Zablokowany łańcuchem laptop, telefon i książka symbolizujące ochronę danych
Źródło: Pexels | Autor: Pixabay
2/5 - (1 vote)

Nawigacja po artykule:

Cel procedury reagowania na żądania osób, których dane dotyczą

Osoba, która wysyła wniosek dotyczący swoich danych osobowych, nie myśli o strukturze urzędu, podziale kompetencji ani o tym, kto ma klucz do jakiego systemu. Oczekuje po prostu szybkiej, rzeczowej odpowiedzi, najlepiej w rozsądnym czasie i bez przerzucania jej między działami. Dobrze napisana procedura obsługi żądań RODO sprawia, że organizacja jest w stanie to zapewnić – bez improwizacji, bez zbędnych negocjacji między pracownikami i bez ryzyka przekroczenia terminów.

Celem procedury jest więc jasne opisanie, kto, kiedy i jak reaguje na żądania osób, których dane dotyczą – od momentu wpływu wniosku, przez weryfikację tożsamości i analizę, aż po odpowiedź, wykonanie działań w systemach i archiwizację dokumentacji. Dobrze przygotowany wzór procedury reagowania na żądania osób, których dane dotyczą pozwala wdrożyć spójny standard, który można zastosować zarówno w niewielkiej organizacji, jak i w rozbudowanym urzędzie.

Podstawy: jakie żądania osób trzeba obsługiwać i po co tworzyć procedurę

Katalog praw osób, których dane dotyczą – szybkie przypomnienie

RODO (art. 15–22) określa katalog praw, z których mogą korzystać osoby, których dane dotyczą. Procedura obsługi żądań RODO powinna uwzględniać co najmniej:

  • Prawo dostępu do danych (art. 15) – prawo do uzyskania potwierdzenia, czy dane są przetwarzane oraz dostępu do nich i informacji o przetwarzaniu.
  • Prawo do sprostowania danych (art. 16) – prawo do poprawienia nieprawidłowych danych i uzupełnienia niekompletnych.
  • Prawo do usunięcia danych (art. 17) – tzw. „prawo do bycia zapomnianym”, w określonych sytuacjach (np. cofnięcie zgody, brak podstawy prawnej, upływ okresu przechowywania).
  • Prawo do ograniczenia przetwarzania (art. 18) – czasowe „zamrożenie” przetwarzania danych, gdy osoba kwestionuje ich prawidłowość lub sprzeciwia się ich przetwarzaniu.
  • Prawo do przenoszenia danych (art. 20) – możliwość otrzymania danych w ustrukturyzowanym formacie i przesłania ich innemu administratorowi (dotyczy danych przetwarzanych na podstawie zgody lub umowy i w sposób zautomatyzowany).
  • Prawo sprzeciwu (art. 21) – sprzeciw wobec przetwarzania danych m.in. na podstawie prawnie uzasadnionego interesu lub w celach marketingu bezpośredniego.
  • Prawo do niepodlegania decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu (art. 22), wywołującej skutki prawne lub w podobny sposób istotnie na nią wpływającej.
  • Prawo do cofnięcia zgody – gdy dane były zbierane na podstawie zgody, osoba może ją cofnąć w dowolnym momencie.

Dodatkowo reakcja na żądania osób musi uwzględniać powiązane obowiązki informacyjne (art. 12–14 RODO), np. udzielenie przejrzystej informacji o działaniach podjętych na żądanie.

Obowiązek reagowania na żądania i ryzyka braku procedury

RODO wymaga nie tylko posiadania podstaw prawnych do przetwarzania danych, lecz także aktywnego reagowania na żądania osób. Administrator ma obowiązek:

  • udzielać odpowiedzi bez zbędnej zwłoki, nie później niż w ciągu miesiąca,
  • poinformować, jeśli nie podejmuje działań, wraz z uzasadnieniem,
  • zapewnić przejrzystą komunikację z osobą, której dane dotyczą.

Brak uregulowanej procedury oznacza zwykle chaos: wnioski „krążą” między działami, nikt nie wie, kto ma odpowiedzieć, a IOD dowiaduje się o sprawie po terminie. W efekcie pojawia się ryzyko:

  • przekroczenia ustawowych terminów, co może skutkować skargą do PUODO,
  • udzielenia błędnych lub niepełnych informacji, np. pominięcia części danych lub systemów,
  • nieuzasadnionego ujawnienia danych, jeśli nie zweryfikuje się poprawnie tożsamości wnioskodawcy,
  • braku dowodu na dochowanie staranności i rozliczalności, gdy organ nadzorczy zapyta o dokumentację.

Nawet w małej jednostce „procedura obsługi żądań RODO” to sposób na uniknięcie sytuacji typu: „A kto miał odpowiedzieć na tego maila sprzed dwóch miesięcy?”. Jedna kartka A4 więcej w segregatorze polityk boli zdecydowanie mniej niż postępowanie przed organem nadzorczym.

Dlaczego procedura na piśmie jest niezbędna

Ustne ustalenia i „wiadomo, kto się tym zajmuje” działają do pierwszej rotacji personelu lub kontroli. Spisana procedura reagowania na żądania osób, których dane dotyczą jest potrzebna z kilku powodów:

  • ujednolica sposób postępowania niezależnie od tego, kto przyjął wniosek i w jakim kanale,
  • pokazuje organowi nadzorczemu, że administrator realizuje zasadę rozliczalności (art. 5 ust. 2 RODO),
  • jest materiałem szkoleniowym dla nowych pracowników i wsparciem dla tych, którzy z wnioskami mają do czynienia sporadycznie,
  • stanowi podstawę do tworzenia szablonów odpowiedzi, rejestru żądań osób i wewnętrznych checklist.

Procedurę warto traktować jako instrukcję operacyjną, a nie zbiór przepisów z RODO. Pracownik sięga do niej w sytuacji „co mam zrobić, gdy przyszło żądanie usunięcia danych?”, a nie po to, by czytać przepisy prawa – od ich interpretacji jest IOD lub prawnik.

Polityka ochrony danych a operacyjna procedura żądań – różnice

W wielu organizacjach istnieje już polityka ochrony danych osobowych. To dokument nadrzędny, opisujący ogólne zasady bezpieczeństwa danych, podstawy prawne, środki organizacyjne i techniczne. Procedura realizacji praw osób, których dane dotyczą, powinna się do niej odnosić, ale nie musi wszystkiego powtarzać.

Kluczowe różnice:

  • Polityka ochrony danych – dokument strategiczny, najczęściej zatwierdzany przez kierownictwo, obejmujący całość przetwarzania danych.
  • Procedura reagowania na żądania – dokument operacyjny, zorientowany na proces: krok po kroku, kto co robi, w jakim terminie, jakie wzory pism stosuje.

Praktyczne rozwiązanie: w polityce można wskazać, że szczegółowe zasady reagowania na żądania reguluje osobna procedura, a sama procedura jest załącznikiem lub odrębnym dokumentem roboczym, aktualizowanym w miarę zmian praktyki.

Zakres procedury: jakie wnioski obejmuje, a czego nie reguluje

Wnioski objęte procedurą – od art. 15 do 22 RODO

Wzór procedury realizacji praw powinien wyraźnie określać, że obejmuje ona obsługę żądań dotyczących praw z art. 15–22 RODO. Warto zapisać to w jednym, prostym punkcie, np.:

„Niniejsza procedura reguluje tryb postępowania przy realizacji żądań osób, których dane dotyczą, w zakresie praw określonych w art. 15–22 RODO, a także powiązanych obowiązków informacyjnych administratora.”

Zakres procedury powinien więc obejmować:

  • wnioski o dostęp do danych i kopię danych,
  • wnioski o sprostowanie lub uzupełnienie danych,
  • żądania usunięcia danych,
  • żądania ograniczenia przetwarzania,
  • sprzeciwy wobec przetwarzania,
  • wnioski o przeniesienie danych,
  • żądania dotyczące zautomatyzowanego podejmowania decyzji / profilowania,
  • cofnięcie zgody w zakresie, w jakim może wymagać działań po stronie administratora (np. usunięcie danych, aktualizacja preferencji).

Rozgraniczenie: wniosek RODO a skarga, informacja publiczna i inne pisma

Każda procedura obsługi żądań RODO powinna zawierać jasne rozróżnienie, co jest wnioskiem o realizację prawa, a co nim nie jest. W praktyce do urzędów i organizacji wpływają:

  • Wnioski o realizację praw RODO – np. „Proszę o informację, jakie dane na mój temat Państwo przetwarzają”.
  • Skargi na przetwarzanie danych – np. „Uważam, że przetwarzacie moje dane bez podstawy prawnej”.
  • Wnioski o informację publiczną (w sektorze publicznym) – często formułowane podobnie, ale dotyczące danych o charakterze publicznym, niekoniecznie danych osobowych wnioskodawcy.
  • Ogólna korespondencja – zapytania, reklamacje, wnioski o zmianę danych w umowie itp.

W procedurze warto zamieścić zapis, że:

  • jeśli pismo dotyczy realizacji prawa osoby, której dane dotyczą – stosuje się procedurę żądań,
  • jeśli pismo ma charakter skargi – oprócz udzielenia odpowiedzi na żądanie, należy uruchomić procedurę rozpatrywania skarg lub zgłoszeń naruszeń (jeśli istnieje),
  • jeśli pismo jest wnioskiem o informację publiczną – stosuje się przepisy o dostępie do informacji publicznej, a nie RODO; przy czym, jeśli wniosek zawiera też elementy żądania w zakresie własnych danych, można równolegle zastosować procedurę RODO,
  • jeśli pismo jest ogólnym wnioskiem niezwiązanym z prawami RODO – podlega zwykłej obsłudze korespondencji.

Takie rozgraniczenie chroni przed sytuacją, w której każde pismo z hasłem „RODO” automatycznie uruchamia tryb miesięcznego terminu, mimo że faktycznie dotyczy np. reklamacji towaru.

Formy przyjmowania żądań – papier, e-mail, ePUAP, formularz, ustnie

W procedurze należy opisać, w jakich formach organizacja przyjmuje wnioski. Ustawodawca pozostawił sporą elastyczność, ale kluczowa jest możliwość łatwego zidentyfikowania osoby i treści żądania. Zazwyczaj dopuszcza się:

  • wersję papierową – pisma złożone osobiście, przez pocztę lub kuriera,
  • e-mail – na wskazany adres (np. iod@… lub ogólny adres kancelarii),
  • ePUAP / inne platformy elektroniczne – istotne zwłaszcza w jednostkach sektora publicznego,
  • formularz internetowy – dedykowany formularz RODO na stronie WWW,
  • ustnie do protokołu – np. w punkcie obsługi klienta / sekretariacie, gdzie pracownik sporządza notatkę zawierającą treść żądania.

Wzór procedury reagowania na żądania osób, których dane dotyczą powinien przewidywać, że niezależnie od formy:

  • wniosek jest rejestrowany w rejestrze żądań osób,
  • stosuje się te same zasady identyfikacji osoby, liczenia terminów i udzielania odpowiedzi,
  • osoba może wybrać formę odpowiedzi (o ile jest to technicznie możliwe i bezpieczne).

Wyjątki: dane pracownicze i dane objęte tajemnicą

Procedura powinna też określać, jak traktowane są wnioski dotyczące:

  • danych pracowniczych,
  • danych objętych szczególną tajemnicą, np. lekarską, skarbową, statystyczną, bankową.

W praktyce wygląda to następująco:

  • Wnioski pracowników (obecnych i byłych) są rozpatrywane zgodnie z RODO, ale w granicach przepisów prawa pracy i innych ustaw. Np. prawo do usunięcia danych jest ograniczone obowiązkami przechowywania dokumentacji pracowniczej przez określony czas.
  • W przypadku danych objętych tajemnicą ustawową procedura powinna odsyłać do przepisów szczególnych. Przykład: dokumentacja medyczna udostępniana jest według zasad z ustawy o prawach pacjenta, nawet jeśli jednocześnie mamy do czynienia z danymi osobowymi.

Warto w procedurze jasno wskazać, że realizacja praw RODO nie może prowadzić do naruszenia innych przepisów. Stąd konieczność konsultacji z działem prawnym lub IOD przy każdej wątpliwości, czy dane można usunąć, udostępnić lub ograniczyć ich przetwarzanie.

Dłoń trzymająca smartfon z aplikacją VPN, w tle otwarty laptop
Źródło: Pexels | Autor: Dan Nelson

Role i odpowiedzialność: kto odpowiada za co w organizacji

Właściciel procedury – typowo IOD lub koordynator ochrony danych

Każdy dokument musi mieć swojego „gospodarza”. W procedurze warto wskazać, że właścicielem procedury jest Inspektor Ochrony Danych (IOD) lub – jeśli IOD nie został powołany – wyznaczony koordynator ochrony danych. Do jego głównych zadań należy:

  • aktualizacja procedury i szablonów odpowiedzi,
  • doradzanie komórkom merytorycznym w zakresie interpretacji RODO,

    • Udział komórek merytorycznych – „właściciele” procesów

    IOD ani dział prawny nie „załatwią” wniosku bez współpracy z komórką, która faktycznie przetwarza dane. W procedurze warto opisać, że za merytoryczne rozpatrzenie żądania odpowiada komórka – właściciel procesu, w ramach którego dane są przetwarzane (np. HR, sprzedaż, marketing, księgowość, obsługa klienta).

    Typowy podział zadań komórek merytorycznych obejmuje:

  • wskazanie, jakie dane wnioskodawcy są przetwarzane w danym systemie / archiwum,
  • ocenę, czy istnieją podstawy do odmowy części lub całości żądania (np. obowiązki archiwizacyjne, obrona roszczeń), we współpracy z IOD lub prawnikiem,
  • przygotowanie danych do udostępnienia (np. wyciąg z systemu, anonimizacja danych osób trzecich),
  • techniczne wykonanie operacji na danych: usunięcie, sprostowanie, ograniczenie, zablokowanie,
  • przekazanie IOD informacji zwrotnej w ustalonym terminie (np. do 10 dni roboczych od otrzymania wniosku).

Wzór procedury powinien zawierać jasne stwierdzenie, że komórka merytoryczna nie kontaktuje się samodzielnie z wnioskodawcą w sprawie formalnej odpowiedzi, chyba że procedura przewiduje inaczej. Komunikacja na zewnątrz wychodzi zwykle przez wyznaczony „punkt kontaktu” (np. IOD, kancelaria, Biuro Obsługi Klienta), co ogranicza chaos i rozbieżne informacje.

Zarząd / kierownictwo – decyzje w przypadkach spornych

Nie wszystkie wnioski są oczywiste. Zdarzają się sytuacje, w których rozpatrzenie żądania może mieć istotny wpływ na działalność organizacji (np. żądanie usunięcia danych kluczowego kontrahenta lub pracownika w trakcie sporu sądowego). W takich przypadkach procedura powinna przewidywać udział kierownictwa.

W praktyce można przyjąć, że:

  • kierownictwo zatwierdza odmowy realizacji żądania w przypadkach o podwyższonym ryzyku (np. możliwa skarga do UODO, sprawy medialne),
  • kierownictwo decyduje o przyznaniu dodatkowych zasobów (czasowych, ludzkich) przy złożonych wnioskach, które wymagają zaangażowania kilku działów lub dostawców zewnętrznych,
  • w przypadku rozbieżnych stanowisk między IOD a komórką merytoryczną, ostateczne rozstrzygnięcie należy do zarządu – przy jednoczesnym odnotowaniu w dokumentacji zastrzeżeń IOD.

Oczywiście nie chodzi o to, by prezes akceptował każdą odpowiedź na żądanie dostępu do danych. Lepiej przewidzieć progi, kiedy eskalacja jest obowiązkowa, np. gdy wniosek dotyczy danych ponad określoną liczbę systemów, toczy się spór sądowy albo sprawa znalazła się już w zainteresowaniu organu nadzorczego.

Rola działu IT i dostawców systemów

Bez wsparcia IT realizacja wielu żądań pozostanie pobożnym życzeniem. Procedura powinna określać, w jaki sposób dział IT i dostawcy systemów wspierają proces:

  • identyfikują, w jakich systemach znajdują się dane osoby (w oparciu o przyjęty model identyfikacji, np. PESEL, ID klienta, numer pracownika),
  • wskazują ograniczenia techniczne (np. brak możliwości selektywnego usunięcia danych w starym systemie) oraz proponują rozwiązania zastępcze (np. trwałe zablokowanie dostępu),
  • realizują dyspozycje dotyczące danych: anonimizacja, pseudonimizacja, trwałe usunięcie, nadefiniowanie (nadpisanie) danych,
  • dokumentują wykonane czynności (logi, raporty), które następnie mogą stanowić dowód należytej realizacji żądania.

Warto uwzględnić, że przy niektórych żądaniach (np. prawo do przenoszenia danych) IT odpowiada również za format i sposób przekazania danych – tak, aby spełnić wymóg „powszechnie używanego formatu nadającego się do odczytu maszynowego”. Wzór procedury może od razu wskazywać akceptowalne formaty (np. CSV, XML, PDF) i narzędzia służące do ich generowania.

Front office / obsługa klienta – pierwszy kontakt z wnioskodawcą

To zwykle pracownicy sekretariatu, BOK, recepcji lub infolinii jako pierwsi odbierają wnioski. Jeżeli nie wiedzą, co z nimi zrobić, cała procedura przestaje działać. W dokumencie dobrze jest przypisać im kilka prostych, ale kluczowych zadań:

  • przyjęcie wniosku niezależnie od formy (papier, e-mail, ustnie do protokołu),
  • wstępne rozpoznanie, z jakim typem pisma mają do czynienia (żądanie prawa, skarga, reklamacja),
  • niepodejmowanie samodzielnych decyzji merytorycznych – obowiązek niezwłocznego przekazania wniosku do IOD/koordynatora,
  • udzielenie podstawowej informacji o dalszym przebiegu sprawy (np. że administrator ma co do zasady miesiąc na odpowiedź),
  • zanotowanie danych kontaktowych osoby oraz daty wpływu w przyjętym rejestrze.

Procedura powinna zakładać, że front office ma do dyspozycji krótką instrukcję „na ladę” lub mini-checklistę, która pozwala im zareagować bez paniki. To ogranicza ryzyko, że wniosek gdzieś „utknie” w szufladzie albo wciśnie się go do worka z ogólną korespondencją.

Proces obsługi żądań w podmiotach powiązanych i u procesorów

Jeżeli organizacja działa w grupie kapitałowej, w konsorcjum lub korzysta intensywnie z podmiotów przetwarzających, podział ról staje się bardziej złożony. Wzór procedury powinien wskazywać:

  • kto odpowiada za koordynację wniosków, gdy dane osoby są przetwarzane przez kilka spółek z grupy (np. współadministratorzy),
  • w jakim trybie administrator przekazuje żądanie procesorowi (np. poprzez wyznaczony adres e-mail, system ticketowy, dedykowany formularz),
  • jakie terminy obowiązują procesora na udzielenie informacji administratorowi, aby ten mógł zmieścić się w miesięcznym terminie wobec osoby,
  • jak dokumentowana jest współpraca z procesorem (raporty z realizacji, potwierdzenia usunięcia danych).

Warto też odnotować, że procedura wewnętrzna musi „dogadywać się” z postanowieniami umów powierzenia. Jeżeli umowa przewiduje np. 30 dni na reakcję procesora, a RODO daje 30 dni administratorowi, to matematyka nie będzie po stronie administratora.

Mapowanie procesu krok po kroku: od wpływu żądania do archiwizacji

Przyjęcie i rejestracja żądania

Punktem wyjścia jest zawsze utrwalenie faktu, że żądanie wpłynęło. Procedura powinna opisywać:

  • kto przyjmuje wnioski (konkretny dział/jednostka),
  • w jaki sposób następuje rejestracja (rejestr elektroniczny, arkusz, system obiegu dokumentów),
  • jakie pola musi zawierać wpis w rejestrze (np. data wpływu, imię i nazwisko, identyfikator osoby, rodzaj prawa, kanał wpływu, osoba odpowiedzialna, termin odpowiedzi).

Przykładowy zapis: „Każdy wniosek o realizację prawa osoby, której dane dotyczą, jest niezwłocznie rejestrowany w Rejestrze żądań, prowadzonym przez IOD w formie elektronicznej. Za przekazanie wniosku do rejestracji odpowiada komórka, która jako pierwsza go otrzymała.”

Jeżeli organizacja korzysta z systemu DMS lub CRM, procedura może wskazywać, że do konkretnego typu spraw przypisuje się kategorię „Żądania RODO”, co ułatwia filtrowanie i raportowanie.

Weryfikacja, czy mamy do czynienia z żądaniem RODO

Nie każde pismo z hasłem „RODO” dotyczy realizacji prawa. Z tego względu procedura powinna przewidywać krótki etap kwalifikacji:

  • analiza treści pisma,
  • ustalenie, czy osoba żąda wykonania jednego z praw wynikających z art. 15–22 RODO,
  • ewentualne doprecyzowanie żądania (np. telefonicznie lub e-mailem) – ale bez przerzucania na osobę całej pracy interpretacyjnej.

Przykład: klient pisze „Na podstawie RODO żądam wyjaśnienia, dlaczego mój wniosek reklamacyjny był rozpatrywany tak długo”. W takiej sytuacji procedura powinna przewidywać, że:

  • część dotycząca samej reklamacji trafia do procedury reklamacyjnej,
  • jeżeli z pisma wynika, że klient chce też wiedzieć, jakie dane na jego temat były używane i komu przekazane – tę część traktuje się jako wniosek o dostęp do danych.

Identyfikacja tożsamości osoby – bezpieczeństwo bez paranoi

Etap weryfikacji tożsamości jest kluczowy, ale można go „zepsuć” na dwa sposoby: prosząc o skan dowodu osobistego przy każdym wniosku albo nie weryfikując niczego. Procedura powinna definiować standardowe metody identyfikacji zależne od kanału komunikacji:

  • wizyty osobiste – weryfikacja na podstawie dokumentu tożsamości, ale bez kopiowania danych,
  • konto klienta / pracownika w systemie – weryfikacja poprzez zalogowanie do konta i złożenie wniosku z poziomu tego konta,
  • e-mail – potwierdzenie poprzez wiadomość zwrotną z adresu zarejestrowanego w systemie lub prośba o dodatkowe dane weryfikujące (np. numer klienta, ostatnie 4 cyfry numeru umowy),
  • ePUAP / podpis elektroniczny – traktowane jako wystarczające potwierdzenie tożsamości.

Procedura powinna wyraźnie wskazywać, że kopiowanie dokumentów tożsamości jest stosowane tylko w wyjątkowych sytuacjach i wyłącznie tam, gdzie wynika to z przepisu prawa lub szczególnego uzasadnienia (np. podejrzenie podszywania się). Standardem powinno być sprawdzenie dokumentu, a nie jego utrwalanie.

Analiza zakresu żądania i doprecyzowanie wniosku

Następny krok to ustalenie, czego dokładnie oczekuje osoba. Procedura może przewidywać wzór krótkiej notatki, w której IOD lub koordynator zaznacza:

  • jakie prawo jest uruchamiane (dostęp, sprostowanie, usunięcie itd.),
  • jakie systemy / procesy mogą być objęte wnioskiem (np. CRM, system księgowy, archiwum),
  • czy osoba wskazała konkretny zakres czasowy lub rodzaj danych.

Jeśli wniosek jest ogólny („Proszę o wszystkie dane, jakie Państwo o mnie posiadają”), procedura może przewidywać, że:

  • administrator stara się objąć analizą wszystkie znane systemy,
  • w razie dużej skali przetwarzania możliwe jest zaproponowanie osobie doprecyzowania żądania (np. wybór kategorii danych), ale bez uzależniania realizacji prawa od takiego doprecyzowania.

Ocena podstaw prawnych i ewentualne ograniczenia realizacji żądania

Nie każdy wniosek musi zostać spełniony w całości. Procedura powinna zawierać krok, w którym IOD wspólnie z komórką merytoryczną dokonuje oceny:

  • czy istnieje nadal podstawa prawna przetwarzania danych,
  • czy nie zachodzą przesłanki do odmowy w całości lub części (np. art. 17 ust. 3 RODO – obowiązek przechowywania danych, obrona roszczeń, wolność słowa i informacji),
  • czy realizacja żądania nie naruszy praw i wolności innych osób (np. ujawnienie danych współpracowników, osób zgłaszających nieprawidłowości),
  • czy istnieją przepisy szczególne, które ograniczają realizację wniosku (np. ustawa archiwalna, prawo pracy, prawo bankowe).

Wzór procedury może zawierać tabelę z najczęstszymi podstawami odmowy (z odniesieniem do przepisów) oraz wskazaniem, jak formułować uzasadnienie w odpowiedzi do osoby. Dzięki temu pracownicy nie muszą za każdym razem wymyślać uzasadnienia od zera.

Zebranie danych z systemów i dokumentów

Kiedy wiadomo już, jakie prawo realizujemy i w jakim zakresie, następuje etap „polowania na dane”. Procedura powinna uporządkować ten etap w następujący sposób:

  • sporządzenie listy systemów i zbiorów, w których mogą znajdować się dane osoby (na podstawie rejestru czynności przetwarzania),
  • przypisanie zadań do konkretnych osób / działów – kto sprawdza który system,
  • ustalenie terminu zwrotnego dla komórek (np. 7 dni roboczych od otrzymania zadania),
  • przekazanie danych do IOD/koordynatora w sposób bezpieczny (np. szyfrowany plik, bez wysyłania pełnych baz mailem „do wszystkich”).

Dobrze zaprojektowana procedura przewiduje wykorzystanie szablonów zapytań do komórek, np. krótkiego formularza: „Czy w systemie X przetwarzane są dane osoby Y? W jakim zakresie? Czy istnieją ograniczenia realizacji żądania?”. To przyspiesza obieg informacji i ogranicza liczbę maili typu „A o co dokładnie chodzi?”.

Przygotowanie odpowiedzi – merytorycznie i językowo

Struktura odpowiedzi i korzystanie z szablonów

Odpowiedź na żądanie osoby nie powinna być dziełem literackim, tylko przewidywalnym, spójnym dokumentem. Wzór procedury może przewidywać, że każda odpowiedź zawiera co najmniej:

  • wskazanie, do jakiego wniosku się odnosi (data wpływu, opis żądania),
  • identyfikację administratora i dane kontaktowe IOD,
  • opis tego, co konkretnie zostało zrobione (np. jakie dane usunięto / sprostowano / udostępniono),
  • wskazanie zakresu danych objętych odpowiedzią (np. „dane w systemie CRM i systemie księgowym od 2019 r.”),
  • informację o podstawie prawnej działań lub odmowy,
  • pouczenie o prawie wniesienia skargi do PUODO, ewentualnie o prawie do sprzeciwu lub skargi sądowej – w zależności od sytuacji.

Procedura może załączać kilka wzorów pism, np.:

  • szablon odpowiedzi na żądanie dostępu do danych (art. 15),
  • szablon potwierdzenia realizacji prawa do usunięcia danych (art. 17),
  • szablon odmowy lub częściowej realizacji żądania wraz z uzasadnieniem.

Dobrą praktyką jest też przygotowanie „klocków tekstowych” – gotowych akapitów opisujących cele przetwarzania, kategorie danych, kategorie odbiorców. Pracownik nie musi wtedy za każdym razem opisywać od nowa, co robi system CRM czy komu przekazywane są dane w procesie obsługi reklamacji.

Forma przekazania odpowiedzi i bezpieczeństwo komunikacji

Procedura powinna rozstrzygać, w jaki sposób przekazywana jest odpowiedź. Kluczowe są tu dwa wymiary: bezpieczeństwo i wygoda. W praktyce oznacza to określenie:

  • czy odpowiedź domyślnie wysyłana jest tym samym kanałem, którym wpłynął wniosek (np. e-mail, ePUAP),
  • jak wygląda procedura wysyłki danych wrażliwych (np. szyfrowanie załączników, hasło przekazywane innym kanałem),
  • czy osoba może odebrać odpowiedź osobiście (np. wydruk w zapieczętowanej kopercie) i jak dokumentowane jest jej wydanie,
  • jak postępować, gdy wnioskodawca żąda przesłania odpowiedzi niebezpiecznym kanałem (np. na prywatny komunikator) – np. wymóg pisemnego potwierdzenia, że jest świadomy ryzyka.

Przykładowy zapis: „Jeżeli odpowiedź zawiera dane szczególnych kategorii lub szeroki zakres danych identyfikujących osobę, jest przekazywana w postaci zaszyfrowanego pliku PDF. Hasło przekazywane jest w wiadomości SMS na numer wskazany w systemie klienta.”

Dokumentowanie przebiegu sprawy i decyzji

Bez udokumentowania całego procesu realizacja żądania wygląda dobrze tylko do czasu pierwszej kontroli. Procedura powinna wymagać, aby:

  • do każdego wpisu w rejestrze żądań dołączona była krótka notatka z analizy (np. ocena podstaw prawnych, identyfikacja systemów),
  • zachowywać roboczą korespondencję z komórkami organizacyjnymi (np. odpowiedzi na zapytania o dane),
  • utrwalać wersję wysłanej odpowiedzi (np. PDF pisma, zrzut z systemu telekomunikacyjnego przy SMS),
  • archiwizować decyzje o odmowie lub ograniczeniu realizacji wraz z uzasadnieniem.

Wzór procedury może zawierać prosty formularz „karty sprawy”, gdzie odhacza się kolejne etapy (rejestracja, weryfikacja, analiza, realizacja, wysyłka odpowiedzi, archiwizacja). To ułatwia późniejszą rekonstrukcję procesu, gdy ktoś po dwóch latach zapyta: „A dlaczego wtedy odmówiliście usunięcia danych?”

Zamknięcie sprawy i archiwizacja dokumentów

Ostatnim krokiem jest formalne zamknięcie sprawy i jej prawidłowe odłożenie „na półkę”. Procedura powinna wskazywać:

  • kto oznacza sprawę jako zakończoną (np. IOD, koordynator ds. RODO),
  • jak długo przechowywana jest dokumentacja żądania (np. 3 lub 5 lat – z uwzględnieniem terminu przedawnienia roszczeń),
  • w jakiej formie archiwizuje się sprawę (elektronicznie, papierowo czy mieszanie) oraz gdzie dokładnie (system, jednostka organizacyjna),
  • jakie zasady niszczenia dokumentacji obowiązują po upływie okresu przechowywania (protokoły zniszczenia, usuwanie z kopii zapasowych w miarę technicznej możliwości).

W procedurze warto też odwołać się do ogólnych zasad archiwizacji obowiązujących w organizacji – tak, aby dokumentacja dotycząca żądań nie stała się „dziką wyspą” z własnymi, oderwanymi regułami.

Terminy i przedłużenia: jak zaplanować je w praktyce

Podstawowy termin miesięczny – jak go liczyć

RODO przewiduje, że administrator udziela informacji o podjętych działaniach „bez zbędnej zwłoki, a w każdym razie w terminie miesiąca od otrzymania żądania”. Procedura powinna precyzyjnie opisywać:

  • od jakiej daty liczymy termin (np. data wpływu do organizacji, a nie data rejestracji w rejestrze żądań),
  • jak liczone są terminy w dniach kalendarzowych, z uwzględnieniem weekendów i świąt,
  • co w sytuacji, gdy żądanie jest niekompletne i wymaga doprecyzowania – czy i kiedy termin może zostać „zawieszony”.

Dobrym rozwiązaniem jest wprowadzenie zasady, że wewnętrzny termin na przekazanie danych do IOD jest krótszy niż ustawowy. Przykład: przyjęcie reguły „7 dni roboczych na odpowiedź komórki merytorycznej” przy miesięcznym terminie wobec osoby. Pozwala to zniwelować opóźnienia wynikające z obiegu wewnętrznego.

Terminy cząstkowe wewnątrz organizacji

Żeby dotrzymać terminu ustawowego, konieczne jest rozbicie procesu na etapy z konkretnymi datami. Procedura może wskazywać m.in.:

  • czas na rejestrację żądania (np. „niezwłocznie, nie później niż w następnym dniu roboczym”),
  • czas na weryfikację tożsamości i kwalifikację wniosku (np. do 3 dni roboczych),
  • terminy zwrotne dla jednostek dostarczających dane (np. 5–7 dni roboczych),
  • rezerwę czasową dla IOD / działu prawnego na analizę i przygotowanie treści odpowiedzi (np. 5 dni roboczych).

Taki „mini-harmonogram” można zapisać w formie tabeli w załączniku do procedury. W praktyce pomaga to uniknąć sytuacji, w której wszyscy budzą się 28. dnia z pytaniem: „Kto miał przygotować odpowiedź?”

Przedłużenie terminu o kolejne dwa miesiące

RODO dopuszcza możliwość przedłużenia terminu o dwa miesiące w przypadku skomplikowanego charakteru żądania lub dużej liczby wniosków. Procedura powinna zawierać:

  • kryteria uznania sprawy za „skomplikowaną” (np. konieczność przeszukania archiwów papierowych, udział wielu podmiotów przetwarzających, duża liczba systemów),
  • przykładowe sytuacje „wysokiego natężenia wniosków” (np. akcja marketingowa, incydent bezpieczeństwa, zmiany regulaminów powodujące wzmożoną liczbę zapytań),
  • wzór zawiadomienia o przedłużeniu terminu, zawierającego uzasadnienie i wskazanie nowej daty zakończenia sprawy.

Istotne jest, by procedura jednoznacznie wskazywała, że informacja o przedłużeniu musi zostać wysłana w ciągu pierwszego miesiąca. Po upływie tego czasu nie można już „ratować się” decyzją o wydłużeniu terminu.

Treść zawiadomienia o przedłużeniu terminu

Zawiadomienie o przedłużeniu nie musi być eseistyczne, ale nie powinno też ograniczać się do komunikatu „potrzebujemy więcej czasu”. Wzór procedury może przewidywać, że komunikat zawiera:

  • informację o pierwotnym żądaniu (data, rodzaj prawa),
  • wskazanie podstawy prawnej przedłużenia (art. 12 ust. 3 RODO),
  • krótkie, zrozumiałe uzasadnienie (np. „Ze względu na konieczność przeszukania archiwum papierowego za okres ponad 10 lat oraz zaangażowanie kilku podmiotów przetwarzających”),
  • nowy przewidywany termin udzielenia pełnej odpowiedzi (konkretna data, nie „za dwa miesiące”).

Dobrym dodatkiem jest sformułowanie, że administrator może udzielić odpowiedzi wcześniej, jeżeli prace zakończą się przed nową datą. Brzmi to lepiej niż suchy komunikat „proszę czekać do końca kwartału”.

Terminy a niekompletne lub niejasne wnioski

W praktyce część wniosków jest nieprecyzyjna. Procedura powinna opisywać, jak reagować, żeby nie przeciągać sprawy bez potrzeby. Przydatne mechanizmy to m.in.:

  • wzór prośby o doprecyzowanie zakresu danych (np. okresu, rodzaju relacji z administratorem),
  • jasne wskazanie, że doprecyzowanie nie jest warunkiem realizacji prawa, lecz ma służyć jego usprawnieniu,
  • określenie, czy i w jakim zakresie termin ulega wstrzymaniu, gdy bez doprecyzowania realizacja jest obiektywnie niemożliwa (np. nie można zidentyfikować osoby w systemie).

Można przewidzieć, że w razie braku odpowiedzi na prośbę o doprecyzowanie administrator realizuje prawo w takim zakresie, w jakim jest to racjonalnie możliwe na podstawie posiadanych danych identyfikujących osobę. To pozwala uniknąć zarzutu bierności.

Termin na odmowę lub brak działań

Odmowa realizacji żądania lub decyzja o niepodjęciu działań również wymaga zmieszczenia się w terminach. Procedura powinna wskazywać, że:

  • odmowa lub informacja o braku działań musi być udzielona także w terminie miesiąca (lub przedłużonym, jeśli zastosowano art. 12 ust. 3 RODO),
  • odmowa jest udzielana z wykorzystaniem dedykowanego szablonu zawierającego podstawę prawną i zwięzłe uzasadnienie,
  • odpowiedź zawiera pouczenie o możliwości wniesienia skargi do PUODO oraz skorzystania z innych środków ochrony prawnej.

Wzór uzasadnienia może być osadzony w procedurze w formie kilku wariantów, np. „obowiązek przechowywania danych wynika z ustawy…” albo „realizacja żądania naruszyłaby prawa i wolności innych osób, w szczególności…”. Pracownik wybiera właściwy wariant i doprecyzowuje szczegóły, zamiast pisać wszystko od nowa.

Monitorowanie dochowania terminów – mechanizmy kontrolne

Nawet najlepsze terminy na papierze nie zadziałają, jeśli nikt ich nie pilnuje. Procedura może ustanawiać kilka prostych mechanizmów:

  • automatyczne przypomnienia w systemie (np. alert na 7 i 3 dni przed upływem terminu wobec osoby),
  • comiesięczne zestawienie spraw otwartych i zrealizowanych, przygotowywane przez IOD lub koordynatora,
  • obowiązek zgłaszania do IOD każdej sytuacji, w której wiadomo, że termin nie zostanie dotrzymany – najpóźniej na 10 dni przed jego upływem.

Przy większych organizacjach przydaje się prosty raport zarządczy: liczba wniosków, średni czas obsługi, liczba przedłużeń, liczba odmów. Dzięki temu zarząd widzi, że to nie „IOD marudzi”, tylko rzeczywiście trzeba np. wzmocnić zasoby w określonym dziale.

Szablony odpowiedzi a elastyczność językowa

Szablony nie powinny zamieniać komunikacji z osobą w suche „kopiuj-wklej”. Procedura może przewidywać zasadę, że:

  • kluczowe elementy prawne i informacyjne są stałe (treść pouczeń, podstawy prawne),
  • część opisowa jest dostosowywana do kontekstu – np. opis relacji z administratorem, zakres danych, przyczyny opóźnienia,
  • język odpowiedzi ma być zrozumiały dla laika – unika się żargonu prawniczego, a jeśli trzeba użyć pojęcia ustawowego, dodaje się krótkie wyjaśnienie.

Skuteczny wzór procedury może zawierać jedną stronę „minisłownika” pojęć, które pojawiają się w odpowiedziach (np. „odbiorca danych”, „podmiot przetwarzający”), wraz z prostymi definicjami do użycia w pismach. To sprawia, że odpowiedzi są spójne, a jednocześnie znośne w lekturze – nawet po kawie zbyt słabej, by czytać czysty język ustaw.

Zobacz także:

Poprzedni artykułZalecenia pokontrolne: jak odpowiadać, żeby zamknąć temat
Następny artykułWeekend w Kłodzku i okolicy – najciekawsze atrakcje, szlaki i miejsca na nocleg
Halina Sikora
Halina Sikora
Halina Sikora koncentruje się na dokumentacji wewnętrznej: zarządzeniach, regulaminach, procedurach i rejestrach, które porządkują pracę instytucji. Pomaga przekładać wymagania prawne na praktyczne instrukcje dla zespołu, tak aby każdy wiedział, co robić i gdzie to odnotować. W artykułach pokazuje, jak budować spójne metryczki, prowadzić archiwum i przygotować się na kontrolę, bez tworzenia „papierologii dla papierologii”. Jej podejście opiera się na analizie ryzyk, konsultacjach z praktykami i dopracowaniu dokumentów tak, by były czytelne i możliwe do utrzymania.