Rozporządzenie unijne dotyczące ochrony danych osobowych (RODO) przyznaje podmiotom danych różne uprawnienia pozwalające kontrolować sposób przetwarzania ich danych przez administratorów danych osobowych. Jednym z takich uprawnień jest prawo dostępu do danych oraz prawo uzyskania informacji dotyczących przetwarzania danych.

Każdy administrator danych powinien znać zasady postępowania w przypadku skorzystania przez podmiot danych z tego uprawnienia. 

Czym tak naprawdę jest prawo dostępu do danych?

Prawem dostępu do danych przyjęło się w praktyce nazywać uprawnienia podmiotu danych określone w art. 15 RODO. Przedmiotowy przepis nie dotyczy jednak wyłącznie prawa dostępu do danych. Przyznane w tym przepisie uprawnienia są szersze. Przepis ten przede wszystkim przyznaje uprawnienie do uzyskania informacji o tym czy administrator przetwarza dane konkretnej osoby. Dopiero ustalenie, że administrator przetwarza dane konkretnej osoby otwiera drzwi do korzystania z dalszych uprawnień, którymi są:

• prawo do uzyskania informacji dotyczących parametrów przetwarzania danych, w tym informacji o celu przetwarzania danych, okresie przechowywania danych, prawach przysługujących podmiotowi danych, odbiorcach danych;
• prawo dostępu do danych, którego elementem jest prawo do uzyskania kopii danych.

Warunki formalne

Celem skorzystania z uprawnień przyznanych w art. 15 RODO podmiot danych powinien wystąpić z wnioskiem do administratora danych osobowych. Uprawnienie to realizowane jest zatem na wyraźne żądanie podmiotu danych. Przepisy RODO nie wymagają żadnej szczególnej formy wniosku składanego przez podmiot danych. Warunkiem koniecznym jest to, aby na podstawie złożonego wniosku administrator był w stanie ustalić tożsamość podmiotu danych. Jeśli administrator ma wątpliwości co do tożsamości podmiotu danych, może zażądać dodatkowych informacji pozwalających mu na potwierdzenie tożsamości osoby składającej wniosek.

Forma odpowiedzi na wniosek

Zgodnie z art. 12 ust. 1 RODO administrator danych zobowiązany jest do udzielenia odpowiedzi na wniosek podmiotu danych na piśmie lub w inny sposób, w tym, w stosownych przypadkach elektronicznie. Dopuszcza się też udzielenie informacji ustnie, o ile administrator będzie mógł potwierdzić tożsamość osoby występującej z żądaniem.

Zgodnie z art. 12 ust. 3 RODO jeśli osoba, której dane dotyczą przekazała swoje żądanie elektronicznie, w miarę możliwości informacje także są przekazywane elektronicznie. Osoba, której dane dotyczą może też zażądać innej formy. 

Termin udzielenia odpowiedzi na wniosek

Administrator zobowiązany jest do udzielenia odpowiedzi na wniosek podmiotu danych bez zbędnej zwłoki. Powinien jednak zareagować najpóźniej w terminie jednego miesiąca od otrzymania żądania. W przypadku skomplikowanego charakteru żądania lub liczby żądań administrator może wydłużyć termin odpowiedzi na wniosek do dwóch miesięcy. W terminie miesiąca od wpływu żądania, administrator ma obowiązek  poinformować wnioskodawcę o wydłużeniu rozpatrzenia wniosku oraz przyczynach takiej decyzji.

Kopia danych

Zgodnie z art. 15 ust. 3 RODO administrator dostarcza osobie, której dane dotyczą, kopię danych osobowych podlegających przetwarzaniu. Udostępnienie kopii danych, zgodnie z art. 15 ust. 3 RODO nie jest co do zasady równoznaczne z obowiązkiem udostępnienia kopii nośnika, na którym przetwarzane są dane osobowe oraz danych, które nie stanowią danych osobowych w rozumieniu art. 4 pkt 1 RODO i nie dotyczą wnioskującego. Realizując obowiązek wynikający z art. 15 ust. 3 RODO, administrator może poprzestać na wskazaniu treści danych dotyczących osoby, z wyłączeniem pozostałych informacji zawartych na nośniku. Osoba, której dane dotyczą, nie jest natomiast uprawniona do żądania innych niż dotyczących jej danych. Takie stanowisko zajął między innymi Prezes UODO w decyzji nr ZSZZS.440.660.2018 z dnia 22 marca 2019 r.

Stanowisko TSUE

W zakresie prawa do uzyskania kopii danych wypowiadał się również TSUE. Między innymi w wyroku z dnia 4 maja 2023 r. w sprawie  C-487/21 TSUE wskazał:

• kopia danych osobowych podlegających przetwarzaniu, którą administrator musi przedstawić na podstawie art. 15 ust. 3 zdanie pierwsze RODO, powinna posiadać wszystkie cechy umożliwiające osobie, której dane dotyczą, skuteczne wykonywanie jej praw wynikających z tego rozporządzenia, a w konsekwencji powinna odtwarzać w całości i wiernie te dane;
• prawo do uzyskania od administratora kopii danych osobowych podlegających przetwarzaniu oznacza przekazanie osobie, której dane dotyczą, wiernej i zrozumiałej kopii wszystkich oryginałów tych danych. Prawo to obejmuje prawo do uzyskania kopii fragmentów dokumentów lub całych dokumentów, lub też wyciągów z baz danych, które zawierają między innymi te dane, jeżeli dostarczenie takiej kopii jest niezbędne do umożliwienia osobie, której dane dotyczą, skutecznego wykonywania praw przyznanych jej przez to rozporządzenie, przy czym wymaga podkreślenia, że należy w tym względzie uwzględnić prawa i wolności innych osób.

Realizując prawo podmiotu danych do uzyskania kopii danych administrator musi pamiętać o ważnej rzeczy. Prawo to nie może niekorzystnie wpływać na prawa i wolności innych osób.

Podsumowanie

Administratorzy danych muszą być szczególnie wyczuleni na przestrzeganie praw przysługujących podmiotom danych. Powinni przy tym pamiętać, że uprawnienia podmiotów danych też mają swoje ograniczenia. 

radca prawny Patrycja Wasilewska, szefowa praktyki prawa ochrony danych osobowych