Żyjemy w świecie, w którym dane mają coraz większą wartość. Są one paliwem napędzającym nasze biznesy oraz nierzadko fakt ich posiadania decyduje o przewadze rynkowej lub jej braku. Wśród szerokiej kategorii danych można wyodrębnić podkategorię danych osobowych, które mają dla ludzi szczególną wartość, gdyż ich ujawnienie nieuprawnionym osobom może nas narazić na daleko idące konsekwencje, zaczynając od niechcianych telefonów i maili z ofertami sprzedaży produktów i usług (tam gdzie ktoś dostaje dostęp do naszych danych kontaktowych), aż po sfałszowanie naszej tożsamości. Pomimo tego, że z dużą swobodą „sprzedajemy” je na co dzień w zamian za możliwość korzystania z usług lub po prostu utrzymywania kontaktu ze znajomymi (któż z nas nie kliknął nigdy w zgodę na przetwarzanie danych osobowych albo akceptację regulaminu, aby zarejestrować się na jakiejś stronie internetowej), mamy głęboką potrzebę ochrony tych danych, w czym bardzo pomaga nam na co dzień rozporządzenie ogólne o ochronie danych osobowych (potocznie zwane RODO).
Wskazane wyżej Rozporządzenie przy wielu zapisach zobowiązujących administratorów (czyli tych, którzy nasze dane przetwarzają) do wypełniania szeregu obowiązków, mających w zamyśle lepiej chronić nasze dane, wprowadziło szereg zasad, które mają nam pomagać samodzielnie nimi zarządzać. Na czym ma polegać to „zarządzanie”? Generalnie sprowadza się ono do prawa składania wiążących wniosków, które mogą nam pomóc uzyskać odpowiedzi na pytania: kto przetwarza nasze dane, dlaczego je przetwarza oraz jaki jest zakres danych, które przetwarza, a na koniec do złożenia żądania sprostowania tych danych, ograniczenia ich przetwarzania lub nawet zaprzestania ich wykorzystywania (o szeroko komentowanym prawie do zapomnienia tu mowa).
Jest to bardzo ważna część RODO, która ma na celu ochronę prywatności i wolności jednostki i jeżeli tylko jesteśmy przygotowani do obsługi takich wniosków i żądań, nie powinna nam – jako administratorom danych – nastręczyć szczególnych trudności. Administrator lub podmiot przetwarzający dane w jego imieniu (potocznie zwany procesorem) aby odpowiedzieć na wnioski o (1) dostęp do danych osobowych i otrzymanie kopii danych osobowych podlegających przetwarzaniu (2) sprostowanie nieprawidłowych danych czy też aby spełnić żądanie (3) usunięcia danych w przypadku wystąpienia okoliczności przewidzianych w art. 17 RODO (4) ograniczenia przetwarzania danych w przypadkach wskazanych w art. 18 RODO bądź rozpatrzyć (5) sprzeciw wobec przetwarzania danych w przypadkach wskazanych w art. 21 RODO musi przede wszystkim wiedzieć i mieć świadomość czyje i jakie dane przetwarza (musi je ustrukturyzować), w jakich celach je przetwarza, na jakiej podstawie je wykorzystuje i finalnie jak długo może to czynić. Taka wiedza jest niezbędna, aby po wpłynięciu wniosku szybko zlokalizować dane i odnieść się do kierowanego do nas żądania. Pomocna w tym zakresie może się okazać także instrukcja obsługi wniosków podmiotów praw, która będzie stanowić drogowskaz dla osób odpowiadających za przyjmowanie i rozpatrywanie wskazanych wniosków, aby wiedziały jak odpowiedzieć na dane żądanie, czy też kiedy mogą chociażby odmówić usunięcia tych danych z systemów albo zażądać odpłatności za przygotowanie kopii danych na żądanie osoby, której te dane dotyczą.
Jeżeli jako administrator będziemy należycie przygotowani, a także jeżeli prawidłowo przetwarzamy w naszych zbiorach dane osobowe, nie będziemy musieli się obawiać, że klient, kontrahent, pracownik, potencjalny pracownik lub inny podmiot, skorzysta z ostatniego ze swoich uprawnień wskazanych w RODO, czyli z prawa do złożenia skargi do Prezesa UODO.
O czym należy pamiętać, realizacja wskazanych wniosków jest obowiązkiem każdej firmy i każdego przedsiębiorcy jako administratora lub podmiotu przetwarzającego. Nie ma oficjalnej informacji w jaki sposób, ale standardem rynkowym jest zgłoszenie się pod konkretny adres mail lub skorzystanie z dedykowanego formularza. Zgodnie z art. 12 ust. 1 RODO wszelka komunikacja i udzielanie informacji osobom powinno odbywać się „w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem”.
Po wpływie wniosku lub żądania, administrator w pierwszej kolejności powinien zweryfikować tożsamość podmiotu składającego wniosek. Musi być pewny, że tożsamość podmiotu jest potwierdzona, aby uniknąć sytuacji, w których osoba trzecia chce uzyskać dostęp do danych osobowych pod pretekstem zgłoszenia wniosku.
Po uzyskaniu potwierdzenia powinien sprawdzić, czy dane wskazanej osoby są przez niego faktycznie przetwarzane, a następnie ustosunkować się do danego wniosku. Administrator ma obowiązek udzielić odpowiedzi „bez zbędnej zwłoki, a w każdym razie w terminie miesiąca” (oczywiście z pewnymi wyjątkami np. w przypadku skomplikowanego charakteru żądania lub obsługiwanej liczby żądań).
Konsekwencją nierealizowania tego typu wniosków może być nałożenie na administratora lub procesora kary administracyjnej przez organ nadzorczy. Co i kiedy administrator może zrobić np. z błędnym wnioskiem? Albo czy za każdym razem musi wniosek spełnić? O tym już w kolejnym artykule o obowiązkach administratorów na gruncie RODO.