11 marca 2022 r. zakończył się etap publicznych konsultacji wytycznych Europejskiej Rady Ochrony Danych (EROD) 01/2022 w sprawie prawa dostępu do danych. Wytyczne są obszernym dokumentem, dlatego pokrótce zostaną omówione wyłącznie niektóre kwestie w nich poruszone.

EROD postuluje, by prawo dostępu do danych zapewniało możliwość pozyskania informacji o przetwarzanych danych osobowych w sposób łatwy, przejrzysty oraz efektywny. Ma to umożliwić weryfikację zarówno legalności przetwarzania danych osobowych przez administratora, jak i ich prawidłowości, co ułatwi wykonywanie innych praw osoby, której dane dotyczą. Prawo dostępu do danych należy przy tym odróżnić od realizacji innych, podobnych praw. Przenosząc wytyczne w tym zakresie na grunt krajowy, jako przykład można wskazać prawo dostępu do dokumentacji medycznej i jej kopii. Co istotne, EROD zdaje się traktować prawo dostępu do danych jako prawo, z którego osoba niejako domyślnie korzysta, zwracając się o informacje o sobie, chyba że wskaże wprost, że składa żądanie na innej podstawie prawnej niż art. 15 RODO[1].

EROD w wytycznych zwraca uwagę również na to, że rolą administratora nie jest dokonywanie analizy, czy sposób realizacji prawa osoby, której dane dotyczą, pozwoli jej na weryfikację legalności przetwarzania danych albo na wykonanie następczo innych praw, które jej przysługują.

W wytycznych podkreślono, że administrator powinien zapewnić, by komunikacja z nim była łatwa i przyjazna dla egzekwującego swoje uprawnienie. Dopuszczalne jest tworzenie odpowiednich kanałów komunikacji w tym celu, jednak administrator nie może wymagać, by osoba, której dane dotyczą, kierowała do niego swoje żądania wyłącznie tym kanałem. Istotne jest jednocześnie potwierdzenie tożsamości osoby, która zgłasza żądanie wykonania prawa dostępu, tak by nie mieć wątpliwości, że jest ona osobą, za którą się podaje. Jeżeli administrator nie jest co do tego przekonany, powinien zwrócić się o podanie dodatkowych informacji, które umożliwią zidentyfikowanie osoby. Należy jednak pamiętać, że zakres żądanych informacji powinien być proporcjonalny do danych już przetwarzanych przez administratora. Potwierdzenie tożsamości nie powinno prowadzić do gromadzenia przez administratora nadmiarowych danych osobowych.

Według EROD prawo dostępu do danych dotyczy wszystkich danych osobowych wnioskodawcy, które są przetwarzane przez administratora – również tych poddanych pseudonimizacji – a pojęcie danych osobowych należy rozumieć szeroko. Jednym z elementów, który wzbudził kontrowersje w ramach publicznych konsultacji wytycznych, to wskazanie przez EROD, że zakresem prawa dostępu do danych mogą być objęte także dane osobowe innej osoby. Jako przykład podano przechowywaną przez usługodawcę historię komunikacji zawierającą wychodzące i przychodzące wiadomości.

Zgodnie z wytycznymi prawo dostępu do danych może być realizowane na wiele różnych sposobów, w zależności od ilości danych osobowych czy skomplikowania procesu przetwarzania. EROD informuje, że jeżeli w żądaniu nie wskazano inaczej, prawo dostępu do danych dotyczy wszystkich danych osobowych zgromadzonych w zasobach administratora. Administrator jest jednak uprawniony do zwrócenia się o sprecyzowanie żądania, jeżeli ilość przechowywanych przez niego danych dotyczących wnioskującego jest znaczna. Ponadto jeżeli dane osobowe przetwarzane przez administratora są w formie kodowej lub w postaci innego rodzaju „surowych danych”, administrator ma obowiązek zapewnić wyjaśnienie przekazywanych informacji w taki sposób, by były zrozumiałe dla wnioskodawcy. Przejrzystość w komunikacji z osobą, której dane dotyczą, jest widocznie akcentowana w wytycznych. Jako jedno z rozwiązań w sytuacji, gdy administrator przetwarza dużą ilość danych, wskazano możliwość zastosowania podejścia warstwowego, które ułatwi osobie zrozumienie przekazywanych jej danych i informacji. Administrator musi być w stanie wykazać, że podejście warstwowe do wykonania prawa dostępu do danych stanowi wartość dodaną dla osoby. Niemniej osoba ta może domagać się zrezygnowania z podejścia warstwowego w stosunku do niej.

Kopia danych oraz informacje o danych osobowych powinny być przekazane na stałym nośniku, przez co rozumieć należy formę elektroniczną (m.in. hiperłącze), dzięki czemu osoba może pobrać informacje lub kopię danych. Europejska Rada Ochrony Danych wskazuje, że dopuszczalne jest również przekazanie kopii danych osobowych w formie transkrypcji lub zestawienia, jeżeli nie spowoduje to zmiany treści ani zawartości danych. Jednocześnie administrator nie powinien usuwać danych po uzyskaniu wniosku o dostęp do danych, a przed ich realizacją. W wytycznych podkreślono, że administrator powinien zapewnić obsługę żądania osoby w taki sposób, że nawet jeżeli przed upływem terminu na wykonanie prawa dostępu do danych upływa termin retencji danych, to w pierwszej kolejności należy zrealizować wniosek, a następnie usunąć dane osobowe. Dotyczy to także administratorów, którzy przetwarzają dane osobowe wyłącznie przez krótki czas.

W wytycznych odniesiono się też do wyjątków od wykonywania prawa dostępu do danych. Zgodnie z art. 15 ust. 4 RODO prawo do uzyskania kopii danych nie może niekorzystnie wpływać na prawa i wolności innych osób. EROD podnosi, że wyjątek ten należy jednak ujmować wąsko. Nie umożliwia on zupełnej odmowy realizacji prawa osoby, której dane dotyczą, ale może skutkować nieprzekazaniem części kopii przetwarzanych danych osobowych. Ponadto administrator jest uprawniony do niewykonania prawa dostępu do danych w przypadku, gdy żądanie byłoby nadmierne lub ewidentnie nieuzasadnione, albo do pobrania rozsądnej opłaty, uwzględniającej administracyjne koszty udzielenia informacji, prowadzenie komunikacji lub podjęcie żądanych działań (art. 12 ust. 5 RODO). W wytycznych opowiedziano się za wąskim rozumieniem tych wyjątków, jednak przy ich omawianiu EROD podniosła, że administrator nie może dowolnie wybrać, czy odmówi wykonania uprawnienia, czy też pobierze rozsądną opłatę w przypadku żądania o charakterze nadmiernym. EROD wymaga od administratora dokonania adekwatnej decyzji – w zależności od okoliczności sprawy – w zakresie wyboru pomiędzy tymi środkami. Jest to o tyle kontrowersyjne, że z RODO nie wynika tego rodzaju ograniczenie wyboru. Wątpliwe są również podstawy, na których organ krajowy mógłby zakwestionować wybór administratora w tym zakresie. Zgodnie z art. 12 ust. 5 RODO to administrator dokonuje wyboru, w jaki sposób powinien zareagować w przypadku, gdy żądanie jest ewidentnie nieuzasadnione lub nadmierne.

W ramach konsultacji publicznych ponad 70 podmiotów zgłosiło uwagi do przedstawionych wytycznych, z których część dotyczy mniej lub bardziej kontrowersyjnych propozycji EROD. Możliwe więc, że treść samych wytycznych ulegnie jeszcze zmianie. Pomimo że wytyczne EROD nie są prawem, to już teraz stanowią cenną wskazówkę co do stosowania RODO dla administratorów i osób, których dane dotyczą.

Wytyczne dostępne są pod adresem.

[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).