Żądanie podmiotu danych osobowych
- Data Subject Access Request (DSAR)
Czyli jak administrator (controller) danych osobowych powinien realizować uprawnienia podmiotu danych.
Osoby, których dane dotyczą, mają prawo wiedzieć jakie ich dane przetwarza Twoja firma, otrzymać kopię tych danych oraz inne dodatkowe informacje dotyczące charakteru i zakresu ich przetwarzania.
Dostarczenie kopii przetwarzanych danych osobowych często wiąże się jednak z wyzwaniami takimi jak:
• Co zrobić, jeśli przetwarzanie danych osoby wnioskującej – jest powiązane z przetwarzaniem danych osobowych osoby trzeciej?
• Co zrobić, jeśli dane osobowe zostały przekazane firmie w tajemnicy, np. od poufnego informatora?
• Co zrobić, jeśli prośba o dostęp do danych jest czasochłonna lub wyjątkowo obszerna?
• Co zrobić, kiedy podmiot lub osoba trzecia zwróci się do nas z żądaniem w imieniu innego podmiotu danych?
Są to między innymi kwestie, którymi będziesz musiał się zająć, odpowiadając na DSAR, a niniejszy przewodnik ma na celu Ci w tym pomóc.
Nie ma ustalonej formy, w której mógłbyś otrzymać DSAR – żądanie podmiotu danych.
Osoby, których dane dotyczą, mogą zgłaszać swoje żądania ustnie lub pisemnie.
Chociaż możesz doradzić osobom, których dane dotyczą, wypełnienie formularza lub skorzystanie z szablonu z Twojej strony internetowej, przepisy nie precyzują takiego obowiązku.
Żądanie nie musi wspominać o przepisach RODO/UK GDPR, the Data Protection Act 2018 lub innych.
To Twoim (jako administratora danych) obowiązkiem jest ich odpowiednie zidentyfikowanie i zinterpretowanie.
Ważną rzeczą do zapamiętania jest to, że z żądaniem, tj. DSAR wystąpić może osoba fizyczna, lub osoba działająca w jej imieniu, która szuka dostępu do własnych danych osobowych lub szuka jasności o sposobie przetwarzania ich danych osobowych.
Osoby, których dane dotyczą, często też cytują Freedom of Information Act 2000, próbując uzyskać dostęp do własnych danych osobowych. Należy zauważyć, że Freedom of Information Act 2000 ma zastosowanie tylko do władz publicznych (np. Samorządów lokalnych, szkół i szpitali), więc jeśli nie jesteś organem publicznym, obowiązek odpowiadania na takie wnioski nie ma zastosowania.
Jeśli jednak jest oczywiste, że pomimo błędnie określonej podstawy prawnej jest to żądanie o dostęp do danych osobowych – DSAR, masz obowiązek odpowiedzieć na nie zgodnie z zasadami RODO/UK GDPR.
!Pamiętaj!
zgodnie z DOMNIEMANIEM WINY
w prawie ochrony danych
firmy przetwarzające dane nie zapłacą kary tylko,
jeśli udowodnią, że zrobiły wszystko aby poprawnie chronić dane
Co powinieneś zrobić, jeśli otrzymasz Żądanie o dostęp do danych osobowych (DSAR)?
Procedura postępowania z żądaniami podmiotów danych osobowych powinna być opisana w wewnętrznym dokumencie Twojej firmy “Polityce ochrony danych“.
Szczególnie ważne jest, aby sprecyzować, kto w Twojej firmie będzie zajmował się takimi wnioskami oraz kto jest osobą odpowiedzialną za wszelkie aspekty ochrony danych osobowych.
W jakim czasie musisz udzielić odpowiedzi?
Na udzielenie odpowiedzi na żądanie DSAR masz okres jednego miesiąca kalendarzowego, liczony od dnia otrzymania żądania.
Twoja firma może jednak wydłużyć czas na udzielenie odpowiedzi o kolejne dwa miesiące, gdy:
• osoba, której dane dotyczą, nie dostarczyła wystarczających informacji, aby zidentyfikować dane, których żąda. (Wtedy poproś o uzupełnienie informacji, a okres jednego miesiąca rozpocznie się dopiero w dniu, w którym otrzymasz dodatkowe szczegóły potrzebne do przetworzenia wniosku); lub
• wniosek jest bardzo złożony lub skomplikowany.
Po podjęciu decyzji o przedłużeniu należy o niej poinformować podmiot danych.
Od tego momentu firma będzie miała dwa miesiące, niezależnie od tego, ile z pierwotnego jednego miesiąca pozostało dni.
Pamiętaj aby zapisać kiedy otrzymałeś żądanie DSAR oraz kiedy spełniłeś prośbę.
Na wypadek potrzeby udowodnienia, że Twoja firma nie naruszyła zasad GDPR w tym aspekcie, możesz również zdecydować się prowadzić rejestr żądań DSAR, ale nie jest to bezwzględny obowiązek.
Weryfikacja wnioskującego
Bardzo ważne jest, abyś przed udzieleniem odpowiedzi na żądanie DSAR był pewien, że jego nadawcą jest osoba uprawniona.
Prawo dostępu jest prawem osobistym i teoretycznie powinno być inicjowane tylko przez osobę, której dane dotyczą, ale w praktyce RODO/UK GDPR może ona również przekazać to prawo osobie reprezentującą ją w ramach wykonywanego zawodu bądź działalności (np. przedstawicielowi związku zawodowego, prawnikowi).
Tożsamość osób można zweryfikować na wiele sposobów, np. poprzez:
- poproszenie ich o przedstawienie wniosku na piśmie wraz z kopiami oficjalnych dokumentów tożsamości, takich jak paszport, wyciąg bankowy, rachunek za media, rachunek za podatek lokalny, prawo jazdy itp.
- upewnienie się, że prośbę nadesłano z adresu e-mail, którego osoba używała do korespondencji z Tobą już wcześniej
- zatelefonowanie do wnioskodawcy na numer telefonu, który masz zapisany w swojej bazie danych
- zadawanie pytań zabezpieczających, na które tylko podmiot danych może znać odpowiedź.
Platformy DSAR
W ostatnim czasie powstało kilka platform internetowych umożliwiających osobom, których dane dotyczą, składanie żądań DSAR za ich pośrednictwem.
Przykładami takich firm są: TapMyData, Jumbo i Rightly.
Jednak pomimo, że są to wyspecjalizowane w żądaniach DSAR firmy, ważne jest, aby pozytywnie zweryfikować tożsamość osoby, której dane dotyczą oraz upewnić się, że jest ona w pełni poinformowana o tym, na czym polega proces DSAR.
Jako administrator danych zawsze też możesz – odpowiedzieć bezpośrednio osobie, której dane dotyczą, pominąwszy osobę reprezentanta.
W sytuacji, kiedy osoba trzecia lub organizacja zwraca się z żądaniem DSAR w imieniu osoby fizycznej, powinieneś sprawdzić, czy upoważnienie jest legalne.
Aby to zweryfikować możesz wysłać e-mail lub wykonać telefon do osoby, której dane dotyczą, z prośbą o potwierdzenie upoważnienia.
Jeśli już otrzymałeś żądanie DSAR oraz zweryfikowałeś tożsamość wnioskującego – dobrą praktyką jest list potwierdzający otrzymanie żądania wysłany do wnioskującego.
Choć nie jest to wymóg obowiązkowy, dzięki temu pokażesz podmiotowi danych, że w Twojej organizacji przykłada się dużą wagę do ochrony danych, a także jasno sprecyzujesz okres oczekiwania.
!Pamiętaj!
W Wielkiej Brytanii dzieci powyżej 13 roku życia mogą samodzielnie dysponować swoimi danymi osobowymi
W Polsce ta granica to lat 16
Dane osobowe, których dotyczy żądanie
Jeżeli przetwarzasz duże ilości danych osobowych dotyczących osoby, której dane dotyczą, możesz poprosić ją o określenie informacji lub czynności przetwarzania, których dotyczy jej żądanie.
Należy jednak zauważyć, że nie wpłynie to na jednomiesięczny termin na udzielenie odpowiedzi.
Niedopuszczalne jest wymaganie od wnioskodawcy zawężenia zakresu żądania, ale można poprosić go o podanie dodatkowych szczegółów, które pomogą w zlokalizowaniu poszukiwanych danych, tj. prawdopodobnych dat, kiedy mogło nastąpić jakiekolwiek przetwarzanie, lub nazwisk Twoich pracowników, z którymi podmiot miał kontakt.
Należy pamiętać, że osoba, której dane dotyczą ma prawo prosić o wszystko, co o niej masz.
Jeśli osoba, której dane dotyczą, nie udzieli konstruktywnych informacji, które mogłyby Ci pomóc, Ty nadal musisz spełnić jej żądanie.
Złożone, nadmierne i nieuzasadnione DSAR
Realizując prawa do dostępu danych osobowych nie możesz pobierać opłat od osoby wnioskującej.
Dopuszczalne jest jednakże, pobranie rozsądnej opłaty za koszty administracyjne udzielenia odpowiedzi na DSAR, jeśli żądanie to jest oczywiście bezzasadne, nadmierne, lub jeśli zażądano dalszych kopii.
Wszelkie opłaty powinny opierać się na rozsądnych kosztach administracyjnych, a osoba, której dane dotyczą, powinna być bezzwłocznie powiadomiona o decyzji o ich naliczeniu i ich wysokości.
Inną dostępną opcją, w sytuacji skomplikowanego bądź nieuzasadnionego żądania – jest odmowa jego spełnienia.
Decyzja o powyższym powinna być podejmowana indywidualnie dla każdego przypadku, a uzasadnienie powinno być jasno udokumentowane na wypadek, gdyby trzeba było to wykazać ICO lub sądom.
Przykłady żądań DSAR, które mogą być oczywiście bezzasadne – zdaniem ICO to:
- osoba fizyczna wnioskując o DSAR ma ewidentnie inny zamiar, niż uzyskanie dostępu do danych, np: osoba fizyczna składa wniosek, ale potem proponuje wycofanie go w zamian za jakąś formę korzyści od organizacji;
- osoba fizyczna wyraźnie oświadczyła w samej prośbie lub w innych komunikatach, że zmierza do spowodowania utrudnień w organizacji;
- wniosek zawiera bezpodstawne oskarżenia przeciwko firmie lub jej pracownikom;
- podmiot danych celuje w konkretnego pracownika, do którego ma osobistą urazę;
- osoba fizyczna systematycznie wysyła do Firmy różne żądania, ewidentnie w celu zakłócenia normalnej działalności administratora.
Jeśli chcesz polegać na fakcie, że wniosek jest ewidentnie nieuzasadniony lub nadmierny, musisz powiadomić wnioskodawcę i szczegółowo wyjaśnić powody, wyjaśnić jego prawo do złożenia skargi do ICO oraz prawo do odwołania się do sądu w celu wyegzekwowania swoich praw.
Takie powiadomienia należy przesyłać bez zbędnej zwłoki maksymalnie w czasie jednego miesiąca.
Ogólne zasady dotyczące danych osobowych osób trzecich
Będą sytuacje, w których pozyskiwanie i udostępnianie danych osobowych osoby, której dane dotyczą, obejmie również dane osobowe innych stron, takich jak członkowie rodziny, pracownicy, którzy mieli do czynienia z osobą, osoby, które postawiły jej zarzuty itp.
Identyfikując dane osobowe strony trzeciej, należy zachować równowagę między prawem żądającego dostępu a ochroną danych, prywatnością lub innymi prawami strony trzeciej.
Nie musisz podawać informacji dotyczących stron trzecich, chyba że strona trzecia wyraziła zgodę na ujawnienie lub uzasadnione jest podanie informacji bez zgody tej osoby.
ICO dodaje, że przy określaniu, czy uzasadnione jest ujawnienie takich informacji, należy wziąć pod uwagę wszystkie istotne okoliczności, w tym:
- rodzaj informacji, które chcesz ujawnić;
- wszelkie zobowiązania do zachowania poufności, które jesteś winien drugiej stronie;
- wszelkie kroki podjęte w celu uzyskania zgody osoby trzeciej;
- jakakolwiek wyraźna odmowa zgody drugiej strony.
Treści poufne
Prawo dostępu wynikające z żądania DSAR niekoniecznie ma pierwszeństwo przed innymi prawami lub interesami.
Podstawą odmowy udostępnienia danych może być poufność innych informacji.
Pamiętać jednak należy, że samo dodanie banera “POUFNE” do dokumentu lub oznaczenie wiadomości e-mail jako takiej – nie musi oznaczać, że treść jest poufna.
Należy dokonać indywidualnej oceny treści.
Aby coś było poufne, musi mieć cechę poufności dla wszystkich wtajemniczonych stron, np:
- szczegółowe informacje dotyczące poufnych informacji skarżącego, które pozwoliłyby zidentyfikować ich źródło;
- informacje, które mogą zagrozić tajemnicom handlowym (takie jak tajemnice firmy, stawki handlowe, własność intelektualna itp.);
- informacje zebrane w ramach poufnej relacji (np. lekarz i pacjent, prawnik i klient);
- informacje objęte umową o zachowaniu poufności.
Podsumowanie
Odpowiadając na żądanie DSAR nie należy zapominać, że prawo dostępu obejmuje nie tylko dostarczanie informacji, ale zawiera również potwierdzenie szczegółów i charakteru przetwarzania.
Wszystkie informacje musisz przekazać w sposób zrozumiały, w zwięzłej, przejrzystej i łatwo dostępnej formie, używając jasnego i prostego języka, tak aby treść była zrozumiała dla przeciętnego człowieka.
