Realizacja praw osoby, gdy mamy wątpliwości co do jej tożsamości

Realizacja praw osób, których dane dotyczą (art. 15–22 RODO), w teorii wydaje się prosta. W praktyce już na wstępie pojawia się problem – skąd mamy wiedzieć, że osoba, która pisze do nas z wnioskiem, to faktycznie ta osoba, której dane dotyczą? Poza tym jak przeprowadzić właściwą weryfikację tożsamości, aby zachować równowagę między bezpieczeństwem a proporcjonalnością.
Zgodnie z art. 12 ust. 6 RODO „Jeżeli administrator ma uzasadnione wątpliwości co do tożsamości osoby fizycznej składającej wniosek, może zażądać dodatkowych informacji niezbędnych do potwierdzenia tożsamości.” Dwie rzeczy są tu kluczowe: „uzasadnione wątpliwości” – nie zawsze, nie automatycznie, a także to, że „niezbędnych” informacji – oznacza, że nie dowolnych, nie nadmiarowych.

Zatem weryfikacja tożsamości wnioskodawcy musi być:
• proporcjonalna,
• adekwatna do relacji z tą osobą,
• adekwatna do kategorii już przetwarzanych danych,
• adekwatna do ryzyka naruszenia praw i wolności.

Jak działa to w praktyce? Wyobraźmy sobie, że firma otrzymuje żądanie kopii danych od osoby, zapisanej do jej newslettera. W takiej sytuacji firma przetwarza jedynie adres e-mail i ewentualne informacje o sposobie i czasie wyrażenia zgody na otrzymywanie wiadomości.
Jeżeli wniosek przyszedł z adresu zapisanej skrzynki oraz brak znanych okoliczności wskazujących na przejęcie konta (np. publiczne informacje o takim zdarzeniu), można uznać to za wystarczającą weryfikację. Nie ma podstaw do żądania dodatkowych danych. Natomiast ważne jest, aby kopię danych wysłać na adres e-mail posiadany w bazie.
Natomiast jeżeli wniosek przyszedł z innego adresu, niezbędne jest zastosowanie dodatkowego mechanizmu weryfikacji, np. wysłanie linku weryfikacyjnego na zapisany adres.

W takim wypadku można poinformować wnioskodawcę o konieczności potwierdzenia tożsamości:
Otrzymaliśmy wniosek dotyczący realizacji prawa związanego z przetwarzaniem danych osobowych. W celu zapewnienia bezpieczeństwa danych oraz potwierdzenia tożsamości osoby składającej wniosek, wysłaliśmy wiadomość zawierającą link weryfikacyjny na adres e-mail znajdujący się w naszej bazie subskrybentów.

Uprzejmie prosimy o skorzystanie z przesłanego linku w terminie … dni. Kliknięcie linku pozwoli nam potwierdzić, że wniosek został złożony przez osobę uprawnioną do uzyskania dostępu do danych. Informujemy, że brak potwierdzenia uniemożliwi realizację wniosku ze względu na brak możliwości jednoznacznej identyfikacji osoby, której dane dotyczą (art. 12 ust. 6 RODO).

A co zrobić, gdy żądanie kopii danych przesłała osoba, która prowadziła z organizacją korespondencję mailową? Jeżeli wniosek przychodzi z tego samego adresu – najczęściej wystarczające.
Jeżeli przychodzi z innego adresu lub chcemy zachować daleko idącą ostrożność (na co pozwalają przepisy art. 12 ust. 6 RODO). Można poprosić o:
• wskazanie tematu ostatniej korespondencji,
• przybliżonej daty kontaktu,
• numeru sprawy (jeśli był nadany).

Przykładowa wiadomość do wnioskodawcy:

W celu zapewnienia bezpieczeństwa przetwarzanych informacji oraz potwierdzenia tożsamości osoby składającej wniosek, prosimy o przekazanie dodatkowych informacji umożliwiających jednoznaczną identyfikację. Uprzejmie prosimy o wskazanie:
– tematu ostatniej prowadzonej z nami korespondencji,
– przybliżonej daty kontaktu,
– numeru sprawy (jeżeli został nadany).

Informacje te pozwolą nam zweryfikować, czy wniosek pochodzi od osoby, której dane dotyczą. Dane te są już przetwarzane w ramach wcześniejszej korespondencji i zostaną wykorzystane wyłącznie w celu potwierdzenia tożsamości oraz realizacji wniosku, zgodnie z art. 12 ust. 6 RODO. Po otrzymaniu powyższych informacji niezwłocznie przystąpimy do dalszej realizacji wniosku.
To dane, które już posiadamy, możemy zweryfikować i nie rozszerzają zakresu przetwarzania.

„Proszę o wszystkie moje dane” – to jeden z najczęstszych problemów. Najpierw pojawia się pytanie, czy w ramach takiego żądania należy przekazać kopie wszystkich dokumentów / plików. Obowiązkiem administratora jest ułatwienie osobie, której dane dotyczą skorzystania z przysługujących jej uprawnień (art. 12 ust. 2 RODO), co w szczególności może oznaczać konieczność poproszenia o doprecyzowanie wniosku.

Przykładowa wiadomość z prośbą o doprecyzowanie:

W celu sprawnej i precyzyjnej realizacji prawa dostępu, o którym mowa w art. 15 RODO, uprzejmie prosimy o doprecyzowanie zakresu wniosku. Prosimy o informację, czy wniosek dotyczy:
– danych przetwarzanych w związku z konkretną umową / usługą (prosimy o wskazanie jaką),
– danych przetwarzanych w ramach prowadzonej korespondencji,
– danych przetwarzanych w celach marketingowych,
– czy też wszystkich powyższych kategorii.

Doprecyzowanie pozwoli nam przygotować odpowiedź w sposób adekwatny do Pani/Pana oczekiwań oraz uniknąć przekazania informacji, które nie są objęte rzeczywistym zakresem wniosku. Zgodnie z art. 12 ust. 2 RODO administrator ma obowiązek ułatwiać osobom, których dane dotyczą, korzystanie z przysługujących im praw – niniejsza prośba ma na celu zapewnienie sprawnej i rzetelnej realizacji wniosku.
Po otrzymaniu doprecyzowania niezwłocznie przystąpimy do dalszych działań.

To przyspiesza realizację, zmniejsza ryzyko błędu i ogranicza nadmiarowe ujawnienia.

W pewnych sytuacjach administrator może odmówić częściowej lub całkowitej realizacji wniosku, np.
• nie może zweryfikować tożsamości wnioskodawcy (art. 11 RODO),
• wniosek jest ewidentnie nieuzasadniony lub nadmierny (art. 12 ust. 5 RODO),
• realizacja narusza prawa innych osób.
Odmowa musi być uzasadniona, przekazana w terminie, zawierać pouczenie o prawie do skargi do UODO i możliwości skorzystania ze środków ochrony prawnej przed sądem.

Przykładowa odmowa z powodu braku możliwości identyfikacji:

W odpowiedzi na Pani/Pana wniosek dotyczący realizacji prawa dostępu do danych osobowych informujemy, że pomimo podjętych działań nie jesteśmy w stanie potwierdzić Pani/Pana tożsamości w stopniu pozwalającym na bezpieczne udostępnienie danych osobowych.
Zgodnie z art. 11 ust. 2 oraz art. 12 ust. 6 RODO administrator może zażądać dodatkowych informacji niezbędnych do potwierdzenia tożsamości osoby składającej wniosek. W sytuacji braku możliwości jednoznacznej identyfikacji osoby, której dane dotyczą, administrator nie jest zobowiązany do realizacji żądania.
Mając na uwadze konieczność zapewnienia poufności danych osobowych oraz ochrony praw i wolności osób, których dane dotyczą, na obecnym etapie nie możemy zrealizować wniosku.
W przypadku przekazania dodatkowych informacji umożliwiających potwierdzenie tożsamości, wniosek zostanie niezwłocznie ponownie rozpatrzony.
Zgodnie z art. 12 ust. 4 RODO informujemy, że przysługuje Pani/Panu prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych, a także prawo do skorzystania ze środków ochrony prawnej przed właściwym sądem.

„Umowa się skończyła, proszę usunąć wszystkie moje dane” – wiele razy widziałam takie wnioski o usunięcie danych. Z perspektywy osoby, której dane dotyczą – sprawa jest prosta: skoro umowa została zakończona, nie ma już podstaw do dalszego przetwarzania. Z perspektywy administratora – to wymaga analizy. W trakcie trwania umowy podstawą był art. 6 ust. 1 lit. b RODO (wykonanie umowy). Po jej zakończeniu ta podstawa wygasa. Ale często w jej miejsce wchodzą inne, np. jeżeli umowa wiązała się z wystawieniem faktur lub dokumentów księgowych, administrator ma obowiązek przechowywać je przez okres wynikający z przepisów (np. ustawy o rachunkowości czy Ordynacji podatkowej). W takim przypadku zastosowanie ma art. 17 ust. 3 lit. b RODO – prawo do usunięcia danych nie ma zastosowania, gdy przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego. W takim wypadku administrator powinien usunąć tylko te dane, dla których nie ma już dalszej przesłanki do legalnego przetwarzania (np. te, które były przetwarzane na podstawie zgody).

Przykładowa odpowiedź na wniosek o usunięcie danych – częściowa realizacja:

W odpowiedzi na Pani/Pana wniosek dotyczący usunięcia danych osobowych informujemy, że został on poddany analizie w kontekście podstaw prawnych przetwarzania danych oraz obowiązujących przepisów prawa.

Administrator realizuje Pani/Pana wniosek w zakresie danych przetwarzanych na podstawie zgody (art. 6 ust. 1 lit. a RODO). Dane te zostaną usunięte / zostały usunięte z naszych systemów w zakresie, w jakim ich dalsze przetwarzanie nie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń.

Jednocześnie informujemy, że w pozostałym zakresie dane osobowe nie mogą zostać usunięte, ponieważ ich przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. c RODO, tj. w celu wypełnienia obowiązku prawnego ciążącego na administratorze.

Obowiązek ten wynika w szczególności z przepisów … (np. ustawy o rachunkowości, Ordynacji podatkowej, ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu, Prawa bankowego – w zależności od przypadku), które nakładają na administratora obowiązek przechowywania dokumentacji przez określony przepisami czas.

W tym zakresie dane będą przechowywane wyłącznie przez okres wymagany przepisami prawa, a po jego upływie zostaną trwale usunięte lub zanonimizowane.

Zgodnie z art. 17 ust. 3 lit. b RODO prawo do usunięcia danych nie ma zastosowania w zakresie, w jakim przetwarzanie jest niezbędne do wywiązania się z obowiązku prawnego wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego.

Informujemy, że przysługuje Pani/Panu prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych, a także prawo do skorzystania ze środków ochrony prawnej przed właściwym sądem.