Secţiuni » Arii de practică » Business » Cyberlaw
Cyberlaw
CărţiProfesionişti

Respectarea dreptului de acces la datele cu caracter personal – o provocare pentru operatorii de date
01.04.2022 | Maria-Alexandra ITU

Secţiuni: Articole, Cyberlaw, Data protection, Selected
JURIDICE - In Law We Trust
Maria-Alexandra Itu

Maria-Alexandra Itu

I. Introducere

Deși poartă denumirea de ,,Regulament”, GDPR[1] este un act legislativ adoptat la nivelul Uniunii Europene și are caracter obligatoriu pentru toate statele membre, acestea având obligația să asigure respectarea și integrarea sa în cadrul ordinii de drept naționale.

Din acest motiv, nerespectarea prevederilor GDPR poate atrage sancțiuni pentru operatorii de date, sancțiuni care constau, în cele mai fericite cazuri, într-un avertisment, dar care, în cazul constatării unor încălcări grave, pot ajunge la amenzi de până la 4% din cifra de afaceri.

În România, amenzile pentru încălcarea prevederilor legale în materia protecției datelor cu caracter personal au ca obiect, preponderent, neîndeplinirea condițiilor referitoare la răspunsul pe care operatorul de date este obligat să îl dea persoanei vizate cu privire la cererile de exercitare a drepturilor.

Cea mai recentă amendă de acest fel este din data de 25 martie 2022, când un operator de date a fost sancționat de Autoritatea Națională pentru Supravegherea Prelucrării Datelor cu Caracter Personal (pe care o vom denumi, în continuare, ANSPDCP), întrucât nu a răspuns solicitării persoanei vizate de a-i furniza copii ale înregistrărilor camerelor de supraveghere care au surprins imaginea acesteia[2], fiind încălcat, în acest fel, dreptul de acces.

Tot în luna martie, ANSPDCP a amendat un alt operator de date pentru încălcarea prevederilor referitoare la dreptul de acces. Redăm mai jos comunicatul ANSPDCP despre această amendă:

,,[…] Investigația a fost demarată ca urmare a unei plângeri prin care petentul reclama faptul că nu este mulțumit de răspunsul primit din partea operatorului la cererea sa de exercitare a dreptului de acces prevăzut de art. 15 din Regulamentul General privind Protecția Datelor.

În cadrul investigației, s-a constatat că operatorul nu a comunicat petentului toate informațiile cu privire la prelucrarea datelor sale personale (cum ar fi datele cu caracter personal prelucrate, sursa datelor, destinatarii datelor), încălcându-se astfel prevederile art. 15 din RGPD.

[…] Totodată, operatorului i s-a aplicat și măsura corectivă de a comunica petentului toate informațiile privind prelucrarea datelor sale cu caracter personal, inclusiv datele cu caracter personal prelucrate, sursa datelor, destinatarii datelor, ca urmare a cererii sale de exercitare a dreptului de acces la date, conform art. 15 din RGPD, în termen de 5 zile lucrătoare de la comunicarea procesului-verbal.”[3]

Având în vedere faptul că doar în ultima lună au fost acordate câteva amenzi din cauza încălcării dreptului de acces al persoanei vizate, observăm, astfel, că una dintre cele mai dificile sarcini care revine operatorului de date în respectarea și ralierea la exigențele Regulamentului GDPR este aceea de a răspunde cererilor care au ca obiect exercitarea acestui drept.

II. Dreptul de acces – o provocare pentru operatorii de date

Unul dintre motivele pentru care răspunsul cererilor care au ca obiect exercitarea dreptului de acces reprezintă o provocare pentru operatorii de date este acela că, spre deosebire, de exemplu, de dreptul la ștergerea datelor (,,dreptul de a fi uitat”) – art. 17, GDPR, care constă, în cele mai multe dintre cazuri, doar în confirmarea ștergerii datelor, răspunsul cererilor privitoare la exercitarea dreptului de acces este alcătuit din trei componente: confirmarea prelucrării informațiilor referitoare la persoana vizată, accesul la acestea, precum și accesul la modul în care datele sunt prelucrate, conform prevederilor art. 15 din Regulament. Același lucru este prevăzut și în Ghidul 01/2022 privind drepturile persoanelor vizate – dreptul de acces, Versiunea 1.0 (Guidelines 01/2022 on data subject rights – Right of access, Version 1.0)[4], aflat încă în faza de consultare publică.

Prin urmare, răspunsul la cererile privind dreptul de acces este mult mai complex și implică un proces mult mai amplu, prin raportare la etapele pe care operatorul de date trebuie să le parcurgă astfel încât răspunsul către persoana vizată nu doar să fie complet din punct de vedere al informației furnizate, dar să și întrunească condițiile legale prevăzute de Regulament.

III. Verificarea identității titularului cererii

Așadar, primul pas în ceea ce privește soluționarea cererilor privind dreptul de acces este verificarea identității persoanei vizate, atunci când cererea este transmisă prin mijloace electronice, spre exemplu, sau chiar și prin platforma operatorului de date, dacă datele de identificare furnizate nu sunt suficiente pentru a fi conformă exigențelor de securitate. În acest sens, operatorul de date poate solicita informații adiționale persoanei care a înaintat cererea și, mai mult decât atât, poate solicita acestuia să precizeze care sunt datele cu caracter personal la care dorește acces (așa cum am văzut mai sus – situația în care persoana vizată a solicitat accesul la înregistrările camerelor de supraveghere) sau care este poziția sa prin raportare la operatorul de date (client, fost angajat etc.). Acest pas este esențial a fi urmat în cazul tuturor operatorilor de date, dar, în mod deosebit, în cazul celor care prelucrează date cu caracter sensibil, cum sunt, spre exemplu, datele privind sănătatea (laboratoarele de analiză, cabinetele medicilor de familie etc.).

Cu toate acestea, este necesar ca operatorul de date să fie precaut și să nu colecteze mai multe date decât este necesar în vederea atingerii scopului său, respectiv, identificarea persoanei vizate ca titular al cererii de exercitare a dreptului de acces.

În funcție de specificul datelor cu caracter personal prelucrate de operator, se pot lua măsuri adiționale pentru identificarea în mod corespunzător a titularilor cererilor, astfel încât operatorul să aibă siguranța că aceștia întrunesc și calitatea de persoane vizate (spre exemplu, în cazul operatorilor de date care prelucrează date privind achizițiile de cumpărături, poate fi transmis către numărul de telefon al persoanei vizate un SMS care să conțină un cod de identificare și care să permită accesul acestuia la datele prelucrate de operator). În cazul operatorilor care prelucrează date sensibile, identificarea titularului cererii se poate face și prin alte mijloace, inclusiv prin solicitarea datelor din conținutul cărții de identitate, în funcție de modalitatea prin care este exercitat dreptul de acces – în cazul cererilor în format electronic, sunt necesare măsuri suplimentare în vederea respectării normelor de securitate a informației.

În acest sens, este indicat ca fiecare operator de date să aibă adoptate, la nivel intern, politici și proceduri astfel încât să se asigure implementarea tuturor normelor și măsurilor tehnice referitoare la protecția datelor cu caracter personal și securitatea informației -politică de protecție a datelor cu caracter personal, politica de securitate a informației, procedura de răspuns la cererile persoanelor vizate. În cazul operatorilor de date care prelucrează un număr mare de date cu caracter personal, această din urmă procedură este inerentă în vederea facilitării unui răspuns prompt, corect și complet la cererile persoanelor vizate, îndeosebi în ceea ce privește cazul cererilor de exercitare a dreptului de acces. În acest fel, pot fi stabilite nu doar sarcinile fiecărui departament prin raportare la obiectul cererii persoanei vizate, dar și persoanele care vor avea acces la datele cu caracter personal prelucrate, astfel încât să nu existe prelucrări suplimentare de date și să fie minimizate riscurile de producere a incidentelor de securitate cum sunt, spre exemplu, accesul neautorizat la date cu caracter personal sau încălcarea confidențialității datelor cu caracter personal.

IV. Testul proporționalității – ,,excesiv” versus ,,repetitiv”

O altă problemă referitoare la cererile privind dreptul de acces, expusă inclusiv în ghidul anterior menționat, o reprezintă testul proporționalității acestor cereri: care sunt limitele exercitării în timp a dreptului de acces? Altfel spus, poate fi considerată o cerere privind dreptul de acces excesiv?

Răspunsul este unul foarte simplu: depinde.

Art. 12 alin. (5) din Regulamentul GDPR stipulează următoarele:

,,Informațiile furnizate în temeiul articolelor 13 și 14 și orice comunicare și orice măsuri luate în temeiul articolelor 15-22 și 34 sunt oferite gratuit. În cazul în care cererile din partea unei persoane vizate sunt în mod vădit nefondate sau excesive, în special din cauza caracterului lor repetitiv, operatorul poate:

(a) fie să perceapă o taxă rezonabilă ținând cont de costurile administrative pentru furnizarea informațiilor sau a comunicării sau pentru luarea măsurilor solicitate;
(b) fie să refuze să dea curs cererii.

În aceste cazuri, operatorului îi revine sarcina de a demonstra caracterul vădit nefondat sau excesiv al cererii.”

Așadar, în analogie cu principiul actori incumbit probatio, operatorul de date trebuie să demonstreze motivele pentru care consideră ca nefondată ori excesivă cererea și să vină cu argumente în acest sens. Nu trebuie să se facă confuzie între ,,excesiv” și ,,repetitiv”, întrucât, în funcție de natura sau complexitatea datelor cu caracter personal pe care un operator de date le prelucrează, aceeași persoană vizată poate să își exercite, la intervale de timp apropiate, dreptul de acces la datele cu caracter personal.

Totuși, fiecare cerere va fi analizată de la caz la caz, luându-se în considerare toate aspectele relevante, cum sunt scopul prelucrării datelor cu caracter personal, natura acestora (spre exemplu, date cu caracter sensibil) sau tipul datelor cu caracter personal care fac obiectul cererilor de exercitare a dreptului de acces. În acest ultim caz, trebuie să se aibă în vedere dacă persoana vizată face o nouă cerere de exercitare a dreptului de acces la datele cu caracter personal care o privesc (dacă este vorba despre același tip de date) sau solicită o copie de pe acestea.

V. Transmiterea și formularea răspunsului

Conform art. 15 alin. (3) din Regulamentul GDPR, ,,operatorul furnizează o copie a datelor cu caracter personal care fac obiectul prelucrării”, iar ,,pentru orice alte copii solicitate de persoana vizată, operatorul poate percepe o taxă rezonabilă, bazată pe costurile administrative.”

Nu în ultimul rând, conform aceluiași articol, ,,în cazul în care persoana vizată introduce cererea în fprmat electronic și cu excepția cazului în care persoana vizată solicită un alt format, informațiile sunt furnizate într-un format electronic utilizat în mod curent.”

Prin urmare, pentru a respecta exigențele Regulamentului GDPR, orice operator de date trebuie să aibă adrese de e-mail securizate și măsuri tehnice implementate la nivelul sistemului său informatic, astfel încât riscul producerii incidentelor de securitate să fie minimizat, ținând cont de faptul că cele mai multe solicitări de exercitare a drepturilor în temeiul GDPR sunt recepționate fie pe adresa de e-mail a operatorului de date (sau a DPO-ului, după caz), fie prin intermediul platformei/site-ului operatorului. De asemenea, pentru a transmite răspunsul, operatorul de date trebuie să țină cont de solicitarea persoanei vizate care, chiar dacă a transmis solicitarea pe e-mail, poate cere ca răspunsul să îi fie transmis prin intermediul unei adrese poștale.

VI. Concluzii

Având în vedere toate aceste aspecte și ținând cont de particularitățile dreptului de acces, într-o lume în care informația este la fiecare pas și datele cu caracter personal au devenit monedă de schimb[5], reglementarea dreptului de acces se justifică prin aceea că persoanelor vizate li se oferă astfel posibilitatea de a verifica nu doar legalitatea prelucrării datelor cu caracter personal, ci și transparența și corectitudinea informațiilor despre ele pe care operatorul de date le prelucrează (sau nu).

O astfel de verificare va putea facilita posibilitatea persoanei vizate de a-și exercita alte drepturi în temeiul Regulamentului GDPR, cum sunt dreptul la ștergere sau dreptul la rectificare.

Acesta este și motivul pentru care răspunsul la o cerere privind dreptul de acces este alcătuit din mai multe componente și necesită o atenție sporită din partea operatorului de date, precum și un răspuns din partea acestuia: prin exercitarea acestuia poate fi facilitată și exercitarea celorlalte drepturi prevăzute de GDPR, acționând ca un efect de undă în raportul dintre operatorul de date și persoana vizată.


[1] Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor.
[2] Disponibil aici
[3] Disponibil aici.
[4] Disponibil aici.
[5] Mai multe despre natura juridică a datelor cu caracter personal în conținutul următorului articol: https://www.juridice.ro/576074/cateva-consideratii-asupra-naturii-juridice-a-datelor-cu-caracter-personal.html.


Consilier juridic – Responsabil cu Protecția Datelor Maria-Alexandra Itu

Cuvinte cheie: , , , ,
Vă invităm să publicaţi şi dvs., chiar şi opinii cu care nu suntem de acord. JURIDICE.ro este o platformă de exprimare. Publicarea nu semnifică asumarea de către noi a mesajului. Totuşi, vă rugăm să vă familiarizaţi cu obiectivele şi valorile Societătii de Stiinţe Juridice, despre care puteti ciţi aici. Pentru a publica vă rugăm să citiţi Condiţiile de publicare, Politica privind protecţia datelor cu caracter personal şi să ne scrieţi la adresa de e-mail redactie@juridice.ro!

JURIDICE.ro foloseşte şi recomandă My Justice

JURIDICE CORPORATE
JURIDICE MEMBERSHIP
Juristi
JURIDICE pentru studenti









Subscribe
Notify of

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

0 Comments
Inline Feedbacks
View all comments
Important: Descurajăm publicarea de comentarii defăimatoare. Vor fi validate doar comentariile care respectă Politica JURIDICE.ro şi Condiţiile de publicare.

Secţiuni        Selected     Noutăţi     Interviuri        Arii de practică        Articole     Jurisprudenţă     Legislaţie        Cariere     Evenimente     Profesionişti