Czy prawo dostępu do danych osobowych można realizować przez pełnomocnika?

Do placówki medycznej, w której pełnię funkcję IOD, wpływają wnioski dotyczące realizacji prawa określonego w art. 15 RODO. Są one składane przez pełnomocników osób, których dane dotyczą. Pracownicy, którzy zajmują się ich rozpatrywaniem, mają wątpliwości, czy mogą realizować wnioski dotyczące prawa dostępu do danych osobowych zgłaszane nie przez osobę, której dane dotyczą.

RODO nie odnosi się do kwestii wykonywania prawa dostępu do danych osobowych określonego w art. 15 RODO przez inną osobę niż ta, której dotyczy wniosek kierowany do administratora. Nie oznacza to jednak, by możliwość realizacji prawa dostępu danych osobowych przez pełnomocnika była wyłączona.

Rozpatrując przedstawione zagadnienie należy przede wszystkim wziąć pod uwagę treść art. 12 ust. 1 i 2 RODO wskazującego na konieczność łatwej dostępności do informacji na temat przetwarzania danych (zasada przejrzystości) oraz ułatwiania wykonywania praw osoby, której dane dotyczą, w tym prawa określonego w art. 15 RODO. Zgodnie z motywem 63 RODO: „Każda osoba fizyczna powinna mieć prawo dostępu do zebranych danych jej dotyczących oraz powinna mieć możliwość łatwego wykonywania tego prawa w rozsądnych odstępach czasu, by mieć świadomość przetwarzania i móc zweryfikować zgodność przetwarzania z prawem”. Z powyższego wnioskować można, że „możliwość łatwego wykonywania prawa dostępu do danych osobowych” oznacza również wykonywanie tego prawa przez pełnomocnika.

Z tych samych powodów należy przyjąć, że nie jest tu wymagane pełnomocnictwo (upoważnienie) mające szczególną formę. Niemniej treść pełnomocnictwa powinna pozwolić na weryfikację, kto złożył oświadczenie uprawniające inną osobę do działania w jej imieniu.

Europejska Rada Ochrony Danych (EROD) w projekcie wytycznych nr 1/2022 w sprawie praw osób, których dane dotyczą ‒ prawo dostępu w rozdziale 3.4 pt.„Requests made via third parties / proxies”[1] wskazała, że z prawa dostępu do danych osobowych najczęściej korzystają osoby, których dane dotyczą, jednak dopuścić należy również możliwość złożenia wniosku w imieniu osoby, której dane dotyczą np. przez pełnomocnika. Zgodnie ze wskazówkami znajdującymi się w powyższym projekcie wytycznych, w przypadku gdy wniosek nie jest składany przez osobę, której dane dotyczą, należy wziąć pod uwagę przepisy krajowe dotyczące działania przez pełnomocnika/ przedstawiciela ustawowego ― w celu sprawdzenia, czy osoba ta jest prawidłowo umocowana i czy może występować w imieniu osoby, której dane dotyczą.

W doktrynie prezentowane jest stanowisko tożsame z tym, które prezentuje EROD w projekcie ww. wytycznych. Jeden z jej przedstawicieli wskazuje, że uprawnienia przyznane na podstawie art. 15 RODO mogą być również „realizowane przez podmiot danych zarówno osobiście, jak i przez jego przedstawiciela ustawowego czy pełnomocnika”[2].

W przypadku rozpatrywania wniosku na podstawie art. 15 RODO przez podmioty z sektora medycznego (np. szpitale) należy zwrócić uwagę, iż dostęp do danych osobowych będzie obejmował również dane dotyczące zdrowia, a więc dane szczególnej kategorii. Jak wyjaśnia się w motywie 63 RODO, prawo określone w art. 15 RODO obejmuje "prawo dostępu osób, których dane dotyczą, do danych dotyczących ich zdrowia, na przykład do danych w dokumentacji medycznej zawierającej takie informacje, jak diagnoza, wyniki badań, oceny dokonywane przez lekarzy prowadzących, stosowane terapie czy przeprowadzone zabiegi. Dlatego też każda osoba, której dane dotyczą, powinna mieć prawo do wiedzy i informacji, w szczególności w zakresie celów, w jakich dane osobowe są przetwarzane, w miarę możliwości okresu, przez jaki dane osobowe są przetwarzane, odbiorców danych osobowych, założeń ewentualnego zautomatyzowanego przetwarzania danych osobowych oraz, przynajmniej w przypadku profilowania, konsekwencji takiego przetwarzania".

Z treści pełnomocnictwa dotyczącego wykonania prawa dostępu do danych osobowych w imieniu innej osoby powinno wynikać, iż obejmuje ono realizację prawa dostępu do danych osobowych przetwarzanych przez konkretnego administratora bądź kategorię administratorów przetwarzających dane o stanie zdrowia (np. szpitale, przychodnie).

Ważne jest też ustalenie, czy pełnomocnictwo (upoważnienie) obejmuje działanie do realizacji praw przysługujących podmiotowi danych na mocy RODO czy innej ustawy (np. ustawa z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta). Należy odróżnić sytuację, gdy wniosek o realizację prawa określonego w art. 15 RODO jest składany przez osobę, która została umocowana do takiego działania w imieniu innej osoby, od sytuacji, gdy osoba działa na podstawie upoważnienia, o którym mowa w art. 26 ust. 1 ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta. W myśl tego przepisu podmiot udzielający świadczeń zdrowotnych udostępnia dokumentację medyczną pacjentowi lub jego przedstawicielowi ustawowemu, bądź osobie upoważnionej przez pacjenta.

Kolejną ważną kwestią jest weryfikacja tożsamości zarówno osoby, która składa pełnomocnictwo, jak również osoby, której danych dotyczy wniosek. EROD w ww. projekcie wytycznych zwróciła uwagę, że udostępnienie danych osobowych osobie, która nie jest uprawniona do dostępu do nich, może stanowić naruszenie ochrony danych osobowych. RODO w motywie 64 wskazuje, że administrator powinien skorzystać z wszelkich rozsądnych środków w celu zweryfikowania tożsamości żądającej dostępu osoby, której dane dotyczą, w szczególności w kontekście usług internetowych i identyfikatorów internetowych. Zasadę tę należy odnieść również do weryfikacji tożsamości pełnomocnika osoby, której dane dotyczą. (zob.  W jaki sposób identyfikować osoby, które zwracają się do IOD jako punktu kontaktowego?).

Jak wynika z brzmienia motywu 59 RODO administrator powinien przewidzieć procedury ułatwiające osobie, której dane dotyczą, wykonywanie praw przysługujących jej na mocy RODO, w tym mechanizmy żądania - i gdy ma to zastosowanie bezpłatnego uzyskiwania - w szczególności dostępu do danych osobowych. Wobec powyższego administrator powinien zastanowić się, w jaki sposób będzie obsługiwał wnioski osób, których dane dotyczą, w tym, jak będzie weryfikować, czy osoba, która składa wniosek w imieniu innej osoby jest umocowana do złożenia wniosku o dostęp do danych na podstawie art. 15 RODO (np. jakie dane będą niezbędne do ustalenia tożsamości osoby, której dane dotyczą, jak również jej pełnomocnika).

W ww. projekcie wytycznych EROD zwróciła uwagę na jeszcze jedną istotną kwestię. Celem prawa dostępu do danych osób, których dane dotyczą, jest zapewnienie osobom fizycznym wystarczających, przejrzystych i łatwo dostępnych informacji o przetwarzaniu ich danych osobowych, tak aby osoby te mogły być świadome i weryfikować zgodność z prawem przetwarzania oraz dokładność przetwarzanych danych. Realizowanie prawa określonego w art. 15 RODO przez pełnomocnika stanowić może gwarancję, że prawa tego nie zostaną pozbawione osoby, które nie mogą go wykonać ze względu na swój stan zdrowia. Natomiast uznanie, iż prawo dostępu do danych może być realizowane wyłącznie osobiście byłoby dla podmiotu danych nieuzasadnionym ograniczeniem w szczególności w sytuacji, gdy z przyczyn obiektywnych nie mógłby tego prawa zrealizować (m.in. z uwagi na stan zdrowia albo brak umiejętności i z tego powodu potrzebne byłoby działanie przez pełnomocnika).

2022-04-07