DREPTUL DE ACCES LA DATELE PERSONALE

De Mugurel Olariu, RPD protectie date

Unul dintre principalele drepturi ale persoanei vizate este dreptul de acces la datele personale. Acesta este reglementat de instrumentul legal european – art.8 din Carta drepturilor fundamentale a UE și precizat în mod specific de art.15 din RGPD.

La nivelul CEPD a fost emis Ghidul 1/2022 privind drepturile persoanei vizate – dreptul de acces*1, document aflat în faza de consultare publică până la 11.03.2022.

Scopul general al dreptului de acces este de a oferi indivizilor suficient, transparent și ușor informații accesibile despre prelucrarea datelor lor personale, astfel încât să poată fi conștienți și pentru a verifica legalitatea prelucrării și acuratețea datelor prelucrate. Acest lucru va face mai ușor – dar nu este o condiție – ca individul să își exercite și alte drepturi precum dreptul la ștergere sau rectificare.

Dreptul de acces conform legislației privind protecția datelor trebuie să fie diferențiat de drepturi similare cu alte obiective, de exemplu dreptul de acces la documentele publice care vizează garantarea transparenței în procesul decizional al autorităților publice și buna practică administrativă.

Dreptul de acces include trei componente diferite:
■ Confirmarea dacă datele despre persoană sunt sau nu prelucrate,
■ Accesul la aceste date personale și
■ Accesul la informații despre prelucrare, cum ar fi scopul, categoriile de date și destinatarii, durata prelucrării, drepturile persoanelor vizate și garanțiile corespunzătoare în cazul unui transfer în țară terță.

Ghidul este structurat pe șase capitole, primul fiind de Observații generale. Capitolele de conținut numerotate de la 2 la 6, se referă la:

✔ Scopul dreptului de acces, structura articolului 15 din GDPR și principiile generale. În cadrul capitolului sunt prezentate definiția dreptului de acces, dispoziții privind modalitățile și posibila limitare a acestui drept. De asemenea, sunt punctate pricipiile dreptului de acces cu completitudinea și corectitudinea informațiilor, punctul de referință temporal al evaluării și respectarea cerințelor de securitate a datelor.

✔ Considerații generale privind evaluarea cererilor de acces. Sunt prezentate noțiunile introductive, cu analiza conținutului cererii, forma cererii și identificarea persoanei vizate, precum și legătura dintre datele personale și persoana vizată. Acest capitol mai conține trei secțiuni specializate pentru Probleme cu stabilirea identității persoanei care face cererea, Evaluarea proporționalității privind identificarea persoanei solicitante și Solicitări făcute prin terți/împuterniciți.

✔ Domeniul de aplicare al dreptului de acces și datele și informațiile cu caracter personal la care se referă, cu trei secțiuni, astfel: Definirea datelor cu caracter personal, Datele cu caracter personal la care se referă dreptul de acces, și Informații privind prelucrarea și drepturile persoanelor vizate.

✔ Cum poate un operator să ofere acces?, este tema principală a acestui capitol. Are trei secțiuni, după cum urmează: Cum poate operatorul să preia datele solicitate?, Măsuri adecvate pentru asigurarea accesului, și Momentul pentru furnizarea accesului.

✔ Limite și restricții ale dreptului de acces este ultimul capitol. Sunt efectuate observații generale și se interpretează aplicarea art. 15 alin.(4) din RGPD. Și a art.12 alin.(5) din RGPD. În ultima secțiune, se clarifică problematici esențiale, respectiv: Ce înseamnă în mod vădit neîntemeiat?, Ce înseamnă excesiv?, Consecințe și Posibile restricții în legislația Uniunii sau a Statelor Membre în baza articolului 23 RGPD și derogări.

În Anexă, este prezentată o Diagramă a fluxului de primire, analiză și soluționare a cererii persoanei vizate, prin trei pași, astfel:

Pasul 1: Cum se interpretează și se evaluează cererea?, fiind exemplificate cele șase probleme de clarificat, respectiv:
✔ Solicitarea se referă la date personale?
✔ Este o solicitare RGPD?
✔ Este o cerere pe art. 15?
✔ Solicitarea se referă la persoana solicitantă?
✔ Verificarea identității, în caz de îndoieli.
✔ Care este domeniul de aplicare al cererii?

Pasul 2: Cum să răspund la cerere?, cu trei secțiuni:
✔ 3 componente principale ale dreptului de acces (structura art. 15).
✔ Luați măsurile adecvate.
✔ Cum poate operatorul să preia toate datele despre persoana vizată?

Pasul 3: Verificarea limitelor și restricțiilor, cu două secțiuni:
✔ Art. 15 (4) RGPD: Ar fi afectate drepturile sau libertățile altora prin răspunsul la cererea de acces?
✔ Art. 12 (5) RGPD: Cererea este vădit nefondată?

Apreciem că acest ghid este un instrument de lucru eficient pentru operatori, urmând a fi aprofundat și folosit în activitatea practică de responsabilul protecție date de la nivelul acestora.

––––––––––––––––-
*1 A se vedea https://edpb.europa.eu/our-work-tools/documents/public-consultations/2022/guidelines-012022-data-subject-rights-right_ro

Articolul precedentÎmpreună pentru fete și femei
Articolul următorPractica jocurilor de noroc în 2022