Wniosek o dostęp do danych osobowych to jedno z najczęściej wykonywanych praw z RODO. Dla firmy nie jest to tylko formalność, ale obowiązek, który trzeba zrealizować sprawnie, terminowo i w sposób pozwalający osobie zrozumieć, jakie dane są przetwarzane i co się z nimi dzieje. Z art. 15 RODO wynika, że osoba może uzyskać od administratora potwierdzenie, czy jej dane są przetwarzane, dostęp do tych danych oraz informacje m.in. o celach przetwarzania, kategoriach danych, odbiorcach, okresie przechowywania i przysługujących prawach. Ma też prawo do otrzymania kopii danych osobowych podlegających przetwarzaniu.
Czym naprawdę jest wniosek o dostęp do danych osobowych?
W praktyce wniosek o dostęp do danych osobowych nie musi mieć urzędowego formularza ani szczególnej nazwy. Osoba może po prostu napisać, że chce wiedzieć, czy firma przetwarza jej dane, chce otrzymać kopię danych albo prosi o informacje o ich przetwarzaniu. Europejska Rada Ochrony Danych podkreśla, że prawo dostępu ma służyć realnej kontroli nad przetwarzaniem danych, więc administrator nie powinien podchodzić do takiego wniosku nadmiernie formalistycznie.
To ważne, bo wiele organizacji błędnie zakłada, że odpowiadają tylko wtedy, gdy ktoś użyje dokładnego sformułowania „art. 15 RODO” albo wypełni przygotowany przez firmę formularz. Tymczasem liczy się sens żądania, a nie jego etykieta. Jeżeli z wiadomości wynika, że osoba chce uzyskać informacje o swoich danych, firma powinna potraktować to jako wniosek o dostęp do danych osobowych i uruchomić odpowiednią procedurę.
Zapraszamy do współpracy
Szczegółowe informacje o ofercie i warunkach współpracy można uzyskać telefonicznie lub wysyłając zapytanie za pomocą formularza kontaktowego.
Od czego zacząć po otrzymaniu wniosku?
Pierwszy krok to ustalenie, czego dokładnie dotyczy żądanie. Czasem osoba chce pełnej odpowiedzi z art. 15 RODO, a czasem tylko kopii konkretnych dokumentów, historii kontaktu, nagrań rozmów albo danych z konta klienta. EDPB zaleca, aby administrator umiał rozpoznać zakres wniosku i — jeśli to potrzebne — doprecyzował go w sposób przyjazny, bez utrudniania wykonania prawa.
Drugi krok to sprawdzenie tożsamości wnioskodawcy. Jeżeli firma ma uzasadnione wątpliwości co do tego, kto składa wniosek, może zażądać dodatkowych informacji potrzebnych do potwierdzenia tożsamości. Nie oznacza to jednak prawa do automatycznego żądania dowodu osobistego czy nadmiarowych danych przy każdym wniosku. Dodatkowa weryfikacja ma być stosowana tylko wtedy, gdy jest rzeczywiście potrzebna, a jej zakres powinien być proporcjonalny.
Co powinna zawierać odpowiedź?
Prawidłowa odpowiedź na wniosek o dostęp do danych osobowych powinna obejmować dwie warstwy. Pierwsza to informacja, czy dane są przetwarzane, i wyjaśnienie zasad tego przetwarzania. Druga to sama kopia danych osobowych. UODO przypomina, że osoba ma prawo nie tylko do ogólnej informacji, ale także do otrzymania kopii danych osobowych podlegających przetwarzaniu.
W odpowiedzi trzeba więc uwzględnić przede wszystkim:
- potwierdzenie, czy dane są przetwarzane,
- cele przetwarzania,
- kategorie danych,
- informacje o odbiorcach lub kategoriach odbiorców,
- planowany okres przechowywania lub kryteria jego ustalania,
- informacje o prawach osoby,
- informację o prawie wniesienia skargi do organu nadzorczego,
- a także kopię danych objętych wnioskiem.
Warto pamiętać, że „kopia danych” nie zawsze oznacza prosty eksport z systemu. W niektórych sytuacjach może chodzić także o dane utrwalone w nagraniach. UODO wydał decyzję nakazującą przekazanie kopii danych osobowych utrwalonych w nagraniu rozmowy telefonicznej, z uwzględnieniem głosu osoby wnioskującej. To pokazuje, że wniosek o dostęp do danych osobowych może dotyczyć nie tylko formularza czy bazy CRM, ale także rozmów i innych nośników danych.
W jakim terminie trzeba odpowiedzieć?
Administrator powinien odpowiedzieć bez zbędnej zwłoki, najpóźniej w ciągu miesiąca od otrzymania wniosku. Ten termin może zostać przedłużony o kolejne dwa miesiące, jeżeli wniosek jest szczególnie złożony lub jest ich wiele, ale osoba musi zostać o tym poinformowana w ciągu pierwszego miesiąca wraz z podaniem przyczyn opóźnienia. Co do zasady realizacja prawa dostępu jest bezpłatna.
To oznacza, że firma nie powinna czekać z reakcją do ostatniego dnia. Dobrą praktyką jest szybkie potwierdzenie otrzymania wniosku, uruchomienie wewnętrznego procesu i ustalenie, z jakich systemów oraz działów trzeba zebrać dane. Właśnie brak sprawnej organizacji często prowadzi do naruszeń, a UODO wskazywał już, że liczne skargi dotyczą m.in. nieprzekazania kopii danych zgodnie z art. 15 ust. 3 RODO.
Czy można pobrać opłatę?
Pierwsza kopia danych powinna być przekazana bezpłatnie. Dopiero za kolejne kopie administrator może pobrać rozsądną opłatę wynikającą z kosztów administracyjnych. Jeżeli osoba składa wniosek drogą elektroniczną i nie zaznaczy inaczej, informacje powinny zostać przekazane powszechnie stosowaną drogą elektroniczną.
W praktyce nie warto traktować opłaty jako standardowego elementu odpowiedzi. Prawo dostępu ma być realne i łatwo wykonywalne, dlatego pobieranie opłaty jest wyjątkiem, a nie regułą. Podobnie ostrożnie trzeba podchodzić do odmowy — EDPB zaznacza, że pojęcia „oczywiście nieuzasadniony” i „nadmierny” należy interpretować wąsko.
Kiedy można odmówić albo ograniczyć zakres odpowiedzi?
Całkowita odmowa realizacji wniosku o dostęp do danych osobowych nie jest częsta. Może wchodzić w grę wtedy, gdy żądanie jest oczywiście nieuzasadnione albo nadmierne, ale to administrator musi umieć to wykazać. Sama niewygoda organizacyjna, duża liczba danych albo konieczność pracy kilku działów zwykle nie wystarczą.
Częściej zdarza się ograniczenie zakresu odpowiedzi ze względu na prawa i wolności innych osób. UODO przypominał, że realizacja prawa dostępu nie może prowadzić do nieuprawnionego ujawnienia danych osób trzecich. Dlatego przed przekazaniem kopii trzeba sprawdzić, czy dokumenty, korespondencja lub nagrania nie zawierają danych innych osób, które należy zanonimizować albo w inny sposób zabezpieczyć.
Jeżeli administrator odmawia realizacji wniosku w całości lub w części, powinien poinformować o tym osobę bez zbędnej zwłoki, najpóźniej w ciągu miesiąca, oraz wskazać przyczyny i możliwość wniesienia skargi do organu nadzorczego lub skorzystania z drogi sądowej. Takie podejście wynika z zasad wykonywania praw osób, których dane dotyczą.
Jak odpowiadać w praktyce, żeby nie popełnić błędu?
Najbezpieczniej potraktować obsługę wniosku jako uporządkowany proces, a nie pojedynczą odpowiedź przygotowywaną „na szybko”. W praktyce warto działać według następującego schematu:
- zarejestrować wpływ wniosku i ustalić datę jego otrzymania,
- zweryfikować tożsamość osoby, jeśli istnieją uzasadnione wątpliwości,
- ustalić zakres żądania,
- wskazać systemy i działy, w których mogą znajdować się dane,
- przygotować informacje wymagane przez art. 15 RODO,
- skompletować kopię danych osobowych,
- sprawdzić, czy odpowiedź nie narusza praw i wolności innych osób,
- przekazać odpowiedź w uzgodnionej albo właściwej formie.
Taki proces warto opisać wewnętrznie, ponieważ prawo dostępu jest jednym z najczęściej wykonywanych praw przez osoby, których dane dotyczą.
Dobrą praktyką jest również przygotowanie odpowiedzi prostym i zrozumiałym językiem. Nawet jeśli firma przekazuje obszerny pakiet informacji, osoba powinna łatwo zrozumieć, co dokładnie otrzymała. Sam zrzut z systemu albo surowy eksport danych bez krótkiego wyjaśnienia często nie wystarcza, aby odpowiedź była naprawdę czytelna i użyteczna.
Jak może wyglądać odpowiedź?
W praktyce odpowiedź na wniosek o dostęp do danych osobowych dobrze podzielić na dwie części. W pierwszej firma opisuje zasady przetwarzania: cele, podstawy, kategorie danych, odbiorców, okresy przechowywania i prawa osoby. W drugiej przekazuje kopię danych — na przykład zestawienie danych z systemu, historię kontaktu, dane z formularzy, korespondencję, zgody, informacje z konta klienta albo nagrania, jeśli wniosek ich dotyczy i przekazanie jest możliwe z poszanowaniem praw innych osób.
To podejście pomaga uniknąć jednego z najczęstszych błędów: udzielenia odpowiedzi „opisowej”, ale bez samej kopii danych. UODO wyraźnie zwraca uwagę, że kopia danych z art. 15 ust. 3 RODO jest odrębnym elementem prawa dostępu i nie można jej zastąpić wyłącznie ogólnym wyjaśnieniem, że dane są przetwarzane.
Dlaczego warto mieć gotową procedurę?
Wniosek o dostęp do danych osobowych rzadko jest problemem prawnym samym w sobie. Najczęściej problemem jest brak organizacji po stronie firmy: nie wiadomo, kto odpowiada, skąd zebrać dane, jak ocenić tożsamość, jak zabezpieczyć dane innych osób i kto zatwierdza odpowiedź. Właśnie dlatego dobrze opracowana procedura wewnętrzna jest równie ważna jak znajomość art. 15 RODO. Koordynowane działania organów nadzorczych w 2024 r. koncentrowały się właśnie na praktycznym wdrażaniu prawa dostępu przez administratorów.
Dobrze przygotowany proces pozwala odpowiedzieć terminowo, spójnie i bez nadmiarowych emocji. A to jest szczególnie ważne, bo dla wielu osób wniosek o dostęp do danych osobowych jest pierwszym krokiem do dalszych działań — sprostowania, usunięcia danych, sprzeciwu albo złożenia skargi. Jeśli firma odpowie nierzetelnie albo z opóźnieniem, często otwiera sobie kolejny problem zamiast zamknąć pierwszy.
FAQ
Czym jest wniosek o dostęp do danych osobowych?
To żądanie osoby, która chce sprawdzić, czy administrator przetwarza jej dane, uzyskać informacje o tym przetwarzaniu oraz otrzymać kopię danych osobowych objętych przetwarzaniem. Prawo to wynika z art. 15 RODO.
Czy wniosek o dostęp do danych osobowych musi mieć specjalną formę?
Nie. Taki wniosek nie musi być złożony na formularzu ani zawierać odwołania do art. 15 RODO. Liczy się jego treść i to, że z żądania wynika wola uzyskania dostępu do danych.
W jakim terminie trzeba odpowiedzieć na wniosek o dostęp do danych osobowych?
Co do zasady odpowiedź należy przekazać bez zbędnej zwłoki, nie później niż w ciągu miesiąca od otrzymania wniosku. W bardziej złożonych przypadkach termin można przedłużyć o kolejne dwa miesiące, ale trzeba o tym poinformować osobę w ciągu pierwszego miesiąca.
Czy firma może poprosić o potwierdzenie tożsamości?
Tak, ale tylko wtedy, gdy ma uzasadnione wątpliwości co do tożsamości osoby składającej wniosek. Zakres dodatkowej weryfikacji powinien być proporcjonalny i nie może prowadzić do zbierania nadmiarowych danych.
Co powinna zawierać odpowiedź na wniosek o dostęp do danych osobowych?
Odpowiedź powinna obejmować informację, czy dane są przetwarzane, cele przetwarzania, kategorie danych, odbiorców, okres przechowywania, informacje o prawach osoby oraz kopię danych osobowych objętych przetwarzaniem.
Czy firma musi zawsze przekazać kopię danych?
Co do zasady tak. Prawo dostępu obejmuje także prawo do otrzymania kopii danych osobowych podlegających przetwarzaniu. UODO podkreślał, że same ogólne informacje o przetwarzaniu nie zastępują przekazania kopii danych.
Czy pierwsza odpowiedź na wniosek o dostęp do danych osobowych jest bezpłatna?
Tak. Pierwsza kopia danych powinna zostać przekazana bezpłatnie. Opłata może pojawić się dopiero przy kolejnych kopiach, o ile odpowiada rozsądnym kosztom administracyjnym.
Czy można odmówić realizacji wniosku?
Tylko wyjątkowo. Odmowa może być uzasadniona np. wtedy, gdy wniosek jest oczywiście nieuzasadniony albo nadmierny, ale to administrator musi umieć to wykazać.
Czy wniosek o dostęp do danych osobowych może dotyczyć nagrań rozmów?
Tak. Prawo dostępu może obejmować także dane utrwalone w nagraniach, jeżeli dotyczą osoby składającej wniosek. UODO wydał decyzję nakazującą przekazanie kopii danych osobowych utrwalonych w nagraniu rozmowy telefonicznej.
Co zrobić, jeśli firma nie odpowie prawidłowo?
Osoba, której dane dotyczą, może złożyć skargę do Prezesa UODO. Organ wskazuje, że prawo dostępu ma zapewniać rzeczywistą kontrolę nad przetwarzaniem danych, a nierzetelna lub niepełna odpowiedź może prowadzić do naruszenia przepisów.
| Redakcja BPPZ.pl
