Korzystając z prawa do weryfikacji danych osobowych, zwróciłem się do instytucji z wnioskiem o przekazanie kompleksowej informacji na temat tego, jakie informacje na temat moje osoby posiadają, w jakim celu są one przetwarzane i komu zostały przekazane. W kontekście tej ostatniej prośby otrzymałem odpowiedź, z której wynikało, że moje dane nie zostały udostępnione innym odbiorcom danych w rozumieniu art. 7 pkt 6 ustawy, a dostęp do tych danych posiadają jedynie podmioty, którym powierzono przetwarzanie na podstawie stosownych umów powierzenia. Podmioty te nie zostały jednak określone. Czy administrator miał prawo tak lakonicznie odnieść się do mojej prośby – pyta czytelnik.
Administrator danych powinien podać dane podmiotów, którym powierzył proces ich przetwarzania na podstawie art. 31. Obowiązek ten wynika z prawa do uzyskania informacji o sposobie udostępniania danych.
Ustawa o ochronie danych osobowych przewiduje możliwość kontroli własnych danych, znajdujących się w gestii administratorów, tj. firm i instytucji, które weszły w ich posiadanie. Na przykład w efekcie łączącej strony umowy lub w wyniku wyraźnej zgody osoby zainteresowanej na przetwarzanie jej danych. Instytucja prawa kontroli służy m.in. temu, aby można się było przekonać, czy dany podmiot w ogóle dysponuje naszymi danymi, a jeżeli tak, to czy są one poprawne, a także sprawdzić, w jakim celu są przetwarzane i czy zostały komuś przekazane.
Uprawnienie takie wynika z art. 33 ustawy. Zgodnie z nim, na wniosek osoby, której dane dotyczą, administrator danych jest obowiązany, w terminie 30 dni, poinformować o przysługujących jej prawach oraz udzielić, odnośnie do jej danych osobowych, informacji, o których mowa w art. 32 ust. 1 pkt 1–5a ustawy. W myśl zaś ust. 2 tego przepisu na wniosek osoby, której dane dotyczą, informacji takich udziela się na piśmie.
Zamknięty katalog
Jak wynika z tego przepisu ustawodawca jednoznacznie określił, że obowiązek udzielenia informacji, w ramach wykonywania przez zainteresowanego kontroli przetwarzania jego danych, dotyczy wyłącznie informacji, o których mowa w art. 32 ust. 1 pkt 1–5a ustawy. Tym samym uznać należy, iż ustawodawca określił zamknięty katalog tych informacji. Należy więc przywołać treść tego przepisu. A stanowi on, że każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo do: