosi żądanie drogą elektroniczną administrator ma obowiązek zrealizować żądanie w powszechnie stosowanej formie elektronicznej, chyba że udzielenia w inny sposób zażąda osoba, której dane dotyczą.

EROD wskazuje, iż możliwe jest również przekazanie kopii danych osobowych w formie transkrypcji lub zestawienia, jeżeli nie spowoduje to zmiany treści ani zawartości danych.

Żądanie powinno być zrealizowane bez zbędnej zwłoki, nie później niż w ciągu miesiąca od jego otrzymania. W wyjątkowych przypadkach z uwagi na skomplikowany charakter żądania lub liczbę żądań możliwe jest wydłużenie terminu na realizację żądania o dwa miesiące.

Wyjątki od realizacji prawa dostępu do danych

W swoich wytycznych EROD odniósł się także do wyjątków od realizacji prawa dostępu do danych osobowych. Zgodnie z art. 15 ust. 4 RODO prawo do uzyskania kopii danych nie może niekorzystnie wpływać na prawa i wolności innych osób. EROD podnosi, że wyjątek ten należy jednak ujmować wąsko. Nie umożliwia on zupełnej odmowy realizacji prawa osoby, której dane dotyczą, ale może skutkować nieprzekazaniem części kopii przetwarzanych danych osobowych.

Ponadto administrator jest uprawniony do niewykonania prawa dostępu do danych w przypadku, gdy żądanie byłoby nadmierne lub ewidentnie nieuzasadnione albo do pobrania rozsądnej opłaty, uwzględniającej administracyjne koszty udzielenia informacji, prowadzenie komunikacji lub podjęcie żądanych działań (art. 12 ust. 5 RODO).

Podsumowując, prawo dostępu do danych osobowych jest jednym z kluczowych praw przysługujących osobie, której dane są przetwarzane, stąd administratorzy powinni być przygotowani na prawidłową realizację tego typu żądań. Omawiane w artykule wytyczne mogą stanowić ważny pomocniczy materiał w ramach zapewnienia zgodności z RODO procesu realizacji prawa dostępu do danych osobowych.

[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

[2]Guidelines 01/2022 on data subject rights – Right of access – version 2.0.: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-012022-data-subject-rights-right-access_en

[3] Art. 15 ust. 2 RODO „Jeżeli dane osobowe są przekazywane do państwa trzeciego lub organizacji międzynarodowej, osoba, której dane dotyczą, ma prawo zostać poinformowana o odpowiednich zabezpieczeniach, o których mowa w art. 46, związanych z przekazaniem.”

Autor

Alicja Pomorska

Radca prawny z kilkuletnim doświadczeniem w obsłudze prawnej, w szczególności podmiotów z sektora farmaceutycznego. Posiada doświadczenie zawodowe w obszarze ochrony danych osobowych, które zdobywała w ramach współpracy z kancelariami prawnymi oraz jako prawnik wewnętrzny spółek.

Z tej samej kategorii

Zatwierdzone kodeksy postępowania w Polsce na gruncie RODO Więcej

Realizacja prawa dostępu do danych osobowych według EROD Więcej

Profilowanie na Danych Osobowych Więcej

Sztuczna inteligencja w objęciach prawa unijnego. Główne problemy regulacyjne w czasie inkubacyjnym. Więcej

Prezes Urzędu Ochrony Danych Osobowych – wybór, kompetencje i wyzwania na 2024 r. Więcej

COLD MAILING W KONTEKŚCIE ADMINISTRATORA DANYCH OSOBOWYCH I PROCESORA Więcej

Zasady naczelne RODO Więcej

Dokumentacja z zakresu ochrony danych osobowych Więcej

Kodeksy postępowania na gruncie RODO i ich znaczenie Więcej

Naruszenie ochrony danych w świetle wytycznych Europejskiej Rady Ochrony Danych Więcej

WSZYSTKIE Z KATEGORII

Kategorie

analizy
Cyberbezpieczeństwo
definicje i pojęcia w RODO
inspektor ochrony danych
obowiązki administratora danych
organ nadzorczy
powierzanie danych
prawa podmiotów danych
przekazywanie danych poza EOG
roczny plan kontroli UODO
RODO w IT
Sankcje, kary finansowe RODO

Ta strona wykorzystuje pliki cookie, należące do nas lub do osób trzecich, do celów wydajności i służą reklamom zgodnym z Twoimi preferencjami dotyczącymi przeglądania, które mogą być dla Ciebie interesujące. Aby dowiedzieć się więcej o tym, jak używamy plików cookie lub zmienić preferencje dotyczące plików cookie, kliknij na "Ustawienia plików cookie". Możesz w każdej chwili zmienić te ustawienia odwiedzając naszą politykę cookies i postępując zgodnie z zawartymi w niej instrukcjami. Klikając na "Zaakceptuj wszystkie pliki cookie" wyrażasz zgodę na przechowywanie plików cookie w swoim urządzeniu.

Polityka plików cookie Ustawienia plików cookie Zaakceptuj wszystkie pliki cookie

Zarządzaj zgodami

Pliki cookie i inne technologie na tej stronie

Proszę zdecydować, czy ta strona może korzystać z plików cookie lub innych technologii, takich jak sygnały nawigacyjne w sieci web, znaczniki pikseli i obiekty Flash („Pliki cookie”), jak opisano poniżej. Więcej informacji na temat korzystania z plików cookie i związanych z nimi technologii można znaleźć w naszej polityce prywatności, do której odsyła poniższy link.

Polityka Prywatności

Funkcjonalne pliki cookie

Te pliki cookie umożliwiają nam analizę korzystania z witryny przez użytkownika w celu oceny i poprawy jej wydajności. Mogą one być również wykorzystywane do zapewnienia lepszej obsługi klienta na tej stronie. Na przykład: do zapamiętywania danych do logowania, zapisywania informacji o tym, co znajduje się w koszyku lub dostarczania nam informacji o sposobach korzystania z naszej witryny.

Pomiar wydajności

Te pliki cookie umożliwiają nam zliczanie wizyt i źródeł ruchu, dzięki czemu możemy mierzyć i poprawiać wydajność naszej witryny. Pomagają one ustalić, które strony są najbardziej i najmniej popularne i zobaczyć, jak odwiedzający poruszają się po stronie. Wszystkie informacje zbierane przez te pliki cookie są agregowane i tym samym anonimowe. Jeśli użytkownik nie zezwoli na stosowanie tych plików cookie, nie będziemy wiedzieć, kiedy odwiedził naszą stronę internetową.

Reklamowe pliki cookie

Te pliki cookie są wykorzystywane do wyświetlania reklam, które są bardziej dopasowane do użytkownika. Możemy dzielić się tymi informacjami z reklamodawcami lub wykorzystywać je w celu lepszego zrozumienia zainteresowań użytkownika. Reklamowe pliki cookie mogą być na przykład wykorzystywane do udostępniania danych reklamodawcom, tak aby reklamy, które widzi użytkownik były do niego bardziej dopasowane, aby mógł on udostępniać niektóre strony na portalach społecznościowych lub zamieszczać komentarze na naszej stronie.

Wymagane pliki cookie

Te pliki cookie są niezbędne, aby umożliwić korzystanie z podstawowych funkcji witryny, takich jak zapewnienie bezpiecznego logowania lub zapamiętywanie, na jakim etapie składania zamówienia jest użytkownik.

SAVE & ACCEPT

RODOradar.pl - Wszystko o RODO

Wychodząc naprzeciw trudnościom i wątpliwościom, jakie stwarza wdrażanie przepisów prawa ochrony danych osobowych, stworzyliśmy serwis, którego celem jest dostarczanie wiedzy i wskazówek pomocnych przy wdrażaniu RODO w organizacjach.

Potrzebujesz pomocy we wdrożeniu przepisów RODO w swojej organizacji?

SKONTAKTUJ SIĘ Z NAMI

Nawigacja

Aktualności
Tekst GDPR/RODO
O nas
Szkolenia
Wydarzenia
Regulamin
Polityka prywatności

Blog

O przetwarzaniu danych w badaniu klinicznym
Udostępnienie czy powierzenie przetwarzania danych osobowych?
Formularz kontaktowy a RODO
RODO a nowe prawo kosmetyczne
Dane biometryczne w pracy
Ochrona medycznych danych osobowych

Czytaj dalej >>