W wielu skargach kierowanych do Prezesa UODO osoby fizyczne wskazują na istotne kłopoty w odnalezieniu kontaktu do administratora oraz skierowaniu do niego żądania związanego z wykonywaniem praw określonych w art. 15 – 22 RODO. Sugerują, że niektórzy administratorzy celowo utrudniają swoim klientom lub interesantom identyfikację administratora i kontakt z nim, po to, aby uniknąć wysiłku związanego z respektowaniem uprawnień osób, których dane przetwarzają.
Skargi kierowane do UODO najczęściej wskazują, że cześć administratorów nie przestrzega obowiązku zapewnienia osobom fizycznym przejrzystego i sprawnie działającego kanału komunikacji służącego realizacji praw tych osób. Tymczasem ułatwianie osobie, której dane dotyczą, wykonania jej praw jest obowiązkiem wynikającym wprost z art. 12 ust. 2 RODO. W motywie 59 RODO wyjaśniono, że należy przewidzieć procedury ułatwiające osobie, której dane dotyczą, wykonywanie praw przysługujących jej na mocy niniejszego rozporządzenia, w tym mechanizmy żądania – i gdy ma to zastosowanie bezpłatnego uzyskiwania – w szczególności dostępu do danych osobowych i ich sprostowania lub usunięcia oraz możliwości wykonywania prawa do sprzeciwu.
Administrator powinien zapewnić możliwość wnoszenia odnośnych żądań także drogą elektroniczną, w szczególności, gdy dane osobowe są przetwarzane drogą elektroniczną. Jest zobowiązany udzielić odpowiedzi na żądania osób, których dane dotyczą, bez zbędnej zwłoki – najpóźniej w terminie miesiąca, a jeżeli nie zamierza spełnić takiego żądania – podać tego przyczyny. Wymienione praktyki administratorów stoją też w sprzeczności z zasadą zgodności z prawem, rzetelności i przejrzystości wynikającej z art. 5 ust. 1 lit. a RODO.
Umożliwienie łatwego i szybkiego kontaktu z administratorem czy wyznaczonym przez niego inspektorem ochrony danych oraz właściwe spełnienie obowiązku informacyjnego ma kluczowe znaczenie dla przestrzegania powyższej zasady. Rzetelne i przejrzyste przetwarzanie oznacza, że osoba, której dane dotyczą, jest informowana o prowadzeniu operacji przetwarzania i o jej celach. Administrator powinien podać jej wszelkie inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania, uwzględniając konkretne okoliczności i konkretny kontekst przetwarzania danych osobowych. Informacje przekazywane osobie muszą być między innymi łatwo dostępne i zrozumiałe, formułowane jasnym i prostym językiem (motyw 58 i 60 RODO). W interesie administratorów i wspierających ich inspektorów ochrony danych jest zatem dbanie o to, aby osoby, których dane dotyczą nie miały problemów z dotarciem do informacji o przetwarzaniu ich danych i możliwościach realizowania swoich uprawnień określonych w RODO. Osoby rzetelnie i uczciwie poinformowane o przetwarzaniu ich danych, mające poczucie, że ich dane nie są wykorzystywane bez ich wiedzy i kontroli, w dużo mniejszym stopniu skłonne są do występowania z żądaniami do administratorów lub składania skarg do Prezesa UODO.
Najczęściej sygnalizowane problemy to: 1) brak wskazania jakichkolwiek form kontaktu w sprawach związanych z przetwarzaniem danych osobowych; 2) nieudostępnianie danych dotyczących administratora i inspektora ochrony danych lub ukrywanie ich na trudno dostępnych podstronach lub w trudnych do zlokalizowania dokumentach takich jak polityka bezpieczeństwa czy regulamin świadczenia usług; 3) udostępnianie nieaktualnych danych kontaktowych lub nieaktualnego lub nieaktywnego formularza jako jedynej drogi kontaktu; 4) brak wyjaśnienia klientom, kto ponosi odpowiedzialność za działalność prowadzoną pod określoną nazwą sklepu, punktu usługowego lub portalu internetowego i do kogo powinni oni kierować swoje pytania i wnioski związane z przetwarzaniem ich danych osobowych. Może to prowadzić do kierowania żądań do niewłaściwego podmiotu (np. posługującego się podobną nazwą); 5) niewyznaczenie w ramach struktury organizacyjnej osoby odpowiedzialnej za obsługę lub przekierowanie żądań osób, których dane dotyczą, do właściwej komórki lub braku przepływu informacji w organizacji o takich żądaniach; 6) brak właściwej komunikacji między administratorem a podmiotem przetwarzającym w zakresie przekazywania żądań przedkładanych przez osobę, której dane dotyczą; 7) nieprzestrzeganie określonych w przepisach RODO terminów rozpatrywania żądań osób, których dane dotyczą.
Źródło: https://news.uodo.gov.pl/lists/