Praktycznie o RODO: Dostęp do danych
Minął ósmy miesiąc obowiązywania w Polsce RODO. Pierwsze chwile swego rodzaju szaleństwa już za nami, teraz w wielu firmach nadszedł czas na konkrety – realne działania. Zaczynają się pierwsze kontrole, skargi i żądania uprawnionych podmiotów. Przedsiębiorcy często zgłaszają się do nas z pytaniami co do tego, jak należy poprawnie realizować szerokie uprawnienia jednostek, których dane dotyczą. W dzisiejszym wpisie praktycznie i rzeczowo omawiamy właśnie jeden z takich tematów, który budzi wiele wątpliwości – dostęp do danych.
Ważne uprawnienie
Prawo dostępu do danych osobowych jest jednym z podstawowych uprawnień osoby, której dane dotyczą. Koresponduje ono z zasadą przejrzystości przetwarzania, określoną w art. 5 ust. 1 lit. a RODO, i stanowi jej oczywistą konsekwencję.
Poinformowanie jednostki o okolicznościach przetwarzania danych osobowych zmniejsza niepewność co do tego, w jaki sposób administrator dysponuje danymi osobowymi, jakiemu celowi służy przetwarzanie tych danych itp. Zgodnie z założeniami RODO, osoba, której dane dotyczą, powinna mieć możliwość zweryfikowania, czy przetwarzanie jej danych jest zgodne z założonym celem oraz czy ten cel jest zgodny z prawem, czy dane są adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celu, czy są prawidłowe, aktualne, przechowywane tylko przez niezbędny czas i odpowiednio zabezpieczone.
Prawo to nie jest jednak bezwzględne i administrator nie powinien realizować wynikających z niego obowiązków w sposób automatyczny.
Potwierdzenie tożsamości
Jeśli do (byłego) pracodawcy zgłoszono żądanie dostępu do danych osobowych, to w pierwszej kolejności należy zweryfikować tożsamość zgłaszającego. Tylko bowiem osoba, której dane dotyczą, może skorzystać z prawa dostępu do danych. Zgodnie z art. 12 ust. 6 RODO, jeżeli administrator ma wątpliwości co do tożsamości wnioskodawcy, może żądać dodatkowych informacji niezbędnych do potwierdzenia tożsamości tego wnioskodawcy. Poza tym motyw 64 Preambuły RODO stanowi, że „administrator powinien skorzystać z wszelkich rozsądnych środków w celu zweryfikowania tożsamości żądającej dostępu osoby, której dane dotyczą”.
Wprowadzenie w firmie rygorystycznych zasad w zakresie ww. weryfikacji jest konieczne, ponieważ chroni zarówno (byłego) pracodawcę jak i (byłego) pracownika przed ujawnieniem danych osobie nieuprawnionej.
W praktyce oznacza to, że należy wziąć pod uwagę np. okoliczności, w których wpłynęło żądanie dostępu do danych. Gdyby bowiem było to zapytanie np. w formie wiadomości e-mail, wysłanej z prywatnego adresu e-mail, wówczas (były) pracodawca może żądać podania numeru PESEL, prywatnego numeru telefonu, imion rodziców czy adresu zamieszkania – czyli dodatkowych danych, umożliwiających weryfikację osoby zgłaszającej żądanie dostępu do danych. Może się bowiem okazać, że pytającym jest w istocie inna osoba niż ta, której dane dotyczą, a która nie ma stosownego umocowania, np. małżonek byłego pracownika, który przed wniesieniem pozwu o rozwód chce ustalić wysokość wynagrodzenia współmałżonka.
Wewnętrzne procedury
A zatem istotne jest, aby w firmie wprowadzono procedurę identyfikacji wnioskodawcy – tak, aby zminimalizować ryzyko ujawnienia danych osobie nieuprawnionej. Należy ustalić generalnie, jakimi danymi (byłych) pracowników spółka dysponuje, a następnie wskazać, które z nich mogą być podstawą identyfikacji osoby wnoszącej żądanie. Treść takiej procedury weryfikacyjnej powinna być elementem wdrożonej w spółce polityki ochrony danych osobowych, a jej zakres zależy przede wszystkim od rodzaju prowadzonej przez spółkę działalności, jej struktury organizacyjnej, liczby pracowników, rodzaju i zakresu przetwarzanych danych osobowych. Wdrożenie wspomnianej procedury pozwala w pewnym zakresie na obronę przed ewentualnym zarzutem, że spółka nie zapewniła należytej ochrony danych osobowych (byłych) pracowników, poza tym jest materialnym dowodem na realizację zasady rozliczalności.
Czy można odmówić realizacji prawa dostępu do danych?
W razie braku współpracy ze strony wnioskodawcy, (były) pracodawca może odmówić realizacji żądania, gdyż nie ma pewności, czy wnioskodawca jest faktycznie tą osobą, za którą się podaje. W takiej sytuacji (były) pracodawca powinien niezwłocznie, jednak nie później niż w terminie 1 miesiąca od otrzymania żądania, poinformować wnioskodawcę, że nie może tego żądania spełnić, gdyż nadal ma uzasadnione wątpliwości co do tożsamości pytającego (art. 12 ust. 4 RODO). Informując wnioskodawcę o niemożności realizacji żądania należy go również poinformować o możliwości wniesienia skargi do organu nadzorczego (tj. do Prezesa Urzędu Ochrony Danych Osobowych) oraz o możliwości skorzystania ze środków ochrony prawnej przed sądem (tj. do złożenia pozwu cywilnego). Jeśli dana osoba zdecyduje się wnieść do sądu taki pozew, będzie musiała wykazać, że administrator nie miał podstaw do odmowy realizacji żądania oraz że z powodu tej odmowy dana osoba poniosła szkodę.
Szeroki zakres danych podlegających udostępnieniu…
Jeśli jednak wnioskodawca pozytywnie przejdzie już weryfikację, o której mowa powyżej, kolejną kluczową kwestią jest ustalenie zakresu danych, które mogą mu być udzielone. Art. 15 RODO stanowi, że osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz m.in. następujących informacji:
– cele przetwarzania,
– kategorie danych osobowych,
– informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione,
– w miarę możliwości planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu,
– informacje o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania,
– informacje o prawie wniesienia skargi do organu nadzorczego,
– jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą – wszelkie dostępne informacje o ich źródle,
– informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu,
– jeżeli dane osobowe są przekazywane do państwa trzeciego lub organizacji międzynarodowej, osoba, której dane dotyczą, ma prawo zostać poinformowana o odpowiednich zabezpieczeniach.
Administrator powinien dostarczyć osobie, której dane dotyczą, kopię danych osobowych podlegających przetwarzaniu (art. 15 ust. 3 RODO).
… i ważne ograniczenia
Co do zasady, obowiązkiem administratora jest ujawnienie wszystkich danych o osobie, która składa żądanie dostępu, w tym danych zebranych przez administratora nie od osoby, której dane dotyczą. Istnieją jednak pewne ograniczenia w tym zakresie, które związane są generalnie z ochroną praw innych podmiotów. Mianowicie:
– prawo do uzyskania wspomnianych kopii nie może niekorzystnie wpływać na prawa i wolności innych (art. 15 ust. 4 RODO),
– prawo dostępu do danych nie powinno negatywnie wpływać na prawa lub wolności innych osób, w tym tajemnice handlowe lub własność intelektualną, w szczególności na prawa autorskie chroniące oprogramowanie (motyw 63 Preambuły RODO); uwaga: wspomniane względy nie powinny jednak skutkować odmową udzielenia osobie, której dane dotyczą, jakichkolwiek informacji; jeżeli administrator przetwarza duże ilości informacji o osobie, której dane dotyczą, powinien on mieć możliwość zażądania, przed podaniem informacji, by osoba, której dane dotyczą, sprecyzowała informacje lub czynności przetwarzania, których dotyczy jej żądanie.
Dostęp do danych a tajemnica przedsiębiorstwa
Wspomniane wyjątki mają zastosowanie m.in. do spółek w zakresie ochrony ich tajemnicy przedsiębiorstwa. Preambuła RODO (motyw 63) wyraźnie i bezpośrednio odnosi się do np. praw własności intelektualnej związanej z programami komputerowymi, co świadczy o tym, że w szczególny sposób podkreślona jest potrzeba ich ochrony.
Możliwość ochrony tajemnicy przedsiębiorstwa w sytuacji zgłoszenia żądania dostępu do danych wynika również pośrednio z przepisów Ustawy z dnia 10.05.2018 r. o ochronie danych osobowych. Zgodnie z art. 65 i 91 tej ustawy, w trakcie prowadzonego przez Prezesa Urzędu Ochrony Danych Osobowych postępowania w sprawie naruszenia przepisów o ochronie danych osobowych lub w trakcie prowadzonej przez tego Prezesa kontroli przestrzegania przepisów o ochronie danych osobowych, strona może zastrzec informacje, dokumenty lub ich części zawierające tajemnicę przedsiębiorstwa, przedstawiane Prezesowi. W takim przypadku strona jest zobowiązana przedstawić Prezesowi również wersję danego dokumentu, niezawierającą informacji objętych zastrzeżeniem. W tej sytuacji, tzn. kiedy inni uczestnicy postępowania otrzymują dokumenty właśnie w takim okrojonym zakresie, spółka może chronić tajemnicę przedsiębiorstwa przed ujawnieniem.
Skoro zatem w trakcie kontroli i postępowania przed Prezesem Urzędu Ochrony Danych Osobowych podmiot kontrolowany może podjąć wskazane ustawą działania mające na celu ochronę tajemnicy jego przedsiębiorstwa, to należy przyjąć, że tym bardziej podmiot taki jest również uprawniony do podobnej ochrony w sytuacji, kiedy określona osoba zamierza skorzystać z prawa dostępu do danych.
Należy jednak pamiętać, że okoliczności związane np. z ochroną tajemnicy przedsiębiorstwa nie mogą skutkować odmową udzielenia osobie, której dane dotyczą, jakichkolwiek informacji (zdanie 6 motyw 63 Preambuły RODO). Aby uniknąć zarzutu co do całkowitej odmowy, administrator może np. dokonać odpowiednich zmian w określonych dokumentach, tak, aby nie widniały na nich żadne informacje związane z tajemnicą przedsiębiorstwa czy tajemnicą podmiotów trzecich (np. poufne dane biznesowe kontrahentów). W takich sytuacjach brak udostępnienia przez administratora pełnych kopii danych zawierających informacje poufne, objęte tajemnicą przedsiębiorstwa, nie oznacza braku realizacji prawa dostępu, lecz wynika z prawnie uzasadnionego interesu administratora.
Podsumowanie i praktyczne rekomendacje
Wynikające z przepisów RODO prawo dostępu do danych jest jednym z podstawowych praw przysługujących osobie, której dane dotyczą. Nie jest ono jednak bezwzględne, a administrator nie powinien stosować wynikających z tego prawa obowiązków w sposób automatyczny. Realizacja tego prawa nie powinna negatywnie wpływać na prawa lub wolności innych osób, naruszać tajemnice handlowe lub własność intelektualną, w szczególności prawa autorskie chroniące oprogramowanie.
Administrator powinien w każdym przypadku dokonać oceny:
1. czy osoba, która zgłasza żądanie dostępu do danych, jest do tego uprawniona,
2. czy przekazanie kopii danych może niekorzystnie wpłynąć na prawa i wolności innych (np. innych pracowników, byłych pracowników, kontrahentów),
3. czy istnieje możliwość, aby uczynić zadość żądaniu danej osoby (tj. udostępnić kopie określonych dokumentów) przy jednoczesnym uwzględnieniu ochrony tajemnicy przedsiębiorstwa (np. poprzez udostępnienie tylko fragmentów danych dokumentów).
W praktyce więc odpowiedź na pytanie, czy żądanie dostępu do danych może zostać zrealizowane zgodnie z żądaniem określonej osoby, będzie wymagała każdorazowej oceny w oparciu o okoliczności konkretnego przypadku.
Pamiętajmy: gdy w danym przypadku administrator dojdzie do wniosku, że nie ma prawnej możliwości dostarczenia osobie, której dane dotyczą, żądanych przez nią kopii danych, powinien on w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem wyjaśnić przyczyny, z powodu których nie jest możliwe uczynienie zadość konkretnemu żądaniu. W razie natomiast, gdyby było możliwe częściowe udostępnienie kopii danych, należy takie właśnie części określonych danych udostępnić, z wyjaśnieniem przyczyn takiego ograniczonego udostępnienia.
***
r.pr. Aleksandra Surowiecka