Prawo dostępu do danych

prawo dostępu do danychCzego dotyczy prawo dostępu do danych?

Prawo dostępu do danych jest jednym z praw przysługujących każdej osobie, której dane dotyczą, na gruncie przepisów RODO. W ramach tego prawa, zgodnie z art. 15 RODO, podmiot danych może uzyskać od administratora danych informację, czy jego dane są przez niego przetwarzane. Jeżeli tak, to jest on uprawniony do uzyskania dostępu do tych danych, a także informacji w zakresie:

  • celów przetwarzania danych osobowych;
  • kategorii danych osobowych nas dotyczących, które są przetwarzane;
  • odbiorców, którym dane osobowe są lub będą udostępniane;
  • okresu przechowywania danych osobowych przez administratora;
  • przysługujących nam praw do: sprostowania lub usunięcia danych osobowych, do ograniczenia ich przetwarzania, do wniesienia sprzeciwu wobec przetwarzania oraz do wniesienia skargi do odpowiedniego organu nadzorczego (w Polsce jest to Prezes Urzędu Ochrony Danych Osobowych);
  • wszelkich dostępnych informacji o źródle naszych danych osobowych, jeżeli nie uzyskano ich od osoby, której dane dotyczą;
  • podejmowania zautomatyzowanych decyzji, w tym profilowania, w szczególności informacji o zasadach ich podejmowania oraz możliwych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Dodatkowo w sytuacji, kiedy administrator przekazuje dane osobowe do państwa trzeciego lub organizacji międzynarodowej, osobie, której dane dotyczą, przysługuje prawo do uzyskania informacji na ten temat. W tym informacji o odpowiednich zabezpieczeniach, jakie muszą być zapewnione w związku z takim przekazaniem.

W ścisłym sensie wskazany wyżej dostęp do danych oznacza, że w miarę możliwości administrator danych powinien móc udzielić podmiotowi danych, np. zdalnego dostępu do bezpiecznego systemu, bądź umożliwić mu wgląd w swoje dane w inny sposób, np. przez zapoznanie się z dokumentem w siedzibie administratora lub wgląd do danych wyświetlanych na ekranie. Celem tego jest umożliwienie osobie, której dane dotyczą, bezpośredniego dostępu do jej danych (ustalenie jakie dane przetwarza administratora), co pozwala m.in. zweryfikować ich zakres i poprawność.

Prawo dostępu do danych powinno być uwzględniane przez administratora już w fazie projektowania procesów przetwarzania. Zgodnie z motywem 63 RODO realizacja tego prawa powinna być łatwa i możliwa w dowolnym momencie. Pozwala ono bowiem na zapewnienie dostępu do informacji i weryfikacji zgodności przetwarzania z prawem przez osobę, której dane dotyczą.

Uzyskanie kopii danych

Z prawem dostępu do danych wiąże się także możliwość uzyskania przez podmiot danych kopii swoich danych osobowych przetwarzanych przez administratora. Oznacza to, że podmiot danych ma prawo wnioskować o uzyskanie od administratora kopii wszelkich danych osobowych, jakie administrator na jego temat przetwarza, a administrator ma obowiązek taką kopię udostępnić.

Udostępnienie kopii danych jest tematem problematycznym i wymaga od administratora odpowiedniej analizy w każdym indywidualnym przypadku. To na administratorze ciąży bowiem obowiązek takiego udostępnienia kopii danych, które będzie z jednej strony realizowało prawo dostępu do danych. Z drugiej zaś strony nie będzie stwarzało zagrożenia dla bezpieczeństwa danych, ani praw i wolności innych osób.

Przykładowo, odnosząc się do decyzji Prezesa UODO nr. DS.523.4826.2020, w sytuacji udostępnienia danych utrwalonych w formie nagrania, administrator może zadecydować o udostępnieniu ich w formie kopii nagrania lub kopii danych zawartych na nagraniu. Jeżeli jednak nagranie obejmuje głos (jak w przypadku wskazanym w ww. decyzji), administrator staje przed dylematem – w jaki sposób udostępnić takie dane (głos niewątpliwie należy do danych osobowych, szczególnie w powiązaniu z innymi danymi), jeżeli na nagraniu słyszalny jest też głos oraz inne dane osoby trzeciej. W takiej sytuacji to po stronie administratora leży znalezienie odpowiedniego rozwiązania, które pozwoli udostępnić nagranie rozmowy. Nie może on bowiem odmówić realizacji prawa dostępu tylko dlatego, że mogłoby ono kolidować z prawami innych osób, jeżeli istnieje możliwość udostępnienia tych danych w sposób, który taką kolizję minimalizuje. Jednym z najbardziej dostępnych sposobów – który wskazał Prezes UODO – jest wykorzystanie programu pozwalającego na edycję materiałów audio, w tym na wycięcie głosów innych osób lub ich modyfikację.

Kopia danych, a orzeczenie TSUE

Przy okazji omawiania zagadnienia kopii danych, należy też zwrócić uwagę na orzeczenie C-487/21 Trybunału Sprawiedliwości Unii Europejskiej, w którym wskazane zostało, że prawo do uzyskania kopii danych osobowych może wymagać przekazania osobie, której dane dotyczą, nie tylko kopii tych danych, ale również kopii wyciągów z dokumentów lub całych dokumentów lub wyciągów z baz danych zawierających dane osobowe. Zdaniem TSUE art. 15 ust. 3 RODO należy interpretować w taki sposób, że: „prawo do uzyskania od administratora kopii danych osobowych podlegających przetwarzaniu oznacza przekazanie osobie, której dane dotyczą, wiernej i zrozumiałej kopii wszystkich oryginałów tych danych. Prawo to obejmuje prawo do uzyskania kopii fragmentów dokumentów lub całych dokumentów, lub też wyciągów z baz danych, które zawierają między innymi te dane, jeżeli dostarczenie takiej kopii jest niezbędne do umożliwienia osobie, której dane dotyczą, skutecznego wykonywania praw przyznanych jej przez to rozporządzenie, przy czym wymaga podkreślenia, że należy w tym względzie uwzględnić prawa i wolności innych osób.” oraz, że ” pojęcie „informacji”, o którym mowa w tym przepisie, odnosi się wyłącznie do danych osobowych, których kopię administrator musi dostarczyć zgodnie ze zdaniem pierwszym tego ustępu”. Ze wskazanego wyroku wynika zatem, że o ile co do zasady prawo dostępowe dotyczy tylko danych osobowych (treści), to niekiedy realizacja celu tego prawa wymagać będzie udostępnienia również nośnika danych, tj. kopii fragmentów dokumentów lub całych dokumentów albo wyciągów z baz danych. Taki sposób konieczny będzie jednak jedynie w sytuacji, gdy będzie to niezbędne do umożliwienia osobie, której dane dotyczą, skutecznego wykonywania jej praw przewidzianych przez RODO, co może wymagać, np. ustalenia kontekstu przetwarzania.

Udzielenie odpowiedzi na żądanie

Niezależnie jednak od tego, czy administrator będzie realizował jedynie prawo dostępu sensu stricto – czyli przekazywał ww. informacje o przetwarzaniu danych, umożliwiał wgląd w dokumenty, czy też będzie realizował też prawo do uzyskania kopii danych, odpowiedź na żądanie należy udzielić w formie wskazanej przez wnioskodawcę. Jeżeli natomiast osoba, której dane dotyczą, nie wskazała preferowanej formy uzyskania odpowiedzi, administrator powinien udzielić jej tym samym kanałem komunikacji, których wpłynął wniosek. Jeżeli więc osoba, która zwraca się z prośbą o uzyskanie kopii, robi to drogą elektroniczną i nie zaznaczy innej preferowanej drogi uzyskania odpowiedzi, administrator ma obowiązek dostarczenia takiej kopii drogą elektroniczną w formacie, który pozwoli na odczytanie zawartości bez konieczności posiadania specjalnego oprogramowania.

Osoba, która wystąpiła z żądaniem dostępu do danych, powinna zgodnie z RODO otrzymać odpowiedź od administratora danych w ciągu miesiąca. Administrator może wydłużyć ten termin maksymalnie o dwa kolejne miesiące. Udzielając odpowiedzi w ciągu miesiąca z informacją o potrzebie przedłużenia terminu realizacji żądania. Podając przy tym powód opóźnienia, jeżeli przedłużenie takie jest uzasadnione skomplikowanym charakterem żądania lub liczbą żądań.

Weryfikacja tożsamości

Warto też podkreślić, że z perspektywy administratora przy realizacji prawa dostępu do danych, kluczowe jest zweryfikowanie tożsamości osoby wnioskującej. W przeciwnym razie mogłoby dojść do utraty poufności danych, co stanowiłoby niewątpliwie naruszenie ochrony danych osobowych.  Weryfikacja tożsamości może odbyć się na podstawie informacji zawartych w samym wniosku. Jeżeli jednak dane te nie pozwalają na jednoznaczną identyfikację wnioskodawcy, to zgodnie z Wytycznymi 01/2022 dotyczącymi praw osób, których dane dotyczą, przyjętymi przez Europejską Radę Ochrony Danych 28 marca 2023 r., administrator może żądać dodatkowych informacji od osoby domagającej się dostępu do danych. Należy jednak pamiętać, że dodatkowe informacje muszą być proporcjonalne do rodzaju przetwarzanych danych, w sposób, który nie będzie prowadził do gromadzenia nadmiarowych danych, potęgując tym samym ryzyko w razie naruszenia ich bezpieczeństwa.

Przy żądaniu dostępu do danych należy też pamiętać, że udzielając odpowiedzi na żądanie podmiotu danych, administrator ma obowiązek brać pod uwagę bezpieczeństwo danych osobowych również innych osób, a także ich prawa i wolności w myśl art. 15 ust. 4 RODO. Według wytycznych EROD, nie oznacza to, że może on całkowicie odmówić realizacji żądania dostępu, a jedynie pominąć lub uniemożliwić odczyt tej części danych, która może mieć negatywny wpływ na prawa i wolności innych osób. Administrator ma prawo pobrać stosowną opłatę za każdą kolejną kopię, o którą zwróci się podmiot danych w związku z kosztami administracyjnymi.

Podsumowanie

Prawo dostępu do danych jest jednym z częściej wykorzystywanych przez podmioty danych uprawnień. Pozwala ono nie tylko zaspokoić ciekawość na temat tego, kto przetwarza ich dane osobowe, ale też w jakim zakresie to robi. Często realizacja tego prawa stanowi też pierwszy krok do dalszych działań ze strony podmiotu danych, np. żądania sprostowania albo usunięcia danych osobowych.

Warto zwrócić uwagę, że prawo dostępu do danych nie ma charakteru jednolitego. Zakres obowiązków administratora będzie uzależniony od treści wniosku podmiotu danych, który według swojego uznania może żądać od : 1) dostępu  do danych (wglądu w dane), 2) przekazania informacji dotyczących przetwarzania, 3) przekazania mu kopii jego danych osobowych. Może on skorzystać ze wszystkich tych uprawnień lub jedynie z wybranych z nich. Z  perspektywy administratora właściwa realizacja ww. uprawnień wymaga dostosowania procesów przetwarzania w taki sposób, aby mógł on z łatwością zweryfikować posiadane zasoby i sprawdzić, czy znajdują się w nich dane konkretnej osoby.  Musi być on też w stanie opracować i udostępnić kopie przetwarzanych danych osobowych.