Procedura obsługi żądań podmiotów danych. Dlaczego warto ją stosować?

Pomimo tego, że przepisy RODO stosowane są już od ponad pięciu lat, administratorzy danych nadal mierzą się z praktycznymi problemami, jakie stawia przed nimi obsługa żądań podmiotów danych.

Procedura obsługi żądań podmiotów danych

Nie wszystkie podmioty, które przetwarzają dane osobowe w ramach prowadzonej działalności, są odpowiednio przygotowane do obsługi wniosków dotyczących realizacji uprawnień przysługujących osobom fizycznym na podstawie przepisów RODO. Wiele podmiotów nie przygotowuje m.in. procedury obsługi żądań podmiotów danych. Warto zwrócić uwagę na aspekty związane z rozpatrywaniem żądań podmiotów danych, nawet jeśli dana organizacja nie jest na co dzień zasypywana wnioskami związanymi z realizacją uprawnień przewidzianych przez RODO. Prawidłowa i sprawna obsługa takich żądań niewątpliwie znacząco zmniejsza ryzyko złożenia skargi do Prezesa UODO przez osobę, której żądanie nie zostałoby odpowiednio rozpatrzone.

Prawa podmiotów danych

RODO przewiduje szereg uprawnień dla podmiotów danych związanych z przetwarzaniem ich danych osobowych. Prawa osób, których dane dotyczą, zostały uregulowane w Rozdziale III RODO. Niezależnie od obowiązków związanych z przejrzystym informowaniem takich osób o przetwarzaniu ich danych osobowych na etapie ich zbierania (art. 13/14 RODO) w rozdziale III RODO przewidziano żądania, które konkretna osoba może zgłosić do administratora danych.

Jakie prawa ma podmiot danych?

W tym zakresie należy mieć na uwadze następujące uprawnienia określone w art. 15-21 RODO:

  • prawo dostępu do danych osobowych (art. 15 RODO), w tym prawo uzyskania kopii danych osobowych podlegających przetwarzaniu (art. 15 ust. 3 RODO);
  • prawo do sprostowania danych (art. 16 RODO);
  • prawo do usunięcia danych (art. 17 RODO), tzw. „prawo do bycia zapomnianym”;
  • prawo do ograniczenia przetwarzania danych (art. 18 RODO);
  • prawo do przenoszenia danych (art. 20 RODO);
  • prawo do sprzeciwu wobec przetwarzania danych, w tym profilowania z uwagi na szczególną sytuację (art. 21 ust. 1 RODO) oraz prawo do sprzeciwu wobec przetwarzania danych osobowych do celów marketingu bezpośredniego, w tym profilowania (art. 21 ust. 2 RODO);

Ponadto warto pamiętać o prawie do niepodlegania automatycznym decyzjom, w tym opierających się na profilowaniu (art. 22 ust. 1 RODO). W przypadku, gdy tego typu decyzje są dopuszczalne na podstawie wyraźnej zgody osoby, której dane dotyczą lub gdy decyzja ta jest niezbędna do zawarcia, lub wykonania umowy między osobą, której dane dotyczą, a administratorem należy natomiast zwrócić uwagę na obowiązek zagwarantowania prawa do uzyskania interwencji ludzkiej ze strony administratora danych, do wyrażenia własnego stanowiska i do zakwestionowania tej decyzji.

Niezależnie od uprawnień przewidzianych w Rozdziale III RODO warto pamiętać także o prawie do wycofania zgody na przetwarzanie danych osobowych (w zakresie, w jakim stanowi ona podstawę prawną przetwarzania), które wynika z art. 7 ust. 3 RODO.

Czy procedura obsługi żądań podmiotów danych jest obowiązkowa?

Czy procedura obsługi zadań podmiotów danych jest obowiązkowa

RODO nie wskazuje wprost, że wprowadzenie procedury obsługi żądań podmiotów danych jest obowiązkowe w przypadku każdego administratora danych. RODO wymaga natomiast, aby skutecznie i niezwłocznie rozpatrywać żądania kierowane przez podmioty danych, zgodnie z terminem określonym w art. 12 ust. 3 RODO (tj. bez zbędnej zwłoki, jednak nie później niż w terminie miesiąca od otrzymania żądania, przy czym dopuszczalne jest przedłużenie tego terminu o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań).

Ponadto zgodnie z motywem 59 preambuły RODO należy przewidzieć procedury ułatwiające osobie, której dane dotyczą, wykonywanie praw przysługujących jej na mocy RODO, w tym mechanizmy żądania — i gdy ma to zastosowanie bezpłatnego uzyskiwania — w szczególności dostępu do danych osobowych i ich sprostowania lub usunięcia oraz możliwości wykonywania prawa do sprzeciwu. Administrator powinien przy tym zapewnić możliwość wnoszenia odnośnych żądań także drogą elektroniczną, w szczególności, gdy dane osobowe są przetwarzane drogą elektroniczną.

W związku z powyższym, jeśli do danego podmiotu zgłaszanych jest dużo tego typu wniosków, nie sposób wyobrazić sobie ich sprawne rozpatrywanie bez odpowiedniej procedury. W tym kontekście wprowadzenie procedury obsługi żądań podmiotów danych wydaje się konieczne z uwagi na zasadę rozliczalności (art. 5 ust. 2 RODO) oraz na obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych przy uwzględnieniu kryteriów określonych w art. 24 RODO, aby przetwarzanie danych osobowych odbywało się zgodnie z RODO.

W przypadku podmiotów, do których takie wnioski nie wpływają lub wpływają jedynie sporadycznie, również warto jednak rozważyć wewnętrzne uregulowanie zasad, na jakich będą one rozpatrywane. Przygotowanie odpowiedniej procedury obsługi żądań podmiotów danych pomoże m.in. uniknąć zbyt długiego terminu rozpatrzenia danego wniosku. Ponadto organizacja, która wprowadziła taką procedurę, będzie w stanie wykazać odpowiednie środki organizacyjne przygotowane w celu realizacji wymogów RODO w zakresie realizacji żądań podmiotów danych (np. w razie ewentualnej kontroli Prezesa UODO).

Mając na uwadze powyższe okoliczności, należy stwierdzić, że wprowadzenie procedury obsługi żądań podmiotów danych w niektórych przypadkach może być uznane za obowiązkowe, pomimo tego, że przepisy RODO wprost na to nie wskazują. Natomiast nawet w tych przypadkach, w których nie jest to konieczne takie rozwiązanie i tak należy uznać za zalecane.

Co należy uwzględnić w procedurze obsługi żądań podmiotów danych?

Co należy uwzględnić w procedurze obsługi żądań podmiotów danych?

Procedura obsługi żądań podmiotów danych powinna określać przynajmniej zasady i tryb przyjmowania i rejestrowania wniosków podmiotów danych (w tym osoby odpowiedzialne za ich obsługę wraz z określeniem ich ról w procesie obsługi konkretnych rodzajów żądań), terminy i sposoby rozpatrywania wniosków, w tym formę udzielania odpowiedzi, oraz zasady dotyczące postępowania w przypadku uwzględniania lub nieuwzględniania określonych żądań.

Dobrym rozwiązaniem jest także opracowanie przykładowych szablonów odpowiedzi na konkretne rodzaje wniosków, przy czym należy pamiętać, aby były one stosowane jedynie pomocniczo, ponieważ w każdym indywidualnym przypadku udzielana odpowiedź powinna uwzględniać treść konkretnego żądania zgłoszonego przez podmiot danych. W praktyce dosyć często zdarza się przy tym, że żądania podmiotów danych osobowych nie są jasne, przez co nie wynika z nich bezpośrednio, czego oczekuje dana osoba fizyczna. Procedura obsługi żądań podmiotów danych powinna przewidywać w związku z tym potrzebę doprecyzowania oczekiwań osoby fizycznej, jeśli zgłoszone przez nią żądanie nie jest jasne.

W ramach procedury obsługi żądań podmiotów danych należy przy tym uwzględnić sposoby weryfikacji tożsamości osoby, która występuje z wnioskiem o realizację określonych uprawnień. Warto pamiętać, że w przypadku uzasadnionych wątpliwości co do tożsamości osoby fizycznej składającej żądanie, o których mowa w art. 15-21 RODO, administrator danych może zażądać dodatkowych informacji niezbędnych do potwierdzenia tożsamości osoby, której dane dotyczą.

Procedura obsługi żądań podmiotów danych nie może być przy tym zbyt ogólna, ponieważ będzie znacząco utrudniało jej praktyczne zastosowanie. W związku z tym zalecane jest, aby określała ona możliwie precyzyjnie konkretne kroki, jakie należy podjąć w przypadku wpływu danego żądania. Wypada przy tym pamiętać, że stopień szczegółowości oraz rozwiązania przyjęte w konkretnej procedurze obsługi żądań podmiotów danych powinny być dostosowane do potrzeb i możliwości konkretnej organizacji.

Innymi słowy, inaczej powinna wyglądać procedura obsługi żądań podmiotów danych przygotowana dla niewielkiej spółki, która w ramach swojej działalności nie przetwarza na dużą skalę danych osobowych, a inaczej dla spółki będącej częścią dużej międzynarodowej korporacji, która w ramach swojej działalności prowadzi skomplikowane operacje przetwarzania danych osobowych. Niektóre uprawnienia przewidziane w RODO mogą nie znaleźć zastosowania w przypadku części administratorów danych (np. jeśli dana organizacja nie przetwarza danych osobowych w oparciu o zgodę, to osoba, której dane dotyczą, nie będzie mogła skorzystać z prawa do jej wycofania).

Warto pamiętać, że bardzo istotny wpływ na odpowiednią obsługę żądań podmiotów danych ma także zidentyfikowanie procesów przetwarzania danych osobowych w organizacji.

Brak procedury obsługi żądań podmiotów danych — Konsekwencje

Brak procedury obsługi żądań podmiotów danych

Brak procedury obsługi żądań podmiotów danych może wiązać się z negatywnymi konsekwencjami związanymi z problemami ze sprawną obsługą składanych wniosków, a w szczególności skutkować:

  • niepotrzebną stratą czasu przy obsłudze wniosku;
  • problemami z niezwłocznym udzielaniem odpowiedzi na żądanie w terminach określonych w RODO (w praktyce zdarza się nawet, że w przypadku braku właściwej procedury taki wniosek zostaje „przeoczony” w organizacji, która orientuje się, że został on złożony dopiero na etapie skargi złożonej do Prezesa UODO);
  • większym prawdopodobieństwem naruszenia praw podmiotów danych (np. nieuwzględnienia sprzeciwu wobec przetwarzania danych lub nieprawidłową realizacją uprawnień);
  • możliwością narażenia się na zarzut naruszenia obowiązków wynikających z art. 24 RODO oraz art. 5 ust. 2 RODO.

W przypadku problemów z właściwym rozpatrzeniem żądania skierowanego do administratora danych znacząco zwiększa się także ryzyko późniejszego złożenia skargi do Prezesa UODO, co może skutkować wszczęciem postępowania administracyjnego dotyczącego naruszenia przepisów RODO. W następstwie, w przypadku uznania, że doszło do naruszenia praw podmiotu danych, Prezes UODO może skorzystać z uprawnień naprawczych określonych w art. 58 ust. 2 RODO, a potencjalnie także nałożyć administracyjną karę pieniężną zgodnie z art. 83 ust. 5 RODO.

Podsumowanie – Procedura obsługi żądań podmiotów danych

Wprowadzenie rozwiązania, jakim jest procedura obsługi żądań podmiotów danych, powinno przyczynić się do sprawniejszego rozpatrywania wniosków kierowanych do administratora danych dotyczących realizacji uprawnień przewidzianych w art. 15-21 RODO oraz uprawnienia do wycofania zgody na przetwarzanie danych osobowych. Warto pamiętać, że odpowiednie zarządzanie wnioskami kierowanymi przez podmioty danych oraz ich skuteczna realizacja stanowią obowiązek każdego administratora danych. Tym samym odpowiednia procedura obsługi żądań podmiotów danych powinna pozwolić uniknąć negatywnych konsekwencji z nieprawidłową realizacją praw przysługujących osobom, których dane dotyczą.

Jeśli jesteś zainteresowany wsparciem przy opracowywaniu procedury dotyczącej obsługi żądań podmiotów danych, zapraszamy do kontaktu. Zachęcamy także do zapoznania się z naszą ofertą audytową i wdrożeniową oraz ofertą bieżącego wsparcia w obszarze ochrony danych osobowych.

Czytaj także: Dlaczego należy wprowadzić procedurę reagowania na incydenty dotyczące ochrony danych osobowych?