Czy zgodnie z RODO będzie można pobierać opłaty za realizację praw podmiotów danych

W ogólnym rozporządzeniu o ochronie danych (RODO) duży nacisk położono na zapewnienie osobom, których dane dotyczą, możliwości realizacji ich praw z zakresu ochrony danych osobowych. Administrator danych został nie tylko zobowiązany do przekazania tym osobom określonych informacji o zasadach przetwarzania danych, ale także do podjęcia aktywnych działań w celu ułatwienia im korzystania z ich praw. Co więcej, musi zadbać o to, aby komunikacja z osobami, których dane dotyczą, odbywała się w sposób dla nich zrozumiały, jasny i w łatwo dostępnej formie. Wiążą go także określone w RODO terminy rozpatrywania żądań i podejmowania działań wobec podmiotów danych. Wszystkie te obowiązki generują dodatkowe koszty dla administratora danych.

Administrator danych musi ułatwiać wykonywanie osobom, których dane dotyczą, prawprzyznanych im przez RODO. Przede wszystkim jest zobowiązany udzielać podmiotom danych określonych, wymaganych przez RODO informacji (wskazują je art. 13 i 14 RODO). Administrator danych musi zadbać o to, aby przekazywane informacje zawierały wszystkie wymagane przez RODO w konkretnych okolicznościach faktycznych elementy. Przy czym katalog tych informacji jest znacznie szerszy, niż wynika to z ustawy o ochronie danych osobowych z 29 sierpnia 1997 r.

Oprócz obowiązku informacyjnego administrator danych musi prowadzić z podmiotem danych wszelką komunikację dotyczącą przetwarzania danych osobowych i podejmować działania w związku z realizacją jego żądań. Osobie, której dane dotyczą, przysługuje bowiem prawo:

• dostępu do danych,
• sprostowania danych,
• żądania usunięcia danych (prawo do bycia zapomnianym),
• ograniczenia przetwarzania,
• przenoszenia danych,
• sprzeciwu,
• niepodlegania decyzji opierającej się wyłącznie na zautomatyzowanym przetwarzaniu (w tym profilowaniu),
• do informacji o naruszeniu ochrony jej danych osobowych.

Administrator danych musi rozpatrzyć wniosek osoby, której dane dotyczą, związany z przysługującymi jej na mocy RODO prawami. Żądanie powinien zrealizować niezwłocznie, jednak nie później niż w terminie jednego miesiąca, licząc od dnia, w którym je otrzymał. W razie potrzeby termin ten można przedłużyć o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań.

Należy też poinformować podmiot danych zarówno o przedłużeniu terminu rozpatrzenia żądania, jak i powodach tego opóźnienia. Trzeba również niezwłocznie (nie później niż w terminie jednego miesiąca od otrzymania żądania) powiadomić osobę, której dane dotyczą, o odmowie spełnienia jej żądania, przyczynach tego stanu rzeczy, jak również pouczyć ją o możliwości wniesienia skargi do organu nadzorczego i skorzystania z sądowej ochrony swoich praw.

Za wypełnienie obowiązku informacyjnego, a także z tytułu działań podejmowanych w związku z realizacją praw osób, których dane dotyczą, nie można pobierać żadnych opłat. Koszty udzielenia informacji podmiotom danych, prowadzenia z nimi komunikacji lub podjęcia żądanych działań obciążają zatem administratora danych. Jednak RODO przewiduje kilka wyjątków od tej zasady. Można pobrać opłatę w rozsądnej wysokości wynikającą z kosztów administracyjnych za dostarczenie osobie, której dane dotyczą, kolejnej kopii danych osobowych podlegających przetwarzaniu. Ponadto pobranie opłaty jest możliwe, gdy żądania osoby, której dane dotyczą, są:

• ewidentnie nieuzasadnione lub
• nadmierne, w szczególności ze względu na swój ustawiczny charakter.

Wysokość naliczonej opłaty powinna być rozsądna i uwzględniać administracyjne koszty udzielenia informacji, prowadzenia komunikacji lub podjęcia żądanych działań. Chodzi o zrekompensowanie administratorowi konkretnych kosztów, które musi ponieść w związku z realizacją praw osób, których dane dotyczą. Koszty te będą zależały od wielu czynników, m.in. od rodzaju czynności, do której podjęcia jest zobowiązany w świetle RODO, formy tej czynności, czy od rozmiarów i specyfiki działalności.

Opłata powinna być naliczana indywidualnie, z uwzględnieniem rzeczywistych kosztów, jakie poniósł administrator. Ustalanie wysokości opłaty według przyjętego wcześniej taryfikatora może zostać uznane za niezgodne z RODO. Administrator danych powinien podjąć działania w celu zminimalizowania wysokości opłaty lub uniknięcia konieczności jej naliczenia, np. poprzez propozycję spełnienia żądania w tańszej formie elektronicznej. Podstawowym zadaniem administratora jest bowiem umożliwianie i ułatwianie wykonywania osobom, których dane dotyczą, praw przyznanych im przez RODO.

To administrator danych musi wykazać, że żądanie osoby, której dane dotyczą, ma ewidentnie nieuzasadniony lub nadmierny charakter. Administrator będzie musiał ocenić żądanie lub żądania podmiotu danych przez pryzmat okoliczności faktycznych konkretnej sprawy. RODO nie daje tu bowiem żadnych konkretnych wskazówek. Biorąc pod uwagę, że naliczenie opłaty zostało dopuszczone w RODO tylko jako wyjątek od zasady, to powinno odbywać się jedynie w szczególnych przypadkach uporczywego lub nieuzasadnionego działania osoby, której dane dotyczą. Może zatem chodzić o takie działania podmiotów danych, których celem nie jest w rzeczywistości realizacja przysługujących praw, a sparaliżowanie bieżącej pracy administratora danych.