Celostne pravne reštive in strateško poslovno svetovanje.

Smernice EOVP št. 1/2022 o pravici do dostopa posameznikov, na katere se nanašajo osebni podatki

Pravica dostopa posameznikov, na katere se nanašajo osebni podatki, je zapisana v 8. členu Listine EU o temeljnih pravicah. Zato predstavlja del evropskega pravnega okvira za varstvo podatkov že od samega začetka, zdaj pa jo še naprej razvijajo določbe v 15. člena GDPR. Zato ni presenetljivo, da je EOVP o pravici dostopa objavil tudi smernice, mi pa vam predstavljamo njihov kratek povzetek.

Cilj pravice do dostopa

Cilj pravice do dostopa je posameznikom zagotoviti zadostne, pregledne in lahko dostopne informacije o obdelavi njihovih osebnih podatkov tako, da se lahko seznanijo z zakonitostjo obdelave in točnostjo obdelanih podatkov in jih preverijo. S tem se posameznikom omogoči tudi lažje uveljavljanje drugih pravic kot je npr. pravica do popravka, čeprav ne predstavlja pogoja za to. Posamezniku tudi ni potrebno navesti razlogov za zahtevo za dostop, prav tako ni potrebno, da bo zahteva posamezniku dejansko pomagala pri preverjanju zakonitosti ustrezne obdelave ali uveljavljanju drugih pravic. Upravljavec mora zahtevo obravnavati, razen če je jasno, da je zahteva vložena v skladu z drugimi pravili kot s pravili o varstvu podatkov.

Splošno o pravici do dostopa

Pravica dostopa se nanaša le na osebne podatke v zvezi z osebo, ki je vložila zahtevo. Podatki, ki so bili psevdonimizirani, so še vedno osebni, medtem ko anonimiziranimi podatki to niso.

Pravica dostopa vključuje tri pomembne komponente:

  • potrditev, ali se podatki o osebi obdelujejo ali ne,
  • dostop do teh osebnih podatkov, in
  • dostop do informacij o obdelavi, kot so namen, kategorije podatkov in prejemniki, trajanje obdelave, pravice posameznikov, na katere se osebni podatki nanašajo, in ustrezni zaščitni ukrepi v primeru prenosov v tretje države.

 

Obravnava zahteve

Oblika zahteve ni predpisana. Vloži se pri upravljavcu, praviloma pisno. Lahko se vloži tudi po elektronski pošti ter na neobvezujočem obrazcu. Upravljavec mora le zagotoviti ustrezne in za uporabnika enostavne oziroma prijazne komunikacijske kanale. Čeprav posameznik ni dolžan uporabljati le njih (npr. zahtevo lahko pošlje tudi na uradno kontaktno točko upravljavca), pa tudi upravljavec ni dolžan obravnavati tistih zahtev, ki so poslane na povsem naključne ali očitno napačne naslove.

Upravljavec mora pri obravnavanju zahteve do dostopa do osebnih podatkov oceniti:

  • ali se zahteva nanaša na osebne podatke posameznika, ki je vložil zahtevo,
  • ali gre za zahtevo posameznika za vpogled v lastne podatke, in ali obstajajo druge, bolj specifične določbe, ki urejajo dostop v določenem sektorju oziroma področju (npr. Zakon o pacientovih pravicah in Zakon o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj) ali,
  • ali se zahteva nanaša na vse ali samo dele obdelanih podatkov o posamezniku, na katerega se osebni podatki nanašajo.

Ocena zahteve mora odražati stanje v trenutku prejetja zahteve. Zato je potrebno navesti celo podatke, ki so morda napačni ali nezakonito obdelani. Podatkov, ki so bili že izbrisani, npr. v skladu s politiko hrambe, in zato niso več na voljo, ni treba posredovati.

Način zagotavljanja dostopa

Če upravljavec ne more identificirati posameznika, ali dvomi o tem, ali je posameznik, na katerega se nanašajo osebni podatki, tisti, za katerega trdi, da je, lahko oziroma mora zahtevati dodatne informacije za potrditev identitete posameznika. Če posameznik dodatnih informacij ne zagotovi, se zahtevo za dostop zavrne. Vseeno pa naj bi bila zahteva po dodatnih informacijah sorazmerna z vrsto obdelanih podatkov, škodo, ki bi lahko nastala itd.

Če ni izrecno navedeno drugače, se zahtevo za dostop obravnava tako, kot da se nanaša na vse osebne podatke v zvezi z zadevnim posameznikom. V primeru obdelave velike količine podatkov, pa se lahko od posameznika zahteva, da zahtevo dodatno konkretizira. Na podlagi iskalnih meril, ki odražajo način strukturiranja podatkov, pa mora upravljavec poiskati osebne podatke v vseh IT sistemih IT in v zbirkah, ki niso IT.

Sporočanje podatkov in drugih informacij o obdelavi posamezniku, mora biti zagotovljeno v jedrnati, pregledni, razumljivi in ​​lahko dostopni obliki, z uporabo jasnega in preprostega jezika, pri čemer so načini zagotavljanja dostopa odvisni tudi od okoliščin obdelave, kot tudi od sposobnosti posameznika, da razume (npr. če je posameznik otrok ali oseba s posebnimi potrebami; če so podatki sestavljeni iz kod ali drugih “neobdelanih podatkov”, ki jih je potrebno še pojasniti, da bodo za posameznika smiselni). Čeprav predstavljajo kopije glavni način zagotavljanja podatkov posamezniku, pa se za to lahko uporabi tudi druge načine, če posameznik to zahteva (npr. po elektronski pošti, če so upoštevani vsi potrebni zaščitni ukrepi), pri čemer je pomembno, da je upravljavec sposoben dokazati, da je posamezniku dostop zagotovil.

Zahtevo je treba izpolniti čim prej, brez nepotrebnega odlašanja, v vsakem primeru pa v enem mesecu od prejema zahteve. Rok se konča s pretekom tistega dneva v naslednjem mesecu glede na mesec vložitve popolne zahteve, ki se po svoji številki ujema z dnem, ko je bila vložena popolna zahteva. Če naslednji mesec nima ustreznega števila dni, se rok izteče zadnji dan v naslednjem mesecu.

Ta rok se lahko po potrebi podaljša za največ dva dodatna meseca ob upoštevanju kompleksnosti in števila zahtev. Posameznik mora biti o vsakem takem podaljšanju obveščen v enem mesecu po prejemu zahteve skupaj z razlogi za zamudo. Izvedeni morajo biti vsi potrebni ukrepi za čimprejšnjo obravnavo zahtev, ki so prilagojeni tudi okoliščinam obdelave. Če so podatki shranjeni le za zelo kratko obdobje, morajo obstajati ukrepi, ki zagotavljajo, da je zahtevo za dostop mogoče izpolniti, ne da bi bili podatki med obravnavo zahteve izbrisani. Kjer se obdeluje velika količina podatkov, se mora vzpostaviti rutine in mehanizme, ki so prilagojeni kompleksnosti obdelave.

Omejitve

GDPR dovoljuje le določene omejitve pravice do dostopa. Nadaljnjih izjem ali odstopanj ni. Pravica do dostopa je brez kakršnega koli splošnega pridržka glede sorazmernosti v zvezi s prizadevanji, ki jih mora upravljavec vložiti, da bi izpolnil zahtevo posameznika.

Pravica do pridobitve kopije ne vpliva negativno na pravice in svoboščine drugih. To pomeni, da se lahko izpušča ali naredi nečitljive tiste dele oziroma podatke, ki bi lahko negativno vplivali na pravice in svoboščine drugih. To pa ne sme povzročiti popolne zavrnitve zahteve posameznika; upravljavec pa mora biti tudi sposoben dokazati, da bi v konkretni situaciji bile prizadete pravice ali svoboščine drugih.

»Očitno neutemeljene ali pretirane« zahteve se lahko zavrnejo, ali pa se zanje zaračuna razumna pristojbina, pri čemer je pojme »očitno neutemeljene ali pretirane« potrebno razlagati zelo ozko, upravljavec pa mora biti sposoben dokazati očitno neutemeljenost ali pretiran značaj zahteve. Pretiranost zahtev je odvisna tudi od posebnosti sektorja, v katerem upravljavec deluje. Pogosteje, ko pride do sprememb v zbirki podatkov, pogosteje se lahko posamezniku dovoli, da zahteva dostop, ne da bi bil pretiran. Namesto zavrnitve dostopa se lahko posamezniku zaračuna tudi pristojbina (načeloma v višini zneska, ki pokrije adinistrativne stroške, ki jih povzroči zahteva).

Določene omejitve pravice do dostopa pa lahko obstajajo tudi v nacionalni zakonodaji posameznih držav članic.

Upravljavec o zahtevi odloči s pisnim obvestilom razen, če je zavezan postopati in odločati po Zakonu o splošnem upravnem postopku. V tem primeru mora v o zahtevi odločiti po Zakonu o splošnem upravnem postopku.

Celotne smernice so dosegljive in si lahko preberete na tej povezavi.