Realizacja prawa dostępu do danych przedmiotem sprawdzeń organów nadzorczych i EROD
W kwietniu 2023 r. Europejska Rada Ochrony Danych przyjęła ostateczną wersję Wytycznych dotyczących realizacji prawa dostępu 01/2022 (dalej: Wytyczne). Podjęto w nich próbę sformułowania generalnych zasad i wskazówek oraz przykładów mających wyjaśnić, czym jest prawo dostępu do danych oraz w jaki sposób administrator powinien reagować w przypadku zetknięcia się z wnioskiem osoby, której dane dotyczą, w obszarze prawa dostępu do danych, opisanego w art. 15 ust. 1 i 3 RODO.
Równolegle do prac EROD nad Wytycznymi, Trybunał Sprawiedliwości Unii Europejskiej rozpatrywał sprawy dotyczące zakresu prawa dostępu do danych. W czterech wydał już orzeczenia. Trzy z nich zostały wszczęte przed TSUE w 2021 r., a jedna w 2022 r. Oznacza to, że Trybunał rozstrzygał je niezależnie od Wytycznych i pomimo tego, że TSUE dokonywał oceny zakresu prawa dostępu do danych w ramach konkretnych okoliczności faktycznych, to wydane wyroki są w dużej mierze spójne z treścią Wytycznych.
Realizacja prawa dostępu do danych przedmiotem sprawdzeń organów nadzorczych i EROD
Jest to o tyle istotne, że EROD w październiku 2023 r. zdecydowała o przeprowadzeniu skoordynowanych działań egzekwowania prawa przez organy nadzorcze w państwach członkowskich UE. Ich celem jest sprawdzenie, w jaki sposób administratorzy danych osobowych podchodzą do realizacji prawa dostępu do danych osobowych.
Takie skoordynowane działanie polega na przekazaniu do organów krajowych właściwych do spraw ochrony danych osobowych (w Polsce takim organem jest Prezes Urzędu Ochrony Danych Osobowych) kwestionariusza, który służy do zweryfikowania określonych aspektów z obszaru ochrony danych osobowych. W 2022 r. EROD badała kwestie związane z funkcjonowaniem IOD w organizacji, natomiast tym razem sprawdzi, w jaki sposób administratorzy realizują prawo dostępu do danych osobowych.
Jako że bezpośrednich sprawdzeń dokonywać będą organy poszczególnych krajów, należy spodziewać się, że jeżeli Prezes UODO zdecyduje się na wzięcie udziału w badaniu, w przypadku stwierdzenia nieprawidłowości podczas weryfikacji będzie wszczynał postępowania administracyjne w stosunku do administratorów w celu wyeliminowania uchybień. Pamiętać przy tym trzeba, że polski organ nadzorczy, pomimo iż podczas badania przez EROD pozycji IOD nie stosował opracowanego w ramach Coordinated Enforcement Framework kwestionariusza, to równolegle dokonywał własnych sprawdzeń w ramach tzw. listy 27 pytań Prezesa UODO.
Z uwagi na niedawne przyjęcie Wytycznych oraz wydane wyroki TSUE warto jest dokonać przeglądu lub nawet zasymulować w organizacji różne scenariusze wniosków o dostęp do danych, a także podjąć odpowiednie działania przez podmiot posiadający w swoich zasobach dane osobowe, by uniknąć zarzutów ewentualnych nieprawidłowości. Szczególnie trzeba zwrócić uwagę na to, czy prawo dostępu do danych jest realizowane w prawidłowym zakresie.
Mimo tego, że prawo dostępu do danych nie oznacza prawa żądania przekazania konkretnego dokumentu, to czasem nie będzie możliwe przekazanie kopii danych w inny sposób niż właśnie poprzez wydanie kopii dokumentu (por. wyrok TSUE z 4 maja 2023 r. sygn. C-487/21, wyrok TSUE z 26 października 2023 r. sygn. C-307/22, stanowisko Prezesa UODO z 27 lipca 2018 „Jak realizować prawa pacjenta do otrzymania kopii danych osobowych oraz kopii dokumentacji medycznej”[1]).
Ustalenie zakresu realizacji prawa dostępu jest istotne również dlatego, że zbyt szeroki zakres informacji przekazywany wnioskodawcy może doprowadzić do naruszenia praw osób trzecich. Tytułem przykładu można wskazać, że udostępnieniu wnioskodawcy nie podlegają m.in. informacje o pracownikach, którzy mieli dostęp do jego danych osobowych. Nie ma przy tym znaczenia, czy wnioskodawca współpracował wcześniej w ramach organizacji administratora z tymi osobami, czy też nie, ponieważ zakres prawa dostępu do danych ma charakter obiektywny (por. wyrok TSUE z 22 czerwca 2023 r. sygn. C-579/21).
Z drugiej strony jednak realizacja prawa dostępu do danych nie może być jednostronnie zawężana przez administratora wyłącznie do ogólnych informacji lub do określonego czasu, jaki administrator uznaje za stosowny. TSUE w wyroku z 12 stycznia 2023 r. (sygn. C-154/21) stwierdził, że w przypadku żądania wskazania przez administratora odbiorców danych osobowych konieczne jest podania dokładnej tożsamości tych podmiotów, chyba że nie jest możliwe ustalenie każdego z tych podmiotów (np. podmioty odwiedzające stronę internetową administratora). W sprawie o sygn. C-579/21 TSUE w wyroku z 22 czerwca 2023 r. stwierdził natomiast, że prawo dostępu do danych nie ogranicza się wyłącznie do danych pozyskanych przez administratora po rozpoczęciu stosowania RODO, ale obejmuje wszystkie dane osobowe dotyczące wnioskodawcy.
Realizację prawa dostępu do danych można usystematyzować w ramach organizacji. Im dokładniej i bardziej szczegółowo ta kwestia zostanie opisana w dokumentach wewnętrznych, tym mniejsze jest prawdopodobieństwo, że pracownik obsługujący wnioski osób, których dane dotyczą, popełni błąd lub nie będzie wiedział, jak zareagować na otrzymany wniosek.
Jak przygotować się do sprawdzeń organu nadzorczego?
Przede wszystkim należy zacząć od weryfikacji procedury rozpatrywania wniosków o dostęp do danych osób fizycznych (a w przypadku braku takiej procedury zalecane jest ją niezwłocznie wdrożyć), w tym poprzez:
- określenie reakcji na wpływ wniosku w zależności od kanału, którym zostanie przekazany (np. dedykowany adres, inny adres, wniosek złożony ustnie),
- weryfikację tożsamości wnioskodawcy, tj. w jaki sposób reagować, gdy nie ma pewności co do tożsamości nadawcy wniosku,
- ustalenie podstawy żądania w przypadku zbiegu różnych podstaw dotyczących pozyskiwania informacji lub dokumentów,
- ustalenie zakresu posiadanych danych osobowych w zasobach administratora,
- ustalenie formy i postaci przekazanej odpowiedzi wraz z ewentualną kopią danych osobowych,
- ustalenie zakresu informacji, danych i ich kopii, które administrator powinien przekazać podmiotowi danych,
- określenie sposobu postępowania, gdy żądanie jest niejasne,
- ustalenie procesu decyzyjnego co do sposobu rozpatrywania wniosków,
- określenie wzorów typowych odpowiedzi na wnioski podmiotów danych w zakresie dostępu i kopii danych,
- wyznaczenie osób odpowiedzialnych do obsługi wniosków,
- ustalenie roli IOD w procesie obsługi wniosków, jeżeli został wyznaczony.
Nie jest to oczywiście katalog zamknięty. Doświadczenie pokazuje, że prawo dostępu do danych jest jednym z najczęściej realizowanych praw podmiotów danych. Dlatego warto już teraz sprawdzić, czy organizacja jest przygotowana na ewentualną kontrolę w tym zakresie.
[1] https://archiwum.uodo.gov.pl/pl/138/440