Ghidul a fost elaborat și publicat recent la nivelul Comisiei Europene pentru Protecția Datelor (CEPD / EDPB - European Data Protection Board - în engleză) și vizează exclusiv subiectul dreptului la acces. Pe scurt, GDPR obligă companiile care folosesc date personale în activitatea lor curentă să dea acces la ele, la cerere, persoanelor vizate de acele prelucrări de date personale.
Înainte de toate, operatorul trebuie să confirme dacă prelucrează sau nu datele personale ale celui care trimite o cerere de acces și apoi, dacă răspunsul e afirmativ, trebuie să dea acces la:
- datele prelucrate;
- scopurile prelucrării;
- categoriile de date personale vizate;
- destinatarii sau categoriile de destinatari cărora datele personale le-au fost sau urmează să le fie divulgate, în special destinatari din țări terțe sau organizații internaționale;
- acolo unde este posibil, perioada pentru care se preconizează că vor fi stocate datele personale sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă;
- existența dreptului de a cere rectificarea sau ștergerea datelor personale ori restricționarea prelucrării datelor personale referitoare la persoana vizată sau a dreptului de a se opune prelucrării;
- dreptul de a depune o plângere la ANSPDCD;
- în cazul în care datele personale nu sunt colectate de la persoana vizată, orice informații disponibile privind sursa acestora;
- existența unui proces decizional automatizat (inclusiv profilarea), precum și, cel puțin în cazurile respective, informații pertinente privind logica folosită și importanța și consecințele preconizate ale unei astfel de prelucrări pentru persoana vizată.
Operatorul este obligat să comunice informațiile solicitate în termen de o lună de la data solicitării. În caz contrar, persoana vizată poate face plângere la ANSPDCP, iar amenzile sunt un risc pe care firmele care nu răspund acestor solicitări și-l asumă în acest fel. Chiar recent ANSPDCP a amendat o companie din România pentru că a refuzat să dea acces unui fost client la imaginile de pe camerele de supraveghere care-l înfățișau pe acesta în magazin.
Accesul trebuie să fie unul gratuit, dar GDPR-ul le permite firmelor să taxeze cererile de acces ale persoanelor, doar excepțional și dacă:
- solicitarea este lipsită de orice fundament sau
- este excesivă (de exemplu, cereri repetitive, făcute într-un interval de timp în care nu au avut loc modificări ale datelor deținute și deja comunicate solicitantului).
Ghidul CEPD urmărește să ajute companiile și alți operatori de date personale cu sfaturi detaliate privind respectarea acestui drept al persoanelor, modalitatea în care operaționalizează accesul, limitele și restricțiile ș.a.m.d.. Totodată, subliniază comitetul european, nu trebuie confundat exercițiul acestui drept cu accesul la informații de interes public sau privat pe care oamenii îl aveau și anterior, care reprezintă exercitarea unor cu totul alte prerogative decât presupune dreptul de acces din GDPR. În fapt, cei care își exercită acest drept sunt înșiși cei ale căror date sunt prelucrate și care vor să vadă, până la urmă, dacă le sunt prelucrate datele în mod legal, dacă le sunt prelucrate date fără chiar să fi știut sau mai multe decât și-au dat acordul, dacă sunt păstrate pentru perioade nejustificate de timp etc.. În final, cei care solicită accesul la datele prelucrate, cel mai probabil, își vor exercita ulterior, cum subliniază CEPD, și alte drepturi conferite de GDPR: la ștergere, corectarea informațiilor și altele.
De exemplu, ghidul explică pe larg principiile dreptului de acces: (1) faptul că informația oferită solicitantului trebuie să fie completă, iar ghidul explică aici și diferența dintre cererile foarte specifice ale solicitanților și cele cu caracter vag, generalist, (2) faptul că informația trebuie să fie corectă, (3) faptul că ar trebui să fie cât mai exactă raportat la momentul solicitării, adică să releve situația datelor la momentul respectiv sau cât mai aproape de acel moment și, în fine, (4) cerințele de siguranță pe care trebuie să le îndeplinească procesul acesta prin care operatorul dă acces solicitantului la datele sale - modalitatea în care îi trimite copia acelor date, de pildă, să fie una sigură, pentru că altfel îl poate expune pe solicitant la riscul ca datele sale să ajungă la alte persoane ori entități - un incident de securitate.
Mai departe, ghidul îi învață pe operatori cum să se uite la conținutul solicitărilor de acces, ce să analizeze, ce solicitări să facă, la rândul lor, ca răspuns la solicitările primite, dacă să analizeze incidența altor prevederi legale în privința acelor solicitări ș.a.m.d.
Totodată, ghidul oferă operatorilor explicații și cu privire la limitările pe care le pot sau trebuie să le impună în materia dreptului de acces, inclusiv exemple în care să arate operatorilor când ar fi justificat un refuz și de ce, ce înseamnă solicitări excesive ori temeiul nejustificat de acces.