W jaki sposób identyfikować osoby, które zwracają się do IOD jako punktu kontaktowego?

W związku z pełnieniem funkcji IOD zastanawiam się, jakie działania należy podjąć podczas realizacji zadania wynikającego z art. 38 ust. 4 RODO, aby zapewnić poufność informacji i zapobiec ewentualnemu przypadkowemu ujawnieniu danych osobowych osobie nieuprawnionej, np. podszywającej się pod konkretną osobę z imienia i nazwiska podczas rozmowy telefonicznej lub prowadzonej korespondencji. Pytanie to dotyczy zarówno bieżącego udzielania informacji telefonicznych i pocztą elektroniczną, a także działań podejmowanych w związku z realizacją praw tych osób na gruncie art. 15-22 RODO w związku z ich żądaniami kierowanymi na mój adres poczty elektronicznej.

Jednym z zadań inspektora ochrony danych (IOD) jest pełnienie roli punktu kontaktowego, czyli pośrednika między administratorem lub podmiotem przetwarzającym a osobami, których dane dotyczą. Rola ta jest mocno powiązana z obowiązkami administratora oraz podmiotu przetwarzającego i ma przyczyniać się do skuteczniejszego ich wykonywania. Zadania IOD w RODO zostały sformułowane w sposób ogólny, bez wskazania trybu oraz terminów ich realizacji. Taki sposób ujęcia obowiązków inspektora jest wyrazem nowego podejścia do ochrony danych osobowych opartego na analizie ryzyka i zasadzie rozliczalności, zapisanej w art. 5 ust. 2 RODO.

Prawodawca w art. 38 ust. 4 RODO uprawnił osoby, których dane dotyczą, do kontaktowania się z IOD we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy RODO. Przykładem takiej sprawy może być sytuacja, gdy dochodzi do naruszenia ochrony danych, które może powodować wysokie ryzyko naruszenia praw i wolności. W takiej sytuacji, znaczenie praw osób oraz roli inspektora uwydatnia się w sposób szczególny. Jak należy wnioskować z art. 34 ust. 2 RODO, w przypadkach takich naruszeń, osoby, których to naruszenie dotyczy, powinny mieć możliwość zwrócenia się do IOD lub innego punktu kontaktowego w celu uzyskania dodatkowych informacji, wykraczających poza zakres przekazany im w zawiadomieniu o naruszeniu.

W przypadku wystąpienia naruszenia, które może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator, zgodnie z art. 34 ust. 2 RODO, zawiadamia o naruszeniu osoby, których naruszenie dotyczy, przekazując im następujące informacje:

1. charakter naruszenia ochrony danych osobowych,

2. imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub innego punktu kontaktowego, od którego można uzyskać więcej informacji;

3. opis możliwych konsekwencji naruszenia ochrony danych osobowych;

4. opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu - w tym w stosownych przypadkach - środków w celu zminimalizowania jego ewentualnych negatywnych skutków.

Każdy z administratorów, aby móc sprawnie realizować swoje obowiązki związane z zasadą przejrzystości oraz realizacją praw osób, których dane dotyczą, w tym w sytuacji wystąpienia naruszenia ochrony danych osobowych, powinien, zgodnie z art. 12 oraz art. 24 ust. 2 RODO, dysponować odpowiednimi procedurami w zakresie obsługi takich praw i wniosków. Zgodnie z art. 12 ust. 1 RODO, administrator podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem (...) udzielić osobie, której dane dotyczą, wszelkich informacji, o których mowa w art. 13 i 14, oraz prowadzić z nią wszelką komunikację na mocy art. 15 - 22 i 34 w sprawie przetwarzania. W motywie 59 preambuły wskazuje się, że „administrator powinien przewidzieć procedury ułatwiające osobie, której dane dotyczą, wykonywanie praw przysługujących jej na mocy niniejszego rozporządzenia, w tym mechanizmy żądania – i gdy ma to zastosowanie bezpłatnego uzyskiwania – w szczególności dostępu do danych osobowych i ich sprostowania lub usunięcia oraz możliwości wykonywania prawa do sprzeciwu. Administrator powinien zapewnić możliwość wnoszenia odnośnych żądań także drogą elektroniczną, w szczególności gdy dane osobowe są przetwarzane drogą elektroniczną. Administrator powinien być zobowiązany udzielić odpowiedzi na żądania osób, których dane dotyczą, bez zbędnej zwłoki – najpóźniej w terminie miesiąca, a jeżeli nie zamierza spełnić takiego żądania – podać tego przyczyny”.

W takich procedurach powinny być odzwierciedlone rozwiązania w zakresie weryfikacji tożsamości osoby uprawnionej do uzyskania informacji oraz bezpiecznego kanału udostępniania informacji o przetwarzanych danych. Art. 12 ust. 1 RODO wskazuje, że informacji udziela się na piśmie lub w inny sposób, w tym w stosownych przypadkach - elektronicznie. Jeżeli osoba, której dane dotyczą, tego zażąda, informacji można udzielić ustnie, o ile innymi sposobami potwierdzi się tożsamość osoby, której dane dotyczą. Osoba, której dane dotyczą, może wprawdzie zwrócić się o informacje za pośrednictwem takich środków komunikacji, jak np. telefon czy poczta elektroniczna, jednak w tym przypadku podmiot realizujący wniosek powinien zwrócić szczególną uwagę na obowiązek podjęcia stosowanych działań w celu uniemożliwienia udostępnienia informacji osobom do tego nieuprawnionym (istotne jest ustalenie tożsamości wnioskodawcy). Przy realizacji uprawnienia na odległość możliwość weryfikacji osoby uprawnionej może odbyć się np. poprzez uprawdopodobnienie tożsamości przez konieczność podania szczegółowych danych, które tę osobę jednoznacznie identyfikują i pozwalają zweryfikować jej tożsamość (nie wystarczy spytać o imię i nazwisko oraz adres, gdyż te informacje mogą być powszechnie dostępne, ale trzeba dokonać weryfikacji na podstawie znacznie bardziej szczegółowych danych, co do których prawdopodobieństwo, że będą one znane przez osoby postronne, jest znikome). Taką argumentację potwierdza treść art. 12 ust. 6 RODO, zgodnie z którym, jeżeli administrator ma uzasadnione wątpliwości co do tożsamości osoby fizycznej składającej żądanie, może zażądać dodatkowych informacji niezbędnych do potwierdzenia tożsamości osoby, której dane dotyczą. Ważne jest, aby podmiot realizujący uprawnienie miał pewność, że przekazuje informacje osobie uprawnionej do ich uzyskania. (P. Fajgielski w: Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), komentarz do art. 15, [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz. Wolters Kluwer Polska, 2018).

W przypadku wątpliwości co do tożsamości osoby usiłującej pozyskać informacje, powinno się odmówić ich udzielenia, ewentualnie podać informacje ogólne. Wobec tego w takiej sytuacji można w szczególności:

- udzielając informacji osobom, których dane dotyczą, ograniczyć się do przekazywania ogólnych informacji opublikowanych przez administratora na jego stronie internetowej i wysłanych przez niego w formie zawiadomień na indywidualne adresy poczty elektronicznej, lub

- odnosząc się do konkretnej osoby, udzielać informacji o jej kategoriach danych osobowych, których dotyczy naruszenie, ale bez podawania tych konkretnych danych.

2020-05-18