Do biura naszej firmy e-mailem wpłynął wniosek osoby, która chce skorzystać z prawa do informacji dotyczącego jej danych osobowych, które posiada nasza spółka. Zainteresowany domaga się informacji, skąd mamy jego dane, kiedy je pozyskaliśmy, na jakiej podstawie je przetwarzamy, a także czy przekazujemy je innym administratorom danych. E-mail z pytaniami nie był opatrzony kwalifikowanym podpisem elektronicznym. Czy powinniśmy tą drogą udzielić odpowiedzi?
Administrator danych osobowych, a więc w opisywanym przypadku spółka przetwarzająca dane, na wniosek osoby fizycznej, której dotyczą te dane, ma obowiązek udzielić stosownej odpowiedzi. Ma na to 30 dni od momentu otrzymania pytania. Osoba ma prawo bezpłatnie skorzystać z prawa do informacji raz na sześć miesięcy.
Zainteresowany może żądać uzyskania wyczerpującej informacji o celu, zakresie i sposobie przetwarzania jego danych osobowych, a także dacie i źródle ich pozyskania. Prawo do informacji obejmuje również zapytanie, czy dane osobowe są przekazywane innym podmiotom niż administrator, do którego kieruje się wniosek.
– Ustawa o ochronie danych osobowych nie określa formy wniosku składanego do administratora danych. Profesor Janusz Barta w komentarzu do ustawy wskazuje, że pojęcie „wniosek” należy tłumaczyć szeroko, nie stawiając wymogów formalnych co do jego treści czy formy – tłumaczy Małgorzata Kałużyńska-Jasak, dyrektor zespołu rzecznika prasowego w biurze generalnego inspektora ochrony danych osobowych. – Oznacza to, że może on być złożony w dowolnej formie, np. na piśmie, ale także pocztą elektroniczną, telefonicznie – dodaje nasza rozmówczyni.
Problem polega na tym, jak ma zareagować administrator danych, do którego wpłynie wniosek drogą e-mailową. Wątpliwości nie ma, gdy wiadomość jest opatrzona kwalifikowanym podpisem elektronicznym, który zastępuje podpis własnoręczny. Wówczas adresat ma pewność, kto występuje jako nadawca e-maila i że nikt się pod niego nie podszywa.
Gorzej, gdy jest to zwykły e-mail. Od strony formalnej nie ma przeszkód, by zobowiązana firma udzieliła odpowiedzi tą samą drogą. Przepisy zawierają jedno zastrzeżenie: odpowiedzi należy udzielić na piśmie, gdy wyraźnie zażąda tego wnioskodawca.
– W przypadku braku takiego zastrzeżenia administrator danych może udzielić informacji w wybrany przez siebie sposób – zaznacza Kałużyńska-Jasak.
Ale uwaga! Opisywany wniosek może złożyć wyłącznie osoba, której dotyczą dane. Tymczasem w przypadku zwykłego e-maila, nawet imiennego, który nie jest opatrzony wspomnianym kwalifikowanym podpisem elektronicznym, nie ma pewności, że należy on do konkretnej osoby.
– To na administratorze danych ciąży obowiązek określenia tożsamości osoby wnioskodawcy, co stanowi przejaw jego szczególnej staranności. Zatem w przypadku gdy wniosek został złożony pocztą elektroniczną, administrator danych przed udzieleniem odpowiedzi powinien upewnić się, że przekaże informacje o danych osobowych podmiotowi, który zgodnie z art. 33 ust. 1 ustawy o ochronie danych osobowych powinien je otrzymać – przestrzega Kałużyńska-Jasak.
Jeśli więc spółka ma pewność, że przesłany drogą elektroniczną wniosek pochodzi od konkretnej osoby, bo np. adres e-mailowy, z którego wysłano zapytanie, pokrywa się z tym, który jest w firmowej bazie klientów, i jest przypisany konkretnemu konsumentowi, to może przesłać odpowiedź tą samą drogą. Jednak jeśli takiej pewności brakuje, administrator powinien powstrzymać się od rozpatrzenia wniosku i poinformować o wątpliwościach zainteresowanego, który dzięki temu dostanie szansę uzupełnienia zapytania i skorzysta np. z prawa do informacji w formie papierowej.
Podstawa prawna
Art. 32 ust. 1 pkt 1–5a, art. 33 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2016 r. poz. 922 ze zm.).