Odpowiedź
Osoby fizyczne mogą się kontaktować z Twoją firmą/organizacją, wykonując swoje prawa wynikające z RODO (prawa dostępu, sprostowania, usuwania, przenoszenia itd.). Gdy dane osobowe przetwarzane są za pomocą narzędzi elektronicznych, Twoja firma/organizacja powinna zapewnić środki do występowania z żądaniami w formie elektronicznej. Twoja firma/organizacja musi udzielić odpowiedzi na takie żądania bez zbędnej zwłoki, a zasadniczo w ciągu 1 miesiąca od otrzymania żądania.
Aby potwierdzić tożsamość osoby występującej z żądaniem, możesz poprosić ją o podanie dodatkowych informacji.
Jeśli Twoja firma/organizacja odrzuci żądanie, musi poinformować zainteresowaną osobę o powodach swojej decyzji, a także o przysługującym jej prawie do wniesienia skargi do organu ochrony danych i prawie do środka ochrony prawnej przed sądem.
Rozpatrywanie żądań osób fizycznych powinno być bezpłatne. Jeżeli żądania są ewidentnie nieuzasadnione lub nadmierne, w szczególności ze względu na swój ustawiczny charakter, możesz pobrać rozsądną opłatę lub odmówić podjęcia działań.
Przykład
Osoba, która uzyskała dostęp do wszystkich swoich danych osobowych w ubiegłym miesiącu, występuje z tym samym żądaniem o udostępnienie tych samych danych osobowych. Możesz rozważyć dwie opcje: albo poinformować tę osobę o odrzuceniu jej żądania, albo zażądać rozsądnej opłaty.
Odnośniki
- art. 12 i art. 15–22 oraz motywy 59 i 63–71 RODO
- Wytyczne EROD 4/2018 dotyczące akredytacji podmiotów certyfikujących zgodnie z art. 43 ogólnego rozporządzenia o ochronie danych (2016/679)
- Wytyczne EROD 1/2018 dotyczące certyfikacji i kryteriów certyfikacji zgodnie z art. 42 i art. 43 rozporządzenia 2016/679 – wersja zaktualizowana po konsultacjach publicznych
Example
A person who accessed all his personal data the month before, lodges again the same request for access to the same personal data. You may consider either informing them that you reject their request or requesting a reasonable fee.
References
- Article 12 and Articles 15 to 22 and Recitals (59) and (63) to (71) of the GDPR
- EDPB guidelines 4/2018 on the accreditation of certification bodies under Article 43 of the General Data Protection Regulation (2016/679)
- EDPB guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation 2016/679 - revised version after public consultation