Prawa osób, których dane dotyczą wyzwaniem dla administratorów ….
Dzisiejszym artykułem podsumujemy cykl dotyczący praw osób, których dane dotyczą. Mamy nadzieję, że był on dla Państwa interesujący i że nie tylko administratorzy, ale i osoby fizyczne pozyskały ciekawe informacje. Podsumowaniem jest wyjaśnienie Państwu zasad dotyczących weryfikacji wniosków od osób, których dane dotyczą. Temat jest na tyle istotny, że trzeba mieć pewność od kogo otrzymaliśmy wniosek. Po weryfikacji i potwierdzeniu należy rozpoznać którego z praw on dotyczy, a następnie przeprowadzić jego realizację zgodnie z wymaganiami. Wspominaliśmy już, że warto posiadać właściwą procedurę dotyczącą realizacji praw osób, których dane dotyczą.
Otrzymaliśmy wniosek dotyczący praw osoby, której dane dotyczą i co dalej….
Na początek najważniejsze – administrator nie powinien pozostawiać żadnych wniosków osób fizycznych bez odpowiedzi. Brak udzielenia odpowiedzi może ściągnąć na administratora kłopoty, których przyczyną może być skarga danej osoby złożona w Urzędzie Ochrony Danych Osobowych. Otrzymawszy wniosek, powinniśmy skierować go do osoby mającej wiedzę w zakresie ochrony danych osobowych. Pierwszą taką osobą przychodzącą na myśl jest oczywiście Inspektor Ochrony Danych. Jeżeli go nie posiadamy często na myśl przychodzi prawnik. Oczywiście jest to jakieś rozwiązanie, jeśli nasz prawnik specjalizuje się również w tym temacie. Istnieje również inne rozwiązanie. Administrator może skorzystać z usług doświadczonych, zewnętrznych specjalistów świadczących usługi doradcze. Tego typu rozwiązanie np. w formie Eksperta ds. Ochrony Danych Osobowych świadczy nasza firma. Co ciekawe usługę zapewniamy w dwóch rozwiązaniach – stałej współpracy w ramach niewysokiego abonamentu lub jako stawkę godzinową. Zachęcam do zapoznania się z usługą.
Trudności przy rozpatrywaniu wniosków spływających od osób fizycznych…
Wracając do meritum tematu, wiemy, że po otrzymaniu wniosku musimy rozpoznać którego z praw osób, których dane dotyczą on dotyczy. Musimy jednak również przeprowadzić weryfikację danych osoby, która do nas ten wniosek skierowała. Ta weryfikacja może stanowić problem. Przykładowo, jeśli otrzymamy wniosek przesłany emailem, może sprawdzić, czy mamy taki adres email w naszej bazie. Jak tak, to potwierdzimy sobie dane wnioskodawcy. Jak nie to trzeba szukać dalej. Podpis osoby może też stanowić źródło do weryfikacji. Oczywiście, wszystko zależy od tego co w tym podpisie się znajduje. Pamiętajmy, że jeśli nie jesteśmy wstanie zweryfikować tożsamości osoby, mamy prawo zwrócić się do tej osoby o podanie innych danych pozwalających nam na jej identyfikację. Przykładowo może to być numer telefonu tej osoby, adres zamieszkania, nazwa organizacji, w której pracuje. Chodzi o takie dane, które posiadamy w swojej bazie i które pozwolą nam bezbłędnie zidentyfikować tą osobę. Dopiero gdy uzyskamy pewność co do tożsamości osoby fizycznej, która chce zrealizować swoje prawo, możemy udzielić jej stosownej odpowiedzi.
Jednolity zbiór zasad realizacji wniosków w zakresie praw osób, których dane dotyczą…
Wspomniana już powyżej procedura wdrożona u administratora na pewno ułatwi całość procesu. Jeżeli jednak jej nie posiadamy, warto ją opracować. W ramach procedury możemy również wprowadzić wzór wniosku, którego uzupełnienie przez osoby kierujące do nas żądania w zakresie swoich praw ułatwi nam ich identyfikację. Ważną kwestią przy tworzeniu procedury jest to, aby była ona stworzona w jasny i przystępny sposób. Dokument ten powinien zawierać opis zasad i czynności stosowanych przez pracowników w celu zapewnienia realizacji praw osób, których dane osobowe przetwarza dany administrator. Celem takiej procedury będzie na pewno usystematyzowanie działań podejmowanych przez pracowników. Powinna ona wskazywać również drogi jakimi wnioski będą mogły wpływać do organizacji. Oczywiście nie można zapomnieć o szczegółowym opisie sposobów weryfikacji wniosków jak i zasadach ich realizacji. Bez prawidłowej identyfikacji i weryfikacji osoby, której dane są przetwarzane, niemożliwe jest przejście do realizacji żądania.
Dobre praktyki w ramach właściwej realizacji praw osób, których dane dotyczą….
Wiadomo, że kluczem jest na pewno dobra komunikacja z osobą, która skierowała do nas wniosek. Musimy pamiętać, że nie każda osoba będzie miała pełną wiedzę w zakresie zasad ochrony danych osobowych. Wiedząc to, używanie prostego i zrozumiałego języka na pewno ułatwi tą komunikację. Ta komunikacja, to jest priorytet przy realizacji praw osób, których dane dotyczą. Administrator musi w ramach działań pamiętać, że przepisy wymagają różnych terminów na realizację wniosków. Terminy są ważne, nawet jeśli nasza decyzja będzie odmowna. Do dobrych praktyk w ramach realizacji praw osób, których dane dotyczą należy zaliczyć dokumentowanie całości procesu. Na pewno warto wdrożyć ewidencję wszystkich wniosków. Ewidencja pozwoli nam uporządkować całość procesu, ale również zyskamy informację jakie wnioski najczęściej do nas spływają. Wiedza ta może pomóc w naprawieniu błędów powodujących spływanie tego rodzaju wniosków. Przykładową procedurę obsługi żądań podmiotów danych możesz uzyskać . Intencją RODO jest to, aby realizacja praw osób których dane dotyczą odbywała się w sposób zrozumiały.
Forma udzielenia odpowiedzi jest również istotna….
Na szczęście akt jakim jest RODO nie narzuca nam wprost formy udzielenia odpowiedzi. Jednakże, bardzo często stosuje się w ramach wewnętrznych ustaleń formę udzielenia odpowiedzi taką samą jaką otrzymaliśmy wniosek. Najprościej mówiąc mamy trzy formy udzielania odpowiedzi: elektroniczną, pisemną i ustną. Elektroniczna, to z reguły forma wiadomości email. Pisemna, to odesłanie odpowiedzi pisemnej np. poprzez list. Ustna może się pojawić w trakcie rozmowy telefonicznej. Warto pamiętać, aby z formy ustnej korzystać jedynie w wyjątkowych przypadkach. Po pierwsze, nie zawsze uda nam się prawidłowo zweryfikować tożsamość osoby w trakcie takiej rozmowy, po drugie ciężko udokumentować potwierdzenie udzielenia tej odpowiedzi. Brak możliwości udokumentowania takiej odpowiedzi rodzi kłopot z zachowaniem zasady rozliczalności. Prawa osób, które będziemy realizować niezależnie od formy udzielania odpowiedzi powinny jak to już podkreślaliśmy być wyrażone jasnym i prostym językiem. Nie ma sensu stosowanie specjalistycznego słownictwa, bo osoba chcąca skorzystać ze swojego prawa, może nas nie zrozumieć.
Nie zapominajmy o terminach udzielenia odpowiedzi w związku z realizacją praw osób których dane dotyczą…
Terminy ważna rzecz. Na szczęście samo Rozporządzenie daje nam podpowiedzi jak je właściwie identyfikować. Art. 12 ust. 3 RODO stanowi, że administrator ma obowiązek udzielić odpowiedzi „bez zbędnej zwłoki, a w każdym razie w terminie miesiąca”. Pamiętaj, jednakże, że w przypadku skomplikowanych spraw, mamy w zgodzie z przepisami prawa możliwość przedłużenia terminu miesięcznego o kolejne dwa miesiące. Decydując się na przedłużenie musimy poinformować o tym fakcie osobę, która chce skorzystać ze swojego prawa. Informując należy podać powód wydłużenia tego terminu. Przykładowym powodem konieczności wydłużenia terminu realizacji prawa osoby może być duża ilość danych osobowych przetwarzanych w formie papierowej, co uniemożliwia sprawne i systemowe wyszukiwanie konkretnych danych.
Administrator powinien dokładnie analizować każde żądanie…
Podsumowując, prawa osób, których dane dotyczą stanowią ważny element działalności każdej organizacji przetwarzającej dane osobowe. Liczę, że cykl poświęcony tej tematyce pozwolił wszystkim czytającym zrozumieć, dlaczego ten element RODO jest istotny. Brak znajomości praw, brak ich rozumienia, brak umiejętności ich realizacji, może stać się przyczynkiem do kłopotów naszej firmy. Pamiętajmy, że każda osoba ma prawo złożenia skargi do Urzędu Ochrony Danych Osobowych. UODO nie tylko wspiera społeczność we właściwym stosowaniu wymagań na gruncie przepisów prawa, ale również kontroluje, wydaje decyzje, jak i nakłada kary. Lepiej nie narażać organizacji na kontakt z UODO spowodowany brakiem podstawowej wiedzy na temat praw osób, których dane dotyczą. Naszym celem jest m.in. właśnie przybliżenie Państwu tego zagadnienia i ułatwienie podjęcia właściwych kroków, aby zagrożenie na tym polu zostało wyeliminowane. Zachęcamy do stałego odwiedzania naszej www oraz do zapoznania się z usługami, które świadczymy, bo może znajdą Państwo coś dla siebie.
