Prowadzę jednoosobową działalność gospodarczą. Kompletując dokumentację do wniosku kredytowego, wystąpiłem do banku, z którego usług korzystałem wcześniej, o kopie wszystkich dokumentów, które podpisywałem w trakcie współpracy. Instytucja odmówiła udostępnienia części z nich, powołując się na to, że stanowią one dokumenty wewnętrzne. Czy skoro dokumenty zawierają moje dane osobowe, to działanie banku jest niedopuszczalne?
Powołując się na art. 15 unijnego rozporządzenia RODO każda osoba może zażądać od administratora informacji na temat tego, co dzieje się z jej danymi osobowymi, np. jaki jest zakres danych będących w posiadaniu administratora, w jakim celu są przetwarzane czy też jak długo będzie miało miejsce ich przechowywanie. W odpowiedzi administrator jest zobowiązany dostarczyć osobie, której dane dotyczą, kopię danych osobowych podlegających przetwarzaniu. Warto dodać, że prowadzenie jednoosobowej działalności gospodarczej przez osobę fizyczną nie ogranicza jej prawa do informacji wynikającego z powyższego przepisu RODO.
W ramach prawa do informacji czytelnik ma zatem prawo żądać od banku, jak od każdego administratora, udostępnienia wszystkich informacji na swój temat, które ten przetwarza. Bank ma zaś obowiązek udostępnić je niezwłocznie, nie później niż w ciągu miesiąca od otrzymania żądania. Nie może zasłaniać się tym, że dane osobowe są zgromadzone w dokumentach wewnętrznych, które jako takie nie podlegają udostępnieniu. Potwierdza to decyzja prezesa Urzędu Ochrony Danych Osobowych z 8 lipca 2021 r. (sygn. ZSPR.440.1686.2018.FT.MP). Organ badał w niej postępowanie banku, który poproszony przez klienta o przesłanie mu wzoru podpisu, jaki złożył w tej instytucji, odmówił udostępnienia danych, zasłaniając się tym, że karta wzorów podpisu stanowi dokument wewnętrzny banku. Prezes UODO zakwestionował takie działanie i udzielił bankowi upomnienia. Organ potwierdził, że wzór podpisu własnoręcznego złożony na dokumentach podpisywanych przez klientów przedsiębiorcy stanowi dane osobowe i dlatego podlega udostępnieniu. Fakt przechowywania tego typu danych w dokumentach, które przedsiębiorca traktuje jako wewnętrzne, nie może stanowić podstawy do odmowy udostępnienia wspomnianych informacji. Jeśli więc osoba fizyczna domaga się od administratora udostępnienia wszystkich danych na swój temat, to ten jest zobowiązany przekazać kopię danych, niezależnie od tego, w jaki sposób są przechowywane. Zainteresowany może równie dobrze domagać się danych osobowych zarówno zawartych w umowie, której egzemplarz dostał, jak i gromadzonych w dokumentach wewnętrznych przedsiębiorcy.
Przy czym trzeba zaznaczyć, że często źródłem nieporozumień jest złe odczytanie pojęcia „kopia danych”, które pojawia się w cytowanych przepisach. Odnosi się ono ściśle do danych osobowych. Nie jest natomiast tożsame z kopią dokumentów, w ramach których przetwarzane są te dane. „Realizując obowiązek wynikający z art. 15 ust. 3 RODO, administrator może poprzestać na wskazaniu treści danych dotyczących osoby wnioskującej. Wykonanie obowiązku (…) może być (...) także realizowane poprzez sporządzenie kopii lub odpisu dokumentu (nośnika) zawierającego dane osobowe” – wyjaśnia w swojej decyzji prezes UODO. „Jednak w przypadku zwrócenia się do administratora o kopię przetwarzanych danych osobowych administrator każdorazowo podejmuje decyzję, w jaki sposób zrealizuje to uprawnienie. Zatem to administrator, a nie osoba której dane dotyczą, może dokonać wyboru, czy udostępnia kopię dokumentów, czy też udostępnia kopię danych zawartych w tych dokumentach” – dodaje organ.
Podsumowując: w sytuacji gdy jednoosobowy przedsiębiorca złożył do administratora danych osobowych wniosek w trybie przewidzianym przez RODO, to ten powinien mu udostępnić jego dane osobowe. Przy czym administrator może odmówić udostępnienia dokumentów wewnętrznych, w których przetwarza dane osobowe, pod warunkiem że w inny sposób wydobędzie z tych dokumentów żądane dane osobowe i przekaże je wnioskodawcy.
Podstawa prawna
• art. 15 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, RODO (Dz.Urz. UE z 2016 r. L 119, s. 1)
