Jak się zachować, gdy ktoś pyta skąd masz jego dane osobowe

Co zrobić i jak się zachować, gdy otwierasz swoją skrzynkę e-mail, a tam wiadomość od jednego z Twoich odbiorców z pytaniem:
Skąd ma Pani moje dane osobowe i na jakiej podstawie je Pani przetwarza?

W takiej sytuacji przede wszystkim zachowaj spokój i nie wpadaj w panikę. Takie żądania wynikają z prawa dostępu do danych, przysługującego podmiotom, których dane osobowe przetwarzasz. Właściciele danych osobowych mogą w każdej chwili skorzystać z tego prawa, a Ty musisz na nie odpowiedzieć. Z pewnością nie jest to coś, czego powinnaś się obawiać jako administrator danych osobowych. Oczywiście pod warunkiem, że zadbałaś wcześniej o to, aby Twoje działania były zgodne z RODO i wypełniały nałożone przez to rozporządzenie obowiązki.

Z tego artykułu dowiesz się jak prawidłowo zachować się w takiej sytuacji. Przygotowałam dla Ciebie instrukcję, co krok po kroku powinnaś zrobić, jeśli takie żądanie zostanie do Ciebie skierowane. Przekonasz się, że strach ma wielkie oczy i nie ma się czego obawiać.

punktor Zacznijmy od początku… czyli zadbaj wcześniej o legalne przetwarzanie danych

Zanim przejdę do szczegółowej instrukcji, dotyczącego tego jak reagować na żądania dostępu do danych osobowych, chciałabym podkreślić, że kluczowe w tym zakresie jest legalne przetwarzanie danych osobowych. Jako osoba działająca w sieci i zbierająca dane osobowe musisz to robić zgodnie z obowiązującym prawem. Jeśli nie zadbasz o to już na początku, potem będziesz narażona nie tylko na stres związany z realizacją żądań o dostęp do danych, ale też na nieprzyjemne konsekwencje administracyjno-prawne.

Jeśli nie wiesz, czy właściwie zadbałaś o tę kwestię, odsyłam Cię do moich artykułów, które pomogą Ci w opracowaniu niezbędnych dokumentów i spełnieniu prawnych obowiązków.

O czym należy pamiętać przy zakładaniu strony internetowej 
Poproś o zgodę, czyli jak legalnie gromadzić dane osobowe
Polityka prywatności – jak ją dobrze opracować?
Kiedy powinnaś zadbać o regulamin na swojej stronie internetowej
Obowiązek informacyjny administratorów danych osobowych – kiedy i jak powinnaś go realizować

punktor Czym jest prawo dostępu do danych?

Czym właściwie jest prawo dostępu do danych? Jest to uprawnienie właścicieli danych osobowych do uzyskania od administratora (czyli od Ciebie) potwierdzenia, czy przetwarzasz ich dane osobowe. Jeśli tak, to te osoby mają prawo dostępu do swoich danych osobowych oraz do uzyskania informacji o sposobie i celu ich przetwarzania.

punktor W jakim czasie powinnaś zareagować?

Twoja reakcja na zgłoszenie powinna nastąpić bez zbędnej zwłoki, na co wskazuje art. 12 ust. 3 RODO. Czas ten nie może być jednak dłuższy, niż w miesiąc od zgłoszenia tego żądania. Mimo to nie zwlekaj z odpowiedzią do ostatniej chwili i jeśli to możliwe udziel niezbędnych informacji szybciej, niż wskazuje na to maksymalny termin. Pojęcie „bez zbędnej zwłoki” co prawda nie jest precyzyjne, ale powszechnie stosowane w polskim prawie. W polskim orzecznictwie przyjmuje się, że pojęcie „bez zbędnej zwłoki” oznacza maksymalnie 14 dni.

Chodzi o to, abyś zrealizowała dane zadanie tak szybko, jak jest to możliwe z technicznego i organizacyjnego punktu widzenia. Na przykład jeśli Twoja główna działalność skupia się wokół strony internetowej, na której masz okno do zapisu na newsletter oraz sklep internetowy, to ustalenie informacji, których ktoś właśnie od Ciebie zażądał nie powinno zająć Ci dużo czasu. Wystarczy, że zalogujesz się do swojej platformy, służącej do wysyłki newsletteru oraz zweryfikujesz swój system zamówień w sklepie i już wiesz jakie dane tej osoby przetwarzasz, w jaki sposób i w jakim celu.

Jeśli natomiast prowadzisz ogromną korporację, do tego o profilu medycznym, to ustalenie podstawowych danych jest dużo trudniejsze. Poza tym mogą być to dane wrażliwe, co do których trzeba mieć pewność, że są bezpieczne, nie wpadną w niepowołane ręce. Przede wszystkim ryzyko wyłudzenia danych z takiej firmy jest dużo wyższe, a więc środki ostrożności powinny być też dużo bardziej zaawansowane. Zatem inspektorowi ochrony danych w takiej firmie zajmie więcej czasu, aby odpowiedzieć na żądanie, niż firmie, która działa wyłącznie online, sprzedając swoje produkty w e-sklepie.  

Może się też tak zdarzyć, że z różnych powodów miesiąc to za mało na udzielenie prawidłowej, zgodnej z RODO odpowiedzi. Wówczas można ten czas wydłużyć o kolejne dwa miesiące. W takiej sytuacji w terminie miesiąca od zgłoszenia żądania powinnaś poinformować o tym wydłużonym czasie przygotowania odpowiedzi.

punktor W jakiej formie należy odpowiedzieć?

Skoro wiesz już jak szybko musisz zareagować na żądanie dostępu do danych, to teraz przydałaby się wiedza na temat tego, w jaki sposób odpowiedzieć. Czy wystarczy wysłać wiadomość e-mail, czy może jednak powinnaś nadać tradycyjny list pocztą? A może mogłabyś od razu zadzwonić do tej osoby i odpowiedzieć telefonicznie? W zasadzie każdy z tych sposobów może być właściwy, ale pod pewnymi warunkami.

Jeśli żądanie zostało do Ciebie wysłane w formie elektronicznej, to również w takiej formie powinnaś na nie odpowiedzieć. Adres e-mail w sposób dorozumiany staje się wówczas adresem do korespondencji w celu zrealizowania prawa dostępu do danych. Jednak nadawca wiadomości może w treści żądania zaznaczyć, że chciałby otrzymać odpowiedź inaczej, niż elektronicznie. Wówczas powinnaś zrealizować jego żądanie.

Możliwe jest też udzielenie odpowiedzi ustnie, jeśli właściciel danych wyrażą taką chęć. W tym wypadku możesz jednak odmówić udzielenia informacji w taki sposób, ponieważ może być to niebezpieczne z kilku powodów. Po pierwsze, może być to próba wyłudzenia danych. Bezpieczniej jest poprosić o napisanie wiadomości e-mail w tej sprawie, na wskazany przez Ciebie adres e-mail. Tym bardziej, jeśli adres e-mail jest główną daną osobową, którą przetwarzasz. Możesz wtedy zweryfikować, czy ta osoba faktycznie ma dostęp do tego konta mailowego.

Po drugie, udzielając odpowiedzi ustnie, w tym telefonicznie, nie masz żadnego potwierdzenia, że na skierowane do Ciebie żądanie odpowiedziałaś w wyznaczonym czasie i udzieliłaś wszystkich niezbędnych informacji.

Po trzecie, przy odpowiedzi pisemnej masz więcej czasu, aby się zastanowić co napisać i sprawdzić, czy na pewno informujesz o wszystkim, o czym powinnaś. Jest to duże ryzyko popełnienia nieświadomie błędu. Lepiej tego unikać.

punktor Postępuj zgodnie z instrukcją

Aby ułatwić Ci proces odpowiadania na żądania o dostęp do danych, opracowałam dla Ciebie instrukcję. Wyjaśniam w niej krok po kroku co powinnaś zrobić, jak się zachować i na co zwrócić uwagę. Nie pomijaj żadnego z punktów, ponieważ wszystkie są równie istotne.

1. Zweryfikuj tożsamość adresata żądania

Zanim odpowiesz na jakiekolwiek żądanie, upewnij się, że to nie jest próba wyłudzenia danych. Wiem, że powtarzam to już kolejny raz, ale jest to jedno z poważniejszych zagrożeń w świecie online. Sprawdź tożsamość osoby, która do Ciebie napisała. Upewnij się, że napisała z właściwego adresu e-mail i podpisała się powiązanymi z tym adresem danymi.

2. Poinformuj, że zgłoszenie zostało przyjęte

Po otrzymaniu wiadomości odpisz, że zgłoszenie żądania zostało przyjęte, a odpowiedź na nie zostanie wysłana niezwłocznie, w terminie nieprzekraczającym 30 dni. To ważne dla właścicieli danych, aby mieli świadomość, że ich mail dotarł i wkrótce otrzymają odpowiedź. Taka komunikacja jest bardzo ważna z punktu widzenia Twoich odbiorców/klientów. Świadczy o Twoim profesjonalizmie i poważnym podejściu do tematu.

3. Ustal wszystkie niezbędne informacje dotyczące przetwarzania

Teraz musisz ustalić wszystkie informacje dotyczące tej konkretnej osoby i jej danych, które przetwarzasz. Pomoże Ci w tym poniższa lista. Opracowałam ją na podstawie rozporządzenia RODO.  Zawiera wszystko, o czym musisz poinformować w odpowiedzi na żądanie.

1. Jaki jest cel przetwarzania przez Ciebie danych tej osoby?

2. Jakie dokładnie kategorie danych przetwarzasz?

3. Kto jest odbiorcą tych danych, tj. komu te dane zostały już przez Ciebie ujawnione, albo komu zamierzasz je ujawnić? W szczególności, czy tymi odbiorcami są organizacje międzynarodowe, albo podmioty w państwach trzecich.

4. Jak długo będziesz przechowywała te dane, a jeśli nie jesteś w stanie określić czasu przechowywania danych, to powinnaś wskazać jakie kryteria przyjęłaś do oceny czy dane już należy usunąć, czy też nie?

5. Jakie prawa przysługują właścicielom danych, tj. prawo do żądania sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych, prawo do wniesienia sprzeciwu wobec przetwarzania danych osobowych, prawo do wniesienia skargi do organu nadzorczego. W odpowiedzi na żądanie wymień je wszystkie.

6. Jeżeli dane te otrzymałaś od innego podmiotu, niż osoba, której te dane dotyczą, to powinnaś wskazać na źródło otrzymania tych danych.

7. Czy dane są przetwarzane w sposób zautomatyzowany, czy są profilowane, a jeśli tak, to jakie ma to konsekwencje dla osoby, do której należą te dane.

4. Umieść wszystkie informacje w pliku tekstowym

Wszystkie informacje zebrane na podstawie poprzedniego punktu umieść w pliku tekstowym. Dodaj wstęp, czyli w jakim celu piszesz (w odpowiedzi na żądanie) oraz zakończenie, w którym w razie dodatkowych pytań zaprosisz do kontaktu.

5. Zadbaj o przejrzystość i czytelność

Następnie, dopracuj plik tekstowy, który przygotowałaś, pod względem wizualnym. Spraw, aby był przejrzysty i czytelny. Osoba, która go otrzyma nie może mieć wątpliwości o co w nim chodzi i co chciałaś tym przekazać. Tekst musi być napisany jasnym i prostym językiem. Jeśli nie wiesz czy udało Ci się osiągnąć ten efekt, to postaraj się wczuć w swojego odbiorcę. Powinnaś mniej więcej wiedzieć kim są Twoi odbiorcy, co z pewnością ułatwi zadanie.

Mam jeszcze jedną ważną uwagę. Wiem, że często nasze teksty, treści wiadomości e-mail, itp. dajemy innym osobom do sprawdzenia. Nie rób tego w tym przypadku, jeśli ta osoba nie jest Twoim pracownikiem/współpracownikiem i nie ma Twojego pisemnego upoważnienia. Nawet, jeśli to ktoś z Twojego najbliższego otoczenia. Pamiętaj, że tam są czyjeś dane osobowe i osoby nieupoważnione nie mogą mieć do nich dostępu.

6. Wyślij odpowiedź w wyznaczonym czasie

Pamiętaj, aby wyrobić się z odpowiedzią w wyznaczonym czasie. Najlepiej wpisz to do kalendarza, albo ustaw sobie przypomnienie.

punktor O czym jeszcze powinnaś wiedzieć?

Dodatkowo, warto wiedzieć, że w określonych przypadkach możesz nałożyć niewielką opłatę administracyjną w zamian za udzielenie informacji. Może to nastąpić na przykład wówczas, gdy nadawca żądania chciałby otrzymać te informacje pocztą tradycyjną, a Tobie generuje to znaczący koszt.

Ponadto, warto sobie przygotować wzór takiej odpowiedzi, aby móc szybciej i sprawniej odpowiadać na żądania Twoich odbiorców. Możesz też opracować wzór na podstawie Twojej pierwszej odpowiedzi na żądanie, która się pojawi.

Jak widzisz, nie jest to skomplikowane, ale warto temu poświęcić trochę czasu, aby profesjonalnie i bez błędów wypełnić swoje RODO obowiązki i zrealizować prawo dostępu Twoich odbiorców i klientów.

Gdybyś potrzebowała pomocy w tym zakresie napisz do mnie na adres kontakt@poprawniewsieci.pl

Karo

Dodaj komentarz