PRAWDZIWE OBLICZE RODO: Poznaj swoje prawa

AUTOR: RADCA PRAWNY KRZYSZTOF ŻABIŃSKI

W dzisiejszym artykule przyjrzymy się prawom, które RODO przyznaje osobom, których dane są przetwarzane. Odnoszę wrażenie, że mimo upływu ponad trzech lat od wejścia w życie rzeczonego rozporządzenia, przyznawane przez nie prawa wciąż są słabo znane w społeczeństwie lub błędnie interpretowane. Czym właściwie jest prawo do informacji i kiedy powinniśmy zostać poinformowani o przetwarzaniu naszych danych osobowych? Jak działa prawo do bycia zapomnianym? Czy mogę ubiegać się o kopię danych osobowych, które są przetwarzane? A może mam przy tym prawo domagać się wydania kopii wszelkich dokumentów zawierających te dane? Na łamach niniejszego wpisu postaram się udzielić odpowiedzi na część z wciąż żywych pytań. Zważywszy jednak na to, że katalog praw jest dość obszerny, w artykule skupię się na ich wymienieniu, a dokładniejszej analizie poddam jedynie trzy z nich[1].

Słowo wstępu

Przedstawienie poszczególnych praw przysługujących osobom, których dane dotyczą, należy zacząć od uwagi, że RODO w art. 12 ust. 1 nakłada na administratora obowiązek udzielania informacji oraz prowadzenia komunikacji z taką osobą w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Rozporządzenie dopuszcza udzielanie informacji w formie pisemnej lub w inny sposób, w tym w stosownych przypadkach – elektronicznie, a także ustnie, jeżeli osoba, której dane dotyczą, tego zażąda. Warunkiem udzielenia informacji w ostatni ze wskazanych sposobów jest jednak potwierdzenie tożsamości takiej osoby przez administratora.

UWAGA: Z uwagi na brzmienie omawianego przepisu wśród niektórych administratorów panuje przeświadczenie, że samo umieszczenie określonych informacji na stronie internetowej, zwalnia ich z konieczności informowania poszczególnych osób, których dane dotyczą o dokonywanym przetwarzaniu. Czy postępowanie takie jest prawidłowe? Moim zdaniem nie, ponieważ w motywie pięćdziesiątym ósmym preambuły rozporządzenia wyjaśniono, iż „Informacje te mogą być przekazywane w formie elektronicznej, na przykład za pomocą strony internetowej, gdy są kierowane do ogółu społeczeństwa. Dotyczy to w szczególności sytuacji, gdy duża liczba podmiotów i złożoność technologiczna działań sprawiają, że osobie, której dane dotyczą, trudno jest dowiedzieć się i zrozumieć, czy dotyczące jej dane osobowe są zbierane, przez kogo oraz w jakim celu, na przykład w przypadku reklamy w Internecie”.

Samo zatem opublikowanie ogólnej klauzuli informacyjnej o przetwarzaniu danych osobowych czy polityki prywatności na stronie internetowej nie zwalnia administratora z obowiązków informacyjnych względem konkretnych osób, których dane osobowe przetwarza. Określenie „elektronicznie” użyte w art. 12 ust. 1 RODO należy raczej rozumieć jako możliwość przekazania – w pewnych sytuacjach wymaganych przez rozporządzenie – informacji osobie, której dane dotyczą, na przykład za pośrednictwem e-maila[2].

Do art. 12 RODO jeszcze wrócimy w dalszej części artykułu.

Katalog praw

RODO przyznaje osobom, których dane dotyczą następujące prawa:

• Prawo do informacji (art. 13 i art. 14 rozporządzenia);
• Prawo dostępu do danych osobowych (art. 15 rozporządzenia);
• Prawo do sprostowania danych (art. 16 rozporządzenia);
• Prawo do usunięcia danych – prawo do bycia zapomnianym (art. 17 rozporządzenia);
• Prawo do ograniczenia przetwarzania (art. 18 rozporządzenia);
• Prawo do otrzymania informacji o sprostowaniu, usunięciu lub ograniczeniu przetwarzania (art. 19 rozporządzenia);
• Prawo do przeniesienia danych osobowych (art. 20 rozporządzenia);
• Prawo do zgłoszenia sprzeciwu (art. 21 rozporządzenia);
• Prawo do niepodlegania zautomatyzowanym decyzjom (art. 22 rozporządzenia);
• Prawo do informacji o naruszeniu ochrony danych osobowych (art. 34 rozporządzenia)[3].

Prawo do informacji

RODO nakłada na administratora obowiązek poinformowania osoby, której dane są przetwarzane, między innymi o: swojej tożsamości i danych kontaktowych, danych kontaktowych inspektora ochrony danych (jeżeli został wyznaczony), celach przetwarzania danych osobowych  i podstawie prawnej przetwarzania, okresie, przez który dane będą przechowywane czy prawie do wniesienia skargi. RODO kreuje przy tym dwa różne obowiązki, a mianowicie obowiązek informacyjny względem osób, których dane dotyczą, jeżeli dane osobowe zbierane są od tej osoby (art. 13 rozporządzenia) oraz jeżeli danych osobowych nie pozyskano od osoby, której dane dotyczą (art. 14 rozporządzenia).

W pierwszym przypadku informacji należy udzielić podczas pozyskiwania danych osobowych. W drugim natomiast rozporządzenie nakazuje udzielić informacji:

• w rozsądnym terminie po pozyskaniu danych osobowych – najpóźniej w ciągu miesiąca;
• jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą – najpóźniej przy pierwszej takiej komunikacji z osobą, której dane dotyczą;
• jeżeli planuje się ujawnić dane osobowe innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu.

Od obowiązku przekazania informacji przewidziane są oczywiście wyjątki. Wspólnym wyjątkiem dla obu przypadków jest sytuacja, kiedy osoba, której dane dotyczą, dysponuje już tymi informacjami. Z tego względu praktyka niektórych administratorów polegająca na załączaniu klauzuli informacyjnej do każdego pisma kierowanego w tej samej sprawie do tej samej osoby stanowi pewną nadgorliwość i jest niepotrzebna, nie wspominając już o tym, że generuje całkowicie niepotrzebne koszty po stronie administratora.

Poza tym udzielenie informacji o przetwarzaniu danych osobowych osobie, od której ich nie pozyskano, nie jest konieczne jeżeli:

• udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku;
• pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator;
• dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii lub w prawie państwa członkowskiego.

Prawo dostępu do danych osobowych

Na łamach niniejszego artykułu prawo dostępu do danych osobowych omówione zostanie w kontekście uprawnienia, które swego czasu wywołało sporo wątpliwości po stronie administratorów. Chodzi mianowicie o prawo uzyskania kopii danych osobowych.

Artykuł 15 ust. 3 zdanie pierwsze RODO stanowi, że administrator dostarcza osobie, której dane dotyczą, kopię danych osobowych podlegających przetwarzaniu.

Na łamach tego przepisu pojawiają się dwa problemy związane z praktycznym jego stosowaniem. Pierwszy – czy administrator ma obowiązek przekazać kopię danych z własnej inicjatywy każdej osobie, której dane przetwarza, czy może tylko konkretnej osobie, która zwróci się ze stosownym żądaniem? Drugi – czy administrator ma obowiązek udostępnić osobie, której dane dotyczą, kopie dokumentów lub innych nośników informacji, na których zgromadzone są jej dane osobowe?

Odnosząc się do pierwszego z pytań należy pamiętać, że choć przepis brzmi dość kategorycznie, to kreuje on uprawnienie, które jest jednym z elementów prawa dostępu do danych osobowych. Prawo to jest realizowane na żądanie osoby, której dane dotyczą. Z tego względu należy przyjąć, że obowiązek administratora powstaje dopiero w momencie skierowania do niego konkretnego żądania przez osobę, której dane są przetwarzane, zwłaszcza że osoba taka może ograniczyć swoje uprawnienie jedynie do uzyskania wglądu do danych[4].

W drugim przypadku Prezes UODO wyraźnie stwierdził, iż udostępnienie kopii danych zawartych w dokumentach, zgodnie z art. 15 ust. 3 RODO, nie jest równoznaczne z obowiązkiem udostępnienia kopii dokumentów. Administrator nie ma bowiem obowiązku udostępniania osobie zainteresowanej nośnika, na którym przetwarzane są dane osobowe oraz danych, które nie stanowią danych osobowych w rozumieniu art. 4 pkt 1 RODO i nie dotyczą wnioskującego. Realizując obowiązek wynikający z art. 15 ust. 3 RODO, administrator może poprzestać na wskazaniu treści danych dotyczących osoby, z wyłączeniem pozostałych informacji zawartych na nośniku[5].

Co więcej trzeba pamiętać, że pierwszą kopię danych administrator musi udostępnić nieodpłatnie. Za wszelkie kolejne kopie administrator może pobrać opłatę w rozsądnej wysokości wynikającej z kosztów administracyjnych (art. 15 ust. 3 zdanie drugie RODO).

Prawo do bycia zapomnianym

Prawo do usunięcia danych („prawo do bycia zapomnianym”) padło ofiarą częstego, błędnego przekonania, że sama tylko wola osoby, której dane są przetwarzane, implikuje w każdej sytuacji obowiązek administratora do trwałego zaprzestania przetwarzania jej danych osobowych oraz trwałego ich usunięcia.

A jak ma się mit do rzeczywistości?

RODO w art. 17 ust. 1 stanowi, że osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, ale tylko jeżeli zachodzi jedna z następujących okoliczności:

• dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
• osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie zgodnie i nie ma innej podstawy prawnej przetwarzania;
• osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 RODO[6];
• dane osobowe były przetwarzane niezgodnie z prawem;
• dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator;
• dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust. 1[7].

Ponadto RODO wprowadza pewne wyjątki od prawa do bycia zapomnianym. Zgodnie z art. 17 ust. 3 rozporządzenia administrator nie ma obowiązku usuwania danych osobowych, mimo zgłoszonego żądania, w zakresie w jakim przetwarzanie jest niezbędne:

• do korzystania z prawa do wolności wypowiedzi i informacji;
• do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
• z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego;
• do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych[8]; lub
• do ustalenia, dochodzenia lub obrony roszczeń.

Prawo do usunięcia danych nie ma zatem charakteru bezwzględnego i tak naprawdę realizowane może być tylko w konkretnych okolicznościach wyznaczonych ściśle przepisami rozporządzenia, a nie swobodną decyzją osoby, której dane są przetwarzane.

Kto za to wszystko zapłaci?

Zarówno wykonywanie obowiązków informacyjnych, o których mowa w art. 13 i art. 14 RODO, jak też komunikacja prowadzona z osobą, której dane dotyczą przy wykonywaniu jej praw, o których mowa w art. 15 – art. 22 i art. 34 RODO generuje koszty po stronie administratora. Te w zależności od wielu różnych okoliczności (jak choćby zakres i częstotliwość zgłaszanych żądań) będą większe lub mniejsze. Nadto odpowiadanie na poszczególne żądania osób, których dane dotyczą, zawsze wiąże się z koniecznością wygospodarowania przez administratora czasu, który w innych okolicznościach mógłby być spożytkowany na główny przedmiot jego działalności. W tej sytuacji logicznym i w pełni uzasadnionym jest pytanie, czy administrator może pobierać za to od osób, których dane dotyczą, stosowne opłaty za wykonywanie obowiązków informacyjnych lub prowadzoną komunikację?

Odpowiedzi na nie udzielają dwa przepisy, a mianowicie art. 12 ust. 5 oraz wspomniany wcześniej art. 15 ust. 3 zdanie drugie RODO.

Artykuł 12 ust. 5 RODO stanowi, że informacje podawane na mocy art. 13 i art. 14 oraz komunikacja i działania podejmowane na mocy art. 15-22 i art. 34 są wolne od opłat. Zasadą jest zatem, że od osoby, której dane dotyczą nie wolno pobierać żadnych należności za realizację żadnego z jej praw ustanowionych w art. 13 – art. 22 i art. 34 rozporządzenia.

No dobrze, a co w sytuacji, kiedy administrator trafi na osobę, która będzie w regularnych odstępach czasu składać coraz to nowe żądania, zasypując go powtarzalnymi lub niezasadnymi wnioskami i powodując ryzyko zastoju głównej działalności administratora? Sytuacje takie zdarzają się przecież niekiedy przy korzystaniu przez niektóre osoby z prawa dostępu do informacji publicznej.

Na szczęście prawodawca unijny przewidział taką sytuację, albowiem wspomniany art. 12 ust. 5 RODO stanowi również, że jeżeli żądania osoby, której dane dotyczą, są ewidentnie nieuzasadnione lub nadmierne, w szczególności ze względu na swój ustawiczny charakter, administrator może pobrać rozsądną opłatę, uwzględniając administracyjne koszty udzielenia informacji, prowadzenia komunikacji lub podjęcia żądanych działań, albo odmówić podjęcia działań w związku z żądaniem. Należy jednak pamiętać, że obowiązek wykazania, iż żądanie ma ewidentnie nieuzasadniony lub nadmierny charakter, spoczywa na administratorze.

Reasumując

Zagadnienie praw przyznawanych osobom, których dane dotyczą nie należy do łatwych. Jednakże jego dobre zrozumienie przez administratorów jest kluczowe dla prawidłowego stosowania rozporządzenia. To właśnie z wykonywania obowiązków informacyjnych oraz zagwarantowania osobom, których dane są przetwarzane, realizacji pozostałych praw przyznanych im przez RODO, administrator będzie rozliczany w przypadku ewentualnego postępowania przed Prezesem UODO. Zadania nie ułatwia również fakt, że wymogi stawiane administratorom, by podawali informacje i prowadzili komunikację w zwięzły sposób, zrozumiałym i prostym językiem, wydają się trudne (o ile w ogóle możliwe) do zrealizowania. Co można zrobić w takiej sytuacji? Na pewno dążyć do podnoszenia własnej wiedzy w temacie oraz weryfikować krążące mity na temat RODO przed podjęciem decyzji. Jak bowiem widzicie Państwo po lekturze niniejszego artykułu, czarna legenda narosła wokół niektórych uprawnień osób, których dane są przetwarzane, niewiele ma wspólnego z rzeczywistością. Z drugiej jednak strony wybiórcze czytanie rozporządzenia może doprowadzić do niewłaściwego wykonywania przez administratora nakładanych na niego obowiązków lub niewykonywania ich w ogóle.

[1] Szersze omówienie wszystkich praw przyznawanych przez RODO osobom, których dane są przetwarzane, wykraczałoby daleko poza ramy jednego artykułu chociażby z uwagi na samą objętość przepisów, które te prawa przyznają, nie wspominając już o komentarzach przedstawicieli doktryny czy własnych spostrzeżeniach autora.

[2] Tytułem ciekawostki warto wspomnieć, że w doktrynie prawniczej zauważono, iż obowiązek kreowany przez omawiany przepis nie jest tak naprawdę łatwy w praktycznym jego realizowaniu. Przede wszystkim z uwagi na język, którym posługuje się samo rozporządzenie, bardzo trudny do przedstawienia go w postaci prostych komunikatów. Zachodzi tu pewien paradoks polegający na tym, że prawodawca unijny zdaje się stawiać przez administratorem cel, którego do końca sam nie był w stanie zrealizować; patrz: P. Fajgielski [w:] Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, Warszawa 2018 oraz J. Łuczak [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, red. E. Bielak-Jomaa, D. Lubasz, Warszawa 2018, art. 12.

[3] Oprócz praw przedstawionych w niniejszym artykule, RODO przyznaje jeszcze osobom, których dane są przetwarzane prawo do wniesienia skargi do organu nadzorczego, prawo do ochrony prawnej przed sądem przeciwko organowi nadzorczemu, prawo do ochrony prawnej przed sądem przeciwko administratorowi lub podmiotowi przetwarzającemu oraz prawo do odszkodowania (art. 77 – 79 i art. 82 rozporządzenia). Zważywszy jednak na to, że nie są one skorelowane z obowiązkiem określonego działania po stronie administratora na rzecz osoby, której dane dotyczą, zostaną pominięte w tym artykule. Kwestie ochrony sądowej będą zaś tematem odrębnego wpisu, poświęconego tylko temu zagadnieniu.

[4] Na takim stanowisku stanęli też niektórzy komentatorzy, patrz: P. Fajgielski, op. cit.

[5] Patrz: decyzja Prezesa UODO ZSZZS.440.660.2018, https://uodo.gov.pl/pl/331/826

[6] RODO wyróżnia dwa rodzaje prawa do sprzeciwu wobec przetwarzania danych osobowych, a mianowicie: prawo do sprzeciwu wywołane szczególną sytuacją osoby, której dane dotyczą (art. 21 ust. 1 RODO) – sprzeciw na tej podstawie można wnieść, jeżeli przetwarzanie danych osobowych odbywa się na podstawie art. 6 ust. 1 lit e RODO (wykonywanie zadania publicznego lub sprawowanie władzy publicznej) lub art. 6 ust. 1 lit f RODO (realizowanie prawnie uzasadnionych interesów administratora), a także prawo do sprzeciwu wobec przetwarzania danych osobowych na potrzeby marketingu bezpośredniego (art. 21 ust. 2 RODO). Sprzeciw wniesiony na podstawie art. 21 ust. 1 RODO nie zawsze ma charakter wiążący i nie zawsze będzie powodował obowiązek usunięcia danych. Administrator może bowiem dalej przetwarzać dane osobowe mimo wniesionego sprzeciwu, jeżeli wykaże on istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń. Sprzeciw wniesiony na podstawie art. 21 ust. 2 RODO jest bezwzględnie wiążący dla administratora i zawsze pociąga za sobą obowiązek usunięcia danych osobowych.

[7] Art. 8 ust. 1 RODO kreuje warunki wyrażenia zgody przez dziecko w przypadku usług społeczeństwa informacyjnego. Zagadnienie to nie będzie jednak omawiane na łamach cyklu „Prawdziwe oblicze RODO”. Osobom zainteresowanym poszerzeniem wiedzy w tym zakresie wskazuję, że definicja „usług społeczeństwa informacyjnego” została zawarta w Dyrektywie (UE) 2015/1535 Parlamentu Europejskiego i Rady z dnia 9 września 2015 r. ustanawiającej procedurę udzielania informacji w dziedzinie przepisów technicznych oraz zasad dotyczących usług społeczeństwa informacyjnego (ujednolicenie) (Dz. U. UE. L. z 2015 r. Nr 241, str. 1).

[8] Przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych musi odbywać się zgodnie z art. 89 ust. 1 RODO, a ponadto musi zachodzić prawdopodobieństwo, że realizacja prawa do bycia zapomnianym uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania.

RADCA PRAWNY KRZYSZTOF ŻABIŃSKI

ukończył studia prawnicze na Uniwersytecie Szczecińskim. Następnie odbył aplikację radcowską w Okręgowej Izbie Radców Prawnych w Koszalinie, a w 2017 r. uzyskał uprawnienia do wykonywania zawodu.

Przed wpisem na listę radców prawnych i otwarciem własnej kancelarii pracował w kancelarii notarialnej, w sądzie jako asystent sędziego, a później w kancelarii innego radcy prawnego. W roku akademickim 2018/2019 ukończył studia podyplomowe z ochrony danych osobowych na Uniwersytecie Gdańskim.

Obecnie specjalizuje się w sprawach z zakresu ochrony danych osobowych, kredytów walutowych, odszkodowania i zadośćuczynienia wskutek wypadków komunikacyjnych, sporów gospodarczych miedzy przedsiębiorcami, sporów dotyczących współwłasności, a także prawa rodzinnego. Posługuje się również językiem angielskim na poziomie C1.

Więcej: klik.