RODO: Wyzwania związane z realizacją praw osób, których dane dotyczą
Realizacja praw osób, których dane dotyczą, nadal stanowi spore wyzwanie dla wielu administratorów danych. Aby się z nim zmierzyć, potrzebna jest nie tylko bardzo dobra znajomość RODO i innych przepisów w zakresie ochrony danych osobowych, ale również umiejętność indywidualnej oceny czy prawa te mogą zostać zrealizowane oraz odpowiednie komunikowanie tych informacji osobom, których dane są przetwarzane. Wskazówki na co warto zwrócić uwagę, aby efektywnie realizować obowiązki wynikające z RODO, znajdziesz w LEX Ochrona Danych Osobowych.
Na trudność realizacji praw osób, których dane dotyczą, wpływa różnorodność i zakres żądań. Każde z nich wymaga indywidualnej oceny, która w praktyce może sprawiać trudności administratorom. A wynika to z faktu, że prawo żądania nie zawsze równa się prawu realizacji tego żądania.
Kiedy realizować żądania osób, których dane dotyczą?
Usunięcie danych bądź wydanie kopii danych - to najczęściej występujące w praktyce żądania, z którymi spotykają się administratorzy. Jednym z kluczowych obowiązków administratora przy realizacji takiego wniosku jest prawidłowa weryfikacja tożsamości osoby, której dane dotyczą (w przypadku, gdy jest ona osobą zgłaszającą żądanie).
Typowym przypadkiem jest otrzymanie żądania od osoby, której nie ma w bazie organizacji. Prośba o udzielenie informacji o imieniu, nazwisku czy miejscu zamieszkania, to za mało, aby można było mówić o prawidłowej weryfikacji osoby, której dane dotyczą (mogą być one przecież powszechnie znane). Wytyczne Prezesa Urzędu Ochrony Danych Osobowych wskazują, że należy zapytać o dane, które będą szczegółowe. Mogą być nimi np. okoliczności związane z przetwarzaniem danych osobowych. Bez prawidłowej identyfikacji i weryfikacji osoby, której dane są przetwarzane, niemożliwe jest przejście do realizacji żądania.
Nierzadko administratorzy spotykają się również z żądaniami dotyczącymi nagrań z monitoringu wizyjnego, które obejmują nie tylko osobę zainteresowaną, ale również osoby postronne. W momencie, w którym udostępnimy nagranie innej osobie, niż tej której dane dotyczą, dojdzie do naruszenia ochrony danych osobowych. Jest to istotne, zwłaszcza gdy nagranie obejmuje sprawcę czynu zabronionego. Za poprawne działanie uznaje się zabezpieczenie nagrania i udostępnienie uprawnionym do tego organom na ich wniosek.
Jak realizować żądania osób, których dane dotyczą?
Mimo różnorodności żądań, można wypracować pewien jednolity zbiór zasad ich realizacji. Dobre praktyki, bo o nich mowa, sprawdzą się w każdym przypadku - począwszy od żądania usunięcia danych, kończąc na sprzeciwie.
Używaj prostego i zrozumiałego języka
Odpowiednia komunikacja z osobą, której dane dotyczą, pozwoli na skuteczne realizowanie jej praw. Dopiero w momencie, w którym osoba ta otrzyma jasny komunikat, będzie wiedziała jaki efekt przyniosło jej działanie. Ma to szczególne znaczenie w przypadku uzasadnień odmowy realizacji żądania.
Realizuj / odmawiaj realizacji żądania bez zbędnej zwłoki
Przepisy RODO i DODO przewidują różne terminy na realizację żądań. Upewnij się na jakiej podstawie przetwarzane są dane osobowe.
Dokumentuj realizację żądań
Wprowadź ewidencję wniosków w swojej organizacji. Nie tylko uporządkuje ona proces obsługi żądań, ale również pozwoli Ci ocenić jakie wnioski wpływają najczęściej. Przechowuj treść wniosków, a także informacje dotyczące udzielonej odpowiedzi. Pamiętaj także o określaniu czasu, w jakim dane te będą przechowywane.
Informuj osobę, której dane dotyczą, o zasadach przetwarzania jej danych w związku z realizacją żądania
Szczególnie ważne jest prawo do złożenia skargi oraz prawo do dochodzenia swoich praw przed sądem. Informacja może przyjąć formę klauzuli.
Realizuj żądanie w formie o jaką prosi osoba, której dane dotyczą
A jeżeli jest ona nieodpowiednia - zaproponuj lepszą, która zapewni gwarancję ochrony praw osoby fizycznej.
Korzystaj ze wsparcia inspektora ochrony danych osobowych lub wprowadź procedurę realizacji praw osób
Nie zapomnij, że przy realizacji skomplikowanego żądania pomóc może Ci inspektor ochrony danych osobowych. Jeżeli nie został on wyznaczony, warto wprowadzić procedurę realizacji praw osób. Przykładową procedurę obsługi żądań podmiotów danych znajdziesz TUTAJ.
Więcej o dobrych praktykach dowiesz się z nagrania szkolenia online, które poprowadziła Sylwia Czub-Kiełczewska, ekspertka ds. ochrony danych osobowych i audytor wewnętrzny, a które znajdziesz w LEX Ochrona Danych Osobowych.
Zapoznaj się z naszą ofertą.
Redakcja Publikacji Elektronicznych