Prawo dostępu do danych – na czym polega?

Zawartość

Cześć!

To znowu ja, Dokrates!

Na temat RODO opowiedziałem Ci już całkiem sporo, jednak to jeszcze nie koniec. Dziś chcę dodać do tego garść informacji o wynikającym z rozporządzenia prawie dostępu do danych.

Przetwarzanie danych 

Zgodnie z art. 15 RODO administrator jest obowiązany udzielić dostępu do przetwarzanych danych osobie, której one dotyczą, jeśli zgłosi ona takie żądanie. Jeżeli więc w ramach swojej działalności przetwarzasz dane osobowe, możesz zostać poproszony o ich udostępnienie. Musisz w związku z tym pamiętać o kilku rzeczach.

Przede wszystkim powinieneś za każdym razem upewnić się, że osoba zgłaszająca żądanie ma do tego prawo, a w szczególności zweryfikować jej tożsamość, aby nie spowodować nieuprawnionego dostępu do danych. RODO wskazuje, że realizacja prawa dostępu do danych nie powinna naruszać praw lub wolności innych osób, co oznacza także, że powinieneś dopilnować, aby udzielenie informacji nie spowodowało przypadkowego ujawnienia danych także innych osób.

Polityka prywatności RODO i cookies

Kiedy będziesz już pewien, że zgłaszający żądanie jest uprawniony do otrzymania dostępu do danych, możesz zrealizować jego prawo. Zakres czynności, które powinieneś w tym celu wykonać będzie zależał m.in. od zakresu zgłoszonego żądania. Może ono obejmować jedynie potwierdzenie, czy administrator w ogóle przetwarza dane zgłaszającego. Ma on prawo także do informacji, które wskazane zostały w rozporządzeniu, obejmujących przede wszystkim:

  • cele przetwarzania,
  • kategorie przetwarzanych danych (czyli np. imię, nazwisko, adres),
  • informacje o odbiorcach (lub kategoriach odbiorców) danych, ze szczególnym uwzględnieniem podmiotów pochodzących z państw trzecich,
  • planowany okres przechowywania danych,
  • informacje o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania oraz do wniesienia sprzeciwu wobec przetwarzania,
  • informacje o prawie wniesienia skargi do organu nadzorczego,
  • informacje o źródle pozyskania danych (jeśli nie zostały one pozyskane od osoby, której dotyczą),
  • informacje o zautomatyzowanym podejmowaniu decyzji (w tym o profilowaniu), a także możliwych wynikających z tego konsekwencjach dla osoby, której dane dotyczą.

Kopia danych

Nowym uprawnieniem wynikającym z RODO jest obowiązek dostarczenia przez administratora kopii danych osobie, której dane te dotyczą, jeżeli wniesie ona takie żądanie. Może ona przybrać formę zarówno elektroniczną, jak i papierową, jednak w sytuacji, gdy żądanie będzie miało formę elektroniczną, kopia powinna w miarę możliwości przybrać taką samą formę (chyba, że żądający wskaże inaczej). Wydanie pierwszej kopii musi nastąpić bezpłatnie, a w przypadku kolejnych masz prawo pobrać opłatę w rozsądnej wysokości wynikającej z poniesionych kosztów administracyjnych.

Jako administrator powinieneś zadbać także o możliwość udzielenia osobie zgłaszającej żądanie zdalnego dostępu do systemu, który zapewni jej bezpośredni wgląd w dotyczące jej dane (jeżeli jest to możliwe). W tym przypadku musisz szczególnie uważać, by nie spowodować wspomnianego już wcześniej nieuprawnionego dostępu.

Jeżeli otrzymasz takie żądanie, będziesz musiał odpowiedzieć na nie w terminie nie dłuższym niż miesiąc. W przypadku skomplikowanego żądania okres ten może się wydłużyć, jednak należy wówczas poinformować o tym fakcie nadawcę. Możesz także zwrócić się do niego z prośbą o doprecyzowanie żądania.

Zrealizowanie wynikających z ewentualnego żądania wymogów nie będzie zadaniem skomplikowanym, jeżeli rzetelnie prowadzisz wymaganą przez RODO dokumentację. Jeśli jeszcze się z tym nie uporałeś, mogę Ci w tym nieco pomóc – stworzyłem niedawno pakiet RODO, który zawiera wzory niezbędnych w Twojej firmie dokumentów!

To już wszystko na dziś. Pozdrawiam Cię serdecznie,

Twój Dokrates

DORA, AI Act, NIS2, i PSR: Jak nowe regulacje zmienią branże FinTech i IT?

Chcesz wiedzieć, co te zmiany oznaczają dla Ciebie i Twojej firmy? Dołącz do naszego bezpłatnego webinaru.

Tomasz Klecor

Partner zarządzający
w kancelarii Legal Geek