Świętuj z nami >>

Realizacja praw podmiotów danych w internecie

Żądania osób, których dane dotyczą – zakres uprawnień w RODO

RODO zachęca do skorzystania z realizacji praw przez wszelkie podmioty danych, a więc także te, których dane są przetwarzane przez podmioty z branży internetowej. Takimi podmiotami praw są np. użytkownicy internetu, którzy:przeglądają strony internetowe, korzystają z usług skrzynek pocztowych, dokonują zakupów w sklepach internetowych, biorą udział w konkursach ogłaszanych na stronach internetowych czy też wypowiadają się na stronach portali czy w serwisach społecznościowych. W związku z tym powstała konieczność stworzenia procedury umożliwiającej wystąpienie przez danego użytkownika z odpowiednim żądaniem do danego podmiotu z branży internetowej. Grupa Wdrożeniowa GDPR IAB Europe opracowała dokument roboczy odnoszący się do żądań pod- miotów danych35 celem wskazania wytycznych w tym zakresie. Dokument ten pokazuje, w jaki sposób użytkownicy internetu mogą skorzystać z przysługujących im praw.

Procedura realizacji praw dotyczy wszystkich uprawnień zagwarantowanych w art. 12-22 RODO, motywach 39, 58-72, 166 i 167 preambuły RODO oraz art. 3-5 uodo. Procedura realizacji praw pod- miotów danych powinna w szczególności określać zasady postępowania dotyczące rozpatrywania następujących rodzajów żądań podmiotów w zakresie realizacji ich uprawnień:

  • prawa dostępu do informacji, w tym prawa do kopii danych (art. 15),
  • prawa do sprostowania danych (art. 16),
  • prawa do zapomnienia (art. 17),
  • prawa do ograniczenia przetwarzania (art. 18),
  • prawa do przenoszenia danych (art. 20),
  • prawa do sprzeciwu (art. 21),
  • prawa do niepodlegania automatycznym rozstrzygnięciom indywidualnym (art. 22).

Procedura realizacji żądań osób, których dane dotyczą

Każdy z administratorów danych z branży internetowej powinien opracować procedurę realizacji praw podmiotów danych, których dane przetwarza. Procedura powinna zawierać co najmniej takie elementy jak: zasady i tryb przyjmowania żądań (wniosków) podmiotów danych, termin i sposób ich rozpatrzenia, a także zasady postępowania w przypadku pozytywnego i negatywnego rozpoznania wniosku.

Procedurę realizacji praw podmiotów danych (użytkowników internetu) można opisać w pięciu, następujących krokach:

Po pierwsze, konieczne jest przygotowanie procedury wskazującej sposób realizacji żądań osób, których dane dotyczą oraz udostępnienie adresu e-mail bądź formularza elektronicznego do zgłaszania żądań.

Po drugie, niezbędne jest ustalenie swojej roli, tj. czy dla danych osobowych, których dotyczy żądanie, jest się administratorem (współadministratorem) tych danych czy też procesorem. Ma to istotne znaczenie prawne, adresatem obowiązków określonych w art. 12-22 RODO jest bowiem administrator danych. Jeżeli z analizy wynika, że podmiot, do którego skierowano wniosek, jest pod- miotem przetwarzającym, niezbędne jest przekazanie tego żądania do właściwego administratora lub, jeżeli to przewiduje umowa z administratorem, rozpoznanie żądania zgodnie z instrukcjami administratora.

Po trzecie, konieczne jest sprawdzenie, czy żądanie nie jest objęte wyjątkiem od obowiązku realizacji żądania osoby, których dane dotyczą (art. 11 ust. 1 RODO).

Po czwarte, należy zweryfikować tożsamość osoby występującej z żądaniem. Istotne jest, że w przypadku posiadania uzasadnionych wątpliwości co do tożsamości osoby występującej z żądaniem (użytkownika) podmiot z branży internetowej może zażądać dodatkowych informacji niezbędnych do potwierdzenia tożsamości takiej osoby (art. 12 ust. 6 RODO).

Po piąte, po dokonaniu wyżej wymienionych weryfikacji, podmiot z branży internetowej realizuje żądanie użytkownika bądź odmawia realizacji, jeżeli istnieją ku temu podstawy. Rozpatrzenie żądania następuje w terminie 30 dni od dnia otrzymania wniosku, co oznacza, że w tym terminie powinna zostać wysłana do wnioskodawcy informacja o sposobie rozpoznania wniosku. W razie potrzeby ter- min można przedłużyć o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań (art. 12 ust. 3 RODO). W takim przypadku informację o przedłużeniu terminu należy przekazać w ciągu 30 dni od otrzymania żądania, powiadamiając o tym wnioskodawcę z podaniem przyczyn opóźnienia.

Administrator danych może zwrócić się do wnioskodawcy z wezwaniem o uzupełnienie wniosku, wraz z informacją, że jego nieuzupełnienie spowoduje odmowne rozpatrzenie wniosku, w sytuacjach gdy:

  • podane we wniosku informacje nie umożliwiają przesłania odpowiedzi oraz kopii danych osobowych,
  • wniosek jest niejasny lub niezrozumiały,
  • wniosek dotyczy przekazania kopii danych lub przeniesienia danych, ale wnioskodawca nie określił zakresu danych do skopiowania lub przeniesienia,
  • wniosek dotyczy przeniesienia danych, ale wnioskodawca zażądał użycia for-matu danych lub technologii, które nie są stosowane przez danego administratora,
  • wniosek dotyczy przeniesienia danych, ale wnioskodawca nie podał nazwy i adresu innego administratora lub podał błędny adres lub nazwę administratora, do którego zażądał przeniesienia

W wezwaniu powinien zostać określony ter-min, w którym wnioskodawca powinien uzupełnić wniosek.

Administrator może negatywnie rozpatrzyć wniosek, w sytuacji gdy:

  • wniosek jest nieuzasadniony, w szczególności gdy pozytywne załatwienie wniosku jest prawnie niedopuszczalne lub niewymagane,
  • wniosek jest nadmiarowy, w szczególności gdy jest składany ustawicznie, co oznacza wniosek składany częściej niż raz na 2 miesiące w tej samej kategorii sprawy,
  • brak możliwości technologicznych zrealizowania wniosku, w sytuacji wniosku o przeniesienie danych,
  • wniosek nie został w terminie uzupełniony przez wnioskodawcę o informacje, pomimo wezwania wysłanego do wnioskodawcy.

W przypadku negatywnego rozpatrzenia wniosku skierowana do wnioskodawcy informacja powinna zawierać uzasadnienie negatywnej decyzji oraz pouczenie o możliwości wniesienia przez wnioskodawcę skargi do organu nadzorczego oraz skorzystania ze środków ochrony prawnej przed sądem.

W sytuacji pozytywnego rozpatrzenia wniosku podejmowane przez administratora działania powinny mieć na celu ochronię interesów podmiotów danych, np. w przypadku przekazywania kopii danych osobowych lub przeniesienia danych powinny być one dodatkowo zabezpieczane w zależności od formy ich przesyłania.

Poniżej przedstawiono schemat graficzny ww. procedury.

Schemat graficzny procedury realizacji praw podmiotów danych, których dane są przetwarzane

Problemy praktyczne z realizacją praw podmiotów danych winternecie

Największe problemy w branży internetowej z realizacją praw osób, których dane dotyczą, poja-wiają się w przypadku realizacji żądań dotyczących udzielenia kopii danych i ich usunięcia. Więk-szość tych podmiotów zbiera bowiem i przetwarza informacje, które bezpośrednio nieidentyfikują osób fizycznych (tzw. dane pseudonimizowane), gdyż nie jest to ich celem.Zaliczamy do nich pliki cookie, adres internetowy IP czy identyfikator telefonu komórkowego IMEI. Pliki te identyfikują dane urządzenia i przeglądarki używane do przeglądania stron internetowych, nie dają jednak moż- liwości ustalenia tożsamości użytkownika, gdyż nie są w żaden sposób łączone z jego danymi oso- bowymi.

Administratorzy, będąc w posiadaniu wyłącznie tych danych, aby móc odpowiedzieć na żądanie,muszą wykonać dodatkowe działania, aby pozyskać dane umożliwiające identyfikację osoby.Zasto- sowanie w takim przypadku znajduje art. 11 ust. 1 RODO, który stanowi, że administrator nie ma obowiązku zachowania, uzyskania ani przetworzenia dodatkowych informacji w celu zidenty- fikowania osoby, której dane dotyczą wyłącznie po to, aby zastosować się do wymogów okre- ślonych w RODO. Zapis ten należy interpretować w ten sposób, że jeżeliadministrator nie jest w stanie zidentyfikować osoby fizycznej na podstawie posiadanych danych osobowych, to ma on prawo – po uprzednim powiadomieniu tej osoby, o ile jest to możliwe,(art. 11 ust. 2 RODO) – odmó- wić realizacji praw wynikających z przepisów art. 15-20 RODO.Odmowa taka nie jest jednak dopusz- czalna, jeżeli podmiot danych, na prośbę administratora, dostarczy dodatkowych informacji, które pozwolą na jego identyfikację.

W powyższym kontekście warto również przypomnieć, że podmiot z branży internetowej, jeżelitylko ma uzasadnione wątpliwości w tym względzie, może zażądać dodatkowych informacji niezbędnych do potwierdzenia tożsamości osoby, której dane dotyczą (art. 12 ust. 6 RODO). W praktyce admini- stratorzy z branży internetowej żądają od wnioskodawców np. złożeniaoświadczenia, że są jedynymi posiadaczami czy użytkownikami przeglądarki lub urządzenia mobilnego, przy pomocy którego przetwarzane były dane osobowe objęte żądaniem.

W swoich wytycznych również Grupa Wdrożeniowa GDPR IAB Europe36 zwraca szczególną uwagę na konieczność weryfikacji tożsamości osoby składającej wniosek z żądaniem realizacji praw. Jest to kluczowe w przypadku realizacji żądań dotyczących prawa do kopii danych, gdyżistnieje tu wysokie ryzyko naruszenia danych osobowych poprzez bezpodstawne udostepnienie osobom niepożąda- nym. Konsekwencje takiego działania przeważają nad potrzebą ujawnienia np. historii przegląda- nych stron. Administratorzy z branży internetowej powinni więc stworzyćmechanizm do weryfikacji tożsamości, który pozwoli zidentyfikować użytkownika oraz spełnić żądania w zakresie zbierania jego aktywności na witrynach administratora. Sposoby weryfikacji powinny być szczegółowo opi- sane w procedurze realizacji praw podmiotów danych osobowych. Dotyczy to danych zarówno nie- pseudonimizowanych, takich jak adresy email, jak i pseudonimizowanych, takich jak identyfikatory internetowe (np. cookies).

a)  Dane niepseudonimizowane

W przypadku danych niepseudonimizowanych, jeżeli użytkownik logował się do witryny poprzez formularz logowania, np. do poczty elektronicznej, forum czy sklepu internetowego, to wówczas wszystkie działania użytkownika przypisywane są do jego konta i administrator może je z łatwością uzyskać i udostępnić. W celu identyfikacji może poprosić o wypełnienie formularza na stronie firmy, kliknięcie w link weryfikacyjny czy podanie numeru PIN nadanego podczas rejestracji. W przypadku udostępniania danych wrażliwych wskazane jest stosowanie wieloetapowej weryfikacji. W przypadku gdyby użytkownik żądał podania mu wszystkich informacji, jakie zbiera wydawca za pomocą identyfikatorów, wówczas może on udostępnić jedynie informacje na temat stron aktywności, które zostały przypisane do zalogowanego konta użytkownika. Nie może podać danych o całej aktywności (zawartych w cookies), a które zostały zarejestrowane, gdyż istnieje możliwość, że aktywności na nich mogła dokonać inna osoba, gdy użytkownik nie był zalogowany i podanie tych informacji mogłoby negatywnie wpłynąć na prawa i wolności osoby, której dane dotyczą.

b)  Dane pseudonimizowane

W przypadku posiadania wyłącznie danych pseudonimizowanych, jak identyfikatory internetowe, weryfikacja osoby, której dane dotyczą, wymaga zastosowania innych metod. Wynika to z faktu, iż z jednego urządzenia i jednej przeglądarki może korzystać kilka osób, np. w gospodarstwie domowym. Jeżeli nie logują się oni do konta w systemie komputera, ich czynności zostaną zarejestrowane pod jednym numerem cookie, zatem identyfikacja konkretnej osoby po stronie wydawców internetowych, bez dodatkowych informacji, jest niemożliwa. Grupa Wdrożeniowa w swoich wytycznych zwraca szczególną uwagę na to, iż administratorzy przetwarzający tego rodzaju dane powinni zażądać przesłania numeru identyfikatora, którego dotyczy żądanie, np. poprzez screen ekranu. Dodatkowo wskazuje się na możliwość zażądania złożenia deklaracji, a nawet oświadczenia pod rygorem prawnym, przez osobę wnoszącą żądanie, że jest ona właścicielem i operatorem przeglądarki lub urządzenia i ma prawo domagać się realizacji swoich praw na mocy art. 15-20 RODO37.

Podsumowując, ze względu na trudność identyfikacji osoby fizycznej wyłącznie na podstawie identyfikatorów cookie, IP czy IMEI oraz w związku z ryzykiem ujawnienia informacji nieupoważnionym podmiotom, Grupa Wdrożeniowa, przed udzieleniem odpowiedzi na żądanie, zaleca rozważenie zastosowania jednej z poniższych możliwości:

  • jasne i czytelne określenie w procedurze realizacji praw, czy administrator ma możliwość identyfikowania osób składających żądanie i czy będzie odpowiadać na wnioski dotyczące identyfikatorów,
  • jasne i czytelne określenie w procedurze realizacji praw, w jaki sposób realizowane są żądania podmiotów oraz jakie informacje są niezbędne do identyfikacji osoby i przyjęcia wniosku z żądaniem dotyczącym identyfikatorów (w tym oświadczenia i skany z ekranu),
  • utworzenie strony internetowej, która umożliwi administratorowi sprawdzenie plików cookie

osoby składającej żądanie na określonej przeglądarce.38

Żaneta Sadowska inspektor ochrony danych, Grupa ZPR Media

Magdalena Tomaszewska radca prawny, inspektor ochrony danych, Grupa naTemat

35 IAB Europe GDPR Implementation Working Group Version 1.0 6 April 2018: DATA SUBJECT REQUEST Working Paper 04/2018.
36 IAB Europe GDPR Implementation Working Group Version 1.0 6 April 2018: DATA SUBJECT REQUEST Working Paper 04/2018, s. 8-9.
37 IAB Europe GDPR Implementation Working Group Version 1.0 6 April 2018: DATA SUBJECT REQUEST Working Paper 04/2018, s. 10.

POBIERZ PORADNIK W PDF