Cum se răspunde la o cerere de acces la date conform GDPR? [Șablon de răspuns inclus]
Ediție Premium
👋🏼 Salutări! Aici Ruxandra SAVA, avocat în domeniile GDPR & AI Law.
Bine ne-am găsit la o nouă ediție Premium a newsletterului meu! Acest newsletter poate fi accesat integral doar de către clienții care au cumpărat un abonament premium la publicația LegalUp. Vă mulțumesc, pe această cale, pentru încrederea acordată! Newsletterul bilunar cu noutățile legislative va rămâne întotdeauna gratuit.
💡Vrei să fii la curent cu articolele mele? Dacă da, atunci abonează-te aici!
Ideea articolului de azi a pornit de la o nevoie actuală. Tot mai multe companii se confruntă cu cereri de acces la date cu caracter personal formulate de către angajați, foști angajați, clienți sau alte persoane fizice. Fie că vorbim de acces la înregistrări video, la dosare medicale sau la alte documente care conțin date cu caracter personal, un lucru este sigur: numărul persoanelor care își exercită dreptul de acces este în creștere. 🔍
💡Acest articol conține un ghid practic privind răspunsurile la cererile de acces ale persoanelor vizate. El ajută companiile să evite greșelile pe care alte companii le-au făcut atunci când au răspuns la cererile de acces și au primit o amendă pentru încălcarea GDPR. Articolul conține și un șablon editabil de răspuns în Word la cererea de acces. Șablonul poate fi accesat în Google Drive doar de către abonații premium la newsletterul meu, pe baza subscripției de 12 EURO/lună.
AI-generated image (DALL-E 3 via ChatGPT)
Cum se răspunde o cerere de acces la date conform GDPR?
🔓Dreptul de acces la date cu caracter personal este un drept din ce în ce mai exercitat de către persoanele vizate. De-a lungul timpului, numeroase companii au fost amendate pentru că nu au răspuns într-un mod adecvat la cererile de acces ale persoanelor fizice. Acest articol este, în esență, un ghid practic pentru companiile care primesc cereri de acces pentru a ști ce anume trebuie să facă, pas cu pas.
💡Articolul explică ce este dreptul de acces, care sunt obligațiile companiei care primește o cerere de acces, ce pași trebuie urmați pentru a răspunde la o cerere de acces, inclusiv procedurile de identificare a persoanelor vizate și modalitățile de transmitere securizată a datelor cu caracter personal. Tot în acest articol, am explicat și în ce măsură pot companiile refuza cererile de acces în măsura în care se încalcă dreptul la protecția datelor a altor persoane, drepturi de autor sau secrete de afaceri.
💡Articolul prezintă și greșelile pe care le-au făcut companiile care au fost amendate pentru încălcarea dreptului de acces. Mai mult decât atât, articolul furnizează și un șablon editabil de răspuns în word, care conține toate elementele obligatorii conform GDPR și care poate fi personalizat pentru orice cerere de acces.
Cuprins:
1️⃣ Ce este dreptul de acces?
2️⃣Care sunt obligațiile legale ale companiei?
3️⃣În ce condiții se poate refuza dreptul de acces?
4️⃣Pași pentru a răspunde la cererile de acces:
🔹Primirea și înregistrarea cererii
🔹Verificarea identității
🔹Strângerea datelor cu caracter personal
🔹Redactarea răspunsului
🔹Transmiterea copiei datelor cu caracter personal și a răspunsului
🔹Închiderea procedurii
5️⃣De ce au fost amendate alte companii pentru încălcarea dreptului de acces?
6️⃣Concluzii
7️⃣Șablon de răspuns editabil la cererile de acces (format Word)
1️⃣Ce este dreptul de acces?
🔓Dreptul de acces este, conform art. 15 din GDPR, dreptul de a obține din partea operatorului o confirmare că se prelucrează sau nu date cu caracter personal care o privesc și, în caz afirmativ, acces la datele respective și la următoarele informații:
🔹scopurile prelucrării;
🔹categoriile de date cu caracter personal vizate;
🔹destinatarii sau categoriile de destinatari;
🔹acolo unde este posibil, perioada pentru care se preconizează că vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă;
🔹existența dreptului de a solicita operatorului rectificarea sau ștergerea datelor cu caracter personal ori restricționarea prelucrării datelor cu caracter personal referitoare la persoana vizată sau a dreptului de a se opune prelucrării;
🔹dreptul de a depune o plângere în fața unei autorități de supraveghere;
🔹în cazul în care datele cu caracter personal nu sunt colectate de la persoana vizată, orice informații disponibile privind sursa acestora;
🔹existența unui proces decizional automatizat incluzând crearea de profiluri, menționat la articolul 22 alineatele (1) și (4), precum și, cel puțin în cazurile respective, informații pertinente privind logica utilizată și privind importanța și consecințele preconizate ale unei astfel de prelucrări pentru persoana vizată”.
⚖️În anul 2023, Curtea de Justiție a Uniunii Europene a explicat în cauza cauza C‑307/22 că dreptul de acces include dreptul de a obține o copie gratuită a datelor cu caracter personal. De exemplu, luna trecută, ANSPDCP a impus unei companii măsura corectivă de comunica, în mod securizat, o înregistrare video către o persoană vizată care formulase o cerere de acces.
Conform GDPR, persoanele vizate au dreptul să primească o copie gratuită a datelor cu caracter personal (art. 15 (3)). Totuși, în situațiile în care cererile din partea unei persoane vizate sunt în mod vădit nefondate sau excesive, în special din cauza caracterului lor repetitiv, operatorul poate:
(a) fie să perceapă o taxă rezonabilă ținând cont de costurile administrative pentru furnizarea informațiilor sau a comunicării sau pentru luarea măsurilor solicitate;
(b) fie să refuze să dea curs cererii.
În cazurile de la lit. a) și b) de mai sus, operatorului îi revine sarcina de a demonstra caracterul vădit nefondat sau excesiv al cererii.
2️⃣Care sunt obligațiile legale ale companiei?
📌Atunci când primește o cerere de acces, compania are obligația să răspundă la acea cerere cât de urgent posibil și cel mai târziu în termen de o lună de zile de la primirea cererii. Termenul curge de la primire, nu de la înregistrare. Cu alte cuvinte, dacă cererea a fost primită pe e-mail vineri la ora 16, dar înregistrată luni la ora 09, termenul de o lună va curge de la data la care cererea a fost primită, respectiv de vineri la ora 16. Ce se întâmplă dacă operatorul nu poate răspunde în acel termen? Conform GDPR, termenul poate fi prelungit încă două luni atunci când este necesar, ținându-se seama de complexitatea și numărul cererilor. Atunci când prelungește termenul de răspuns, compania trebuie să informeze persoana vizată cu privire la orice astfel de prelungire, în termen de o lună de la primirea cererii, prezentând și…