Z LEXTRA PRZY KAWIE O PRAWIE - Funkcjonowanie RODO w przedsiębiorstwie cz. XVI

W ramach dzisiejszego spotkania „Z LEXTRA PRZY KAWIE O PRAWIE”,

FUNKCJONOWANIE RODO cz. XVI

 

Otrzymałeś żądanie udzielenia dostępu do danych osobowych? Informujemy co powinieneś zrobić w kolejnych krokach…


Każda osoba fizyczna, której dane osobowe są przetwarzane ma prawo do uzyskania od administratora danych osobowych potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz otrzymania puli informacji w zakresie pokrywającym się co do zasady z obowiązkiem informacyjnym m. in. o celach takiego przetwarzania czy odbiorcach tych danych (art. 15 ust. 1 i 2 RODO). Ponadto osoba fizyczna może żądać wydania kopii jej danych osobowych, które są przetwarzane (art. 15 ust. 3 i 4 RODO).

W pierwszej kolejności administrator danych osobowych, otrzymując żądanie dostępu do danych powinien zidentyfikować czy faktycznie przetwarza dane osoby składającej takie żądanie jako administrator danych osobowych czy jako podmiot przetwarzający. W tym drugim przypadku informacja o otrzymaniu żądania powinna zostać przekazana niezwłocznie do administratora w celu realizacji żądania. Rekomendowane jest odpowiednie uregulowanie w umowie powierzenia przetwarzania danych osobowych realizacji przez podmiot przetwarzający przedmiotowych obowiązków.

Jeżeli dane są przetwarzane przez przedsiębiorcę jako administratora danych osobowych, to w kolejnym kroku powinien on zweryfikować tożsamość osoby pytającej. Po potwierdzeniu tożsamości, administrator powinien odnaleźć w swojej strukturze wewnętrznej dane osobowe, które dotyczą osoby składającej żądanie dostępu do tych danych i rozpocząć proces jego realizacji.

Prawo dostępu do danych może obejmować następujące obszary:

  1. potwierdzenie/zaprzeczenie przetwarzania danych osoby,
  2. przekazanie zestawu informacji, odpowiadających obowiązkowi informacyjnemu,
  3. udzielenie dostępu do danych,
  4. wydanie kopii danych.

Udzielenie dostępu do danych może polegać na udostępnieniu akt lub terminalu komputerowego w czytelni. Motyw 63 RODO wskazuje, że mogłoby się to odbyć za pomocą udzielenia „zdalnego dostępu do bezpiecznego systemu”, czyli poprzez swoistą elektroniczną samoobsługę. Sposób realizacji żądania dostępu do danych ma zapewnić administrator w sposób umożliwiający realizację tego prawa.

Żądania należy zrealizować niezwłocznie, gdyż Administrator bez zbędnej zwłoki - a w każdym razie w terminie miesiąca od otrzymania żądania - powinien udzielić osobie, której dane dotyczą, informacji o działaniach podjętych w związku z otrzymanym od niej żądaniem. Administrator może przedłużyć ten termin o kolejne dwa miesiące, z podaniem przyczyn przedłużenia (art. 12 ust. 3 RODO).

Administrator danych osobowych powinien udzielić odpowiedzi na otrzymane żądanie na piśmie lub w inny sposób, w tym w stosownych przypadkach - elektronicznie. Jeżeli osoba, której dane dotyczą, tego zażąda, informacji można udzielić ustnie, o ile innymi sposobami potwierdzi się tożsamość osoby, której dane dotyczą (art. 12 ust. 1 RODO). Co do zasady realizacja żądania jest wolna od opłat. Jednak za wszelkie kolejne kopie, o które zwróci się osoba, której dane dotyczą, administrator może pobrać opłatę w rozsądnej wysokości, wynikającej z kosztów administracyjnych. Pierwsza kopia danych jest bezpłatna.

Istotne jest, aby administrator wiedział jak reagować na otrzymane żądanie w celu zrealizowania obowiązków wynikających z RODO w zakresie realizacji praw jednostki. W tym celu zalecane jest opracowanie regulaminu realizacji praw jednostki, gdzie zostaną opisane uprawnienia jednostki, sposoby ich realizacji, wymogi co do uwierzytelnienia, kwestie praw osób trzecich, procedury postępowania z żądaniami dostępu i kopii danych w przedsiębiorstwie administratora danych osobowych.

Kancelaria udziela pomocy prawnej przy opracowaniu odpowiednich procedur usprawniających proces obsługi przez administratora danych osobowych praw jednostki. Zapraszamy do współpracy!