Prawo do informacji na podstawie art. 15 GDPR jest jednym z praw osoby, której dane dotyczą, wynikających z GDPR. To, jak daleko to prawo powinno ostatecznie sięgać w praktyce, jest prawnie uznawane za kontrowersyjne. Teraz Europejska Rada Ochrony Danych (EDSA) wydała pierwszy projekt wytycznych dotyczących art. 15 GDPR i prawa dostępu. Mimo że jest to dopiero pierwszy projekt, który będzie teraz początkowo przedmiotem procedury konsultacji społecznych, można powiedzieć, że EDSA opowiada się za szeroką interpretacją dla osób, których dane dotyczą.
Poznaj szczegóły dotyczące treści tego projektu wytycznych tutaj.
Treść prawa dostępu zgodnie z art. 15 DSGVO
Prawo dostępu ma umożliwić osobie, której dane dotyczą, łatwe uzyskanie informacji o przetwarzaniu jej własnych danych osobowych. W ten sposób osoba, której dane dotyczą, powinna być w stanie sprawdzić zgodność z prawem przetwarzania i dokładność danych. Służy to również ułatwieniu wykonywania innych praw osoby, której dane dotyczą.
Jednak gdy osoba, której dane dotyczą, składa wniosek o udzielenie informacji, nie musi podawać przyczyny. Administrator nie może zatem odrzucić wniosku, ponieważ osoba, której dane dotyczą, nie byłaby w stanie sprawdzić jego zgodności z prawem lub dochodzić innych praw. Administrator musi udzielić informacji w odpowiedzi na wniosek, chyba że wniosek jest wyraźnie nieuzasadniony lub nadmierny.
Z grubsza rzecz biorąc, prawo do informacji można podzielić na trzy elementy:
- Informacje o tym, czy dane dotyczące osoby, której dane dotyczą, były przetwarzane, czy też nie
- Udostępnienie odpowiednich danych osobowych
- Informacje o przetwarzaniu (np. cel, kategorie danych i odbiorców, czas trwania przetwarzania itp.)
Treść: Informacja o przetwarzaniu danych
Administrator musi ocenić, czy wniosek o udzielenie informacji rzeczywiście dotyczy danych osobowych osoby, której dane dotyczą. Ponadto należy wziąć pod uwagę, czy dane te w ogóle wchodzą w zakres zastosowania art. 15 GDPR, czy też w obszarze działalności administratora obowiązują bardziej szczegółowe regulacje, które mogą ograniczać informacje.
Nie ma szczególnych wymogów dotyczących formatu informacji. Administrator udziela informacji za pośrednictwem rozsądnego i odpowiedniego dla podmiotu danych kanału. O ile we wniosku nie określono inaczej, administrator danych musi udzielić informacji na temat wszystkich przetwarzanych danych. Czyniąc to, musi on przeszukać wszystkie swoje systemy.
Jeżeli administrator nie znajdzie żadnych danych osoby, której dane dotyczą, informuje o tym również osobę, której dane dotyczą. W takim przypadku lub jeśli administrator ma wątpliwości co do tożsamości osoby, której dane dotyczą, może zażądać dodatkowych informacji (odpowiednich do kategorii danych, których może to dotyczyć) w celu identyfikacji.
Zakres: Dostarczanie danych
EDSA odnosi się również do kwestii zakresu prawa dostępu. W tym względzie EDSA odnosi się do definicji danych osobowych zawartej w art. 4 I GDPR.
Oprócz podania informacji o wszystkich przetwarzanych danych, które mieszczą się w tej definicji, administrator musi również podać informacje o formie przetwarzania i ewentualnych prawach osoby, której dane dotyczą.
Ograniczenia prawa dostępu zgodnie z art. 15 GDPR
Wysiłek wymagany do uzyskania informacji musi być zawsze proporcjonalny. Ponadto nie można naruszać żadnych praw ani wolności osób trzecich. W razie potrzeby osoba odpowiedzialna musi wyjaśnić istnienie tych konstelacji.
Administrator danych ma również prawo odmówić żądaniom, które są oczywiście nieuzasadnione lub nadmierne. Według EDSA ma to miejsce tylko w bardzo niewielkiej liczbie wąsko określonych przypadków.
Ponadto prawo do informacji może być również ograniczone przez prawo krajowe (w Niemczech np. BDSG) (art. 23 GDPR).
Szczegóły dotyczące praktyki
Tekst Projekt EDSA można obejrzeć w Internecie. W nim EDSA bardzo szczegółowo omawia wszystkie poruszone tu kwestie.
Jeśli masz jakiekolwiek pytania dotyczące prawa do informacji i jego realizacji, nasz zespół ekspertów chętnie Ci pomoże!