Wnioski osob, ktorych dane dotycza — kompletny przewodnik IOD

Wniosek osoby, ktorej dane dotycza, to formalne zadanie skierowane przez osobe fizyczna do administratora, realizujace prawo wynikajace z art. 15 RODO — uzyskanie potwierdzenia, czy dane osobowe sa przetwarzane, a jesli tak, uzyskanie dostepu do tych danych wraz z konkretnymi informacjami uzupelniajacymi. Kazda osoba fizyczna, ktorej dane sa przetwarzane, moze zlozyc wniosek. Nie istnieja formalne wymagania — wniosek moze zostac zlozony ustnie, e-mailem, przez formularz internetowy, a nawet za posrednictwem mediów spolecznosciowych. Tozsamosc wnioskodawcy musi byc zweryfikowana, ale organizacja nie moze nakladac nieuzasadnionych barier na skladanie wnioskow. Wnioski nie ograniczaja sie do klientow. Pracownicy, byli pracownicy, kandydaci do pracy, odwiedzajacy strone internetowa, a nawet kontakty biznesowe moga je skladac. Dla organizacji o znacznych operacjach HR wnioski pracownikow sa czesto najbardziej zlozone — obejmuja dane rozproszone w systemach placowych, archiwach poczty, przegladach wynikow i nie tylko.

Standardowy termin na odpowiedz na wniosek to jeden miesiac od otrzymania zadania — nie od weryfikacji tozsamosci czy potwierdzenia, ale od otrzymania. Termin liczony jest wedlug miesiaca kalendarzowego: wniosek otrzymany 15 marca nalezy zrealizowac do 15 kwietnia. Przedluzenia sa mozliwe na mocy art. 12 ust. 3 RODO: jesli wniosek jest szczegolnie zlozony lub organizacja otrzymuje duza liczbe wnioskow, termin moze zostac przedluzony o dwa dodatkowe miesiace. Jednakze administrator musi poinformowac osobe, ktorej dane dotycza, o przedluzeniu w ciagu pierwotnego jednego miesiaca, podajac przyczyny opoznienia. W praktyce wiekszosc organow nadzorczych negatywnie ocenia przedluzenia stosowane jako standardowa praktyka. Sa one przeznaczone na rzeczywiscie zlozone przypadki — nie jako domyslny bufor. Jesli regularnie potrzebujesz przedluzen, to znak, ze Twoj proces obslugi wnioskow wymaga usprawnienia. Dla zewnetrznych IOD zarzadzajacych 15 klientami ze srednia 3 wnioskow na klienta rocznie, to 45 indywidualnych terminow do sledzenia. Reczne sledzenie za pomoca wpisow kalendarzowych jest podatne na bledy i nie skaluje sie. Pojedynczy przeoczony termin moze skutkowac skarga do organu nadzorczego i utrata reputacji zarowno klienta, jak i IOD.

Artykul 15 wymaga od administratorow przekazania nastepujacych informacji w odpowiedzi na wniosek: cele przetwarzania, kategorie przetwarzanych danych osobowych, odbiorcow lub kategorie odbiorcow, planowane okresy przechowywania lub kryteria ich ustalania, istnienie prawa do sprostowania, usuwania lub ograniczenia, prawa do wniesienia skargi do organu nadzorczego, zrodla danych (jesli nie zostaly zebrane bezposrednio od osoby, ktorej dane dotycza) oraz istnienie zautomatyzowanego podejmowania decyzji, w tym profilowania. Oprocz tych metadanych administrator musi dostarczyc kopie przetwarzanych danych osobowych. Pierwsza kopia musi byc bezplatna; za dodatkowe kopie mozna pobrac rozsadna oplate administracyjna. Odpowiedz musi byc dostarczona w powszechnie uzywanym formacie elektronicznym, jesli wniosek zostal zlozony droga elektroniczna. Musi byc zwiezla, przejrzysta i sformulowana jasnym, prostym jezykiem — szczegolnie jesli osoba, ktorej dane dotycza, jest dzieckiem.

Nie kazdy wniosek musi zostac zrealizowany w calosci. Art. 12 ust. 5 pozwala administratorom odmowic realizacji wnioskow, ktore sa "oczywiście bezzasadne lub nadmierne" — na przyklad powtarzajace sie wnioski od tej samej osoby bez zaistnenia nowego przetwarzania. Ciezar dowodu, ze wniosek jest oczywiscie bezzasadny, spoczywa na administratorze. Tajemnica adwokacka i tajemnice handlowe moga rowniez ograniczac to, co musi zostac ujawnione. Jesli dostarczenie pelnej kopii wszystkich danych ujawnioby zastrzezone algorytmy, strategie biznesowe lub informacje o innych osobach, administrator moze zredagowac lub wstrzymac te konkretne informacje — ale nadal musi odpowiedziec na wniosek jako calosc. Wnioski pracownikow sa szczegolnie zlozone. Czesto obejmuja dane przechowywane przez wiele dzialów (HR, IT, finanse, zarzad) i moga zawierac wewnetrzna korespondencje dotyczaca pracownika. Organy nadzorcze generalnie oczekuja, ze organizacje przeszukaja wszystkie odpowiednie systemy, w tym poczte elektroniczna, ale poufne dyskusje zarzadu dotyczace restrukturyzacji lub postepowania dyscyplinarnego moga byc zwolnione w okreslonych warunkach. W razie watpliwości udokumentuj uzasadnienie wszelkich ograniczen lub zastosowanych zwolnien. Organy nadzorcze sa znacznie bardziej wyrozumiale, gdy administrator moze wykazac przemyslany, udokumentowany proces decyzyjny, niz gdy spotykaja sie z ogolnikowymi odmowami.