Problem udostępniania kopii danych
W zakresie RODO często wątpliwości budzi kwestia sposobu udostępnienia danych podmiotowi danych. W teorii sytuacja, w której wnioskodawca domaga się od Administratora przekazania została wyczerpująco opisana w art. 15 RODO. Przepis ten stanowi, że osoba fizyczna ma prawo domagać się informacji o przetwarzanych danych, w tym o kategoriach tych danych, celach ich wykorzystywania, podstawach prawnych, okresie retencji czy kategoriach odbiorców, Jednak art. 15 ust. 3 RODO stanowi że Administrator dostarcza na żądanie kopię danych ulegających przetwarzaniu powoduje pewne problemy w interpretacji w związku z użyciem zwrotu „kopia”.
Przed rozpoczęciem stosowania RODO obowiązywała dyrektywa 96/9/WE Parlamentu Europejskiego i Rady z dnia 11 marca 1996 r. w sprawie ochrony prawnej baz danych. W czasie jej obowiązywania zapadło jedno z najważniejszych orzeczeń dotyczących prywatności. Mowa o sprawie Nowak przeciwko Data Protection Comissioner w Irlandii (C-434/16). Pan Nowak podszedł do testu umożliwiającego uzyskanie uprawnień biegłego rewidenta, ale niestety nie zdał egzaminu. W celu weryfikacji wyników egzaminów Skarżący zwrócił się do komisji egzaminacyjnej z formalnym wnioskiem o udostępnienie wszystkich posiadanych danych osobowych, a zwłaszcza kopii jego egzemplarza egzaminacyjnego. W odpowiedzi komisja egzaminacyjna dostarczył mu kopie 17 dokumentów, ale odmówiła dostarczenia kopii jego pracy, stwierdzając, że nie zawiera danych osobowych. Ostatecznie Trybunał Sprawiedliwości Unii Europejskiej orzekł, że pisemne odpowiedzi złożone przez kandydata na egzaminie zawodowym oraz uwagi egzaminatora do tych odpowiedzi stanowią dane osobowe oraz podlegają obowiązkowi udostępnienia na mocy Deyrektywy.
Wspomniany art. 15 ust. 3 RODO stanowi, że „Administrator dostarcza osobie, której dane dotyczą, kopię danych osobowych podlegających przetwarzaniu”, więc można zadać pytanie, czy oznacza to kopię dokumentu, czy wręcz przeciwnie zestawienie kategorii danych, które są przetwarzane przez Administratora. RODO podobnie jak wcześniej Dyrektywa 96/9, dotyczy przede wszystkim dostępu do danych osobowych, a nie dostępu do dokumentów. Administrator danych nie ma obowiązku dostarczenia ani oryginału, ani kopii osobie, której dane dotyczą. Niemniej jednak zaistnieją okoliczności, w których administratorowi danych wygodniej będzie dostarczyć osobie, której dane dotyczą, kopie dokumentów. Do takich przypadków dochodzi, jeśli wnioskodawcą będzie pacjent to podmiot udzielający świadczeń zdrowotnych będzie zobowiązany do przekazania kopii danych. Dodatkowo poza wskazanymi w ustawie przypadkami to pacjent może oczekiwać, że kopia dokumentacji zostanie mu udostępniona bezpłatnie. Podobnie Kodeks etyki Radcy Prawnego zakłada, że Radca prawny, w czasie przekazywania sprawy innemu pełnomocnikowi, ma obowiązek przekazać dokumentację sprawy bez zbędnej zwłoki.
W kluczowej dla zrozumienia, w jaki sposób Administrator powinien realizować wniosek o udostępnienie kopii danych Prezes UODO w decyzji ZSZZS.440.660.2018 wskazał, że udostępnienie kopii danych zawartych w dokumentach (np. w pismach urzędowych), zgodnie z art. 15 ust. 3 RODO, nie jest równoznaczne z obowiązkiem udostępnienia kopii dokumentów. Administrator w sprawie przesłał na adres poczty elektronicznej Skarżącego zaszyfrowany plik składający się ze 138 stron zawierających jego dane osobowe pochodzące z akt osobowych i systemu płacowo-kadrowego, co nie spotkało się z aprobatą organu. Tym samym realizując obowiązek wynikający z art. 15 ust. 3 RODO, Administrator może poprzestać na wskazaniu kategorii danych dotyczących osoby, z wyłączeniem pozostałych informacji zawartych w dokumentach.
Ryzykiem dla Administratora jest błąd w trakcie weryfikacji dokumentów i podanie zbyt małej lub zbyt dużej ilości informacji, ze względu na niewystarczającą wiedzę na temat tego, co stanowi dane osobowe, ze względu na nieodłączną trudność w ustaleniu, co jest danymi osobowymi wnioskodawcy w konkretnym przypadku lub po prostu z powodu błędu osoby obsługującej sprawę.