Când dreptul de access devine abuz: ghid practic pentru companii
1. Introducere
Articolul 15 reprezintă un dublu garant. Pentru persoanele fizice deschide posibilitatea ca acestea să afle ce date prelucrează despre ele o companie și în ce scop. La o primă vedere contraintuitiv, pentru business-uri Art. 15 GDPR este, de asemenea, un instrument de facilitare al business flow-ului, al transparenței organizației și al sporirii încrederii pe care o au persoanele fizice în compania dvs.
Totuși, în anumite situații cererile de acces pot deveni abuzive sau ilegale. Impactul acestora presupune costuri inutile și riscuri legale nejustificate. Recent, în cazul Brillen Rottler din Austria, o persoană vizată și-a exercitat dreptul de acces la datele sale personale imediat după abonarea la newsletter-ul companiei, cu scopul de a obține despăgubiri. Curtea de Justiție a Uniuniii Europene (CJUE) a clarificat că o asemenea ceree poate fi considerată excesivă dacă scopul real al persoanei vizate nu este verificarea legalității prelucrării datelor personale, ci obținerea de despăgubiri.
Companiile se confruntă, astfel, cu găsirea unui echilibru între respectarea drepturilor garantate de GDPR și optimizarea resurselor precum și menținerea reputației lor.
2. Dreptul de acces: substanță, scop și gestionare
Conform GDPR orice persoană are dreptul să primeacă confirmarea dacă datele sale sunt prelucrate de compania dvs., iar în măsura în care sunt accesul la datele pe care le prelucrați și alte informașii relevante, cum ar fi: scopul prelucrării, categoriile de date prelucrate, destinatarii datelor sau perioada de retenție a datelor și criteriile relevante prin care ați stabilit-o.
Reiterăm că acest drept este esențial pentru transparența și încrederea persoanelor care vă accesează serviciile sau produsele, iar companiile care răspund corect și prompt sudează relația cu clienții și evită sancțiuni considerabile (financiare, organizaționale și reputaționale)
Schematic, un proces sănătos de gestionare este redat în diagrama de mai jos:
3. Semnele unei cereri abuzive
O cerere de acces poate fi considerată abuzivă în următoarele situații:
- Structură repetitivă – persoana vizată trimite cereri de acces către mai multe companii într-un interval scurt, fără să subziste un interes real pentru accesarea datelor lui personale;
- Sincronizare temporală suspectă – cererea este trimisă imediat după colectarea datelor de către operator (compania dvs.);
- Lipsa unui interes real – solicitarea persoanei vizate nu are legatura cu verificarea legalității prelucrării, ci cu obținerea de despăgubiri, în esență beneficii materiale;
- Istoricul persoanei vizate – dacă în momentul consultării unui istoric public reiese că persoana vizată a mai trimis cereri (de orice fel, dar pentru a ne rezuma la subiectul acestui articol, ne vom limita la cele de acces) urmate de solicitări de despăgubire, acest tipar comportamental poate fi luat în considerare pentru gestionarea ulterioară a unei asemenea solicitări.
CJUE a subliniat că intenția persoanei vizate este esențială, în cazul Brillen Rottler, chiar și o primă cerere poate fi exceesivă dacă scopul este abuziv.
4. Cum să gestionați corect o cerere de acces suspectă
Pentru a echilibra balanța dintre interesele companiei dvs. și obligațiile impuse de GDPR, recomandările practice sunt:
- Efectuați o analiză preliminară – verificați dacă cererea persoanei vizate respectă condițiile de bază impuse de GDPR și identificați eventuale semne de comportament abuziv: frecvență, scop, istoricul persoanei;
- Documentați cererea – Salvați și arhivați intern toate comunicările și cererile pentru a justifica eventualele decizii de refuz și înregistrați analiza privind scopul și intenția persoanei vizate;,
- Comunicați răspunsul – dacă refuzați cererea, oferiți un răspuns motivat, explicați că această cerere poate fi considerată excesivă, indicând temeiul legal ( Art. 12 (5) lit b) GDPR). Dacă veți concluziona că respectiva cerere este legitimă, răspundeți prompt și complet, pentru a evita eventuale reclamații sau sancțiuni ale autorității;
- Colaborați – implicați DPO-ul sau schipa legală înainte de a răspunde la cerere și stabiliți proceduri interne pentru a ggestiona cererile de acces, inclusiv criterii de identificare a cererilor abuzive.
5. Despăgubiri și limite
GDPR permite persoanei vizate sp solicite despăgubiri pentru prejudicile materiale și morale cauzate de încălcarea drepturilor sale. Totuși, trebuie demonstrat dacă prejudiciul e real, dacă persoana vizată a creat situația printr-un comportament abuziv despăgubirile pot fi refuzate. Nu ecistă automat drept la compensații pentru orice cerere neprocesată corect, mai ales dacă intenția persoanei vizate a fost abuzivă. Evaluarea fiecărui caz în parte este esențială.
6. Riscuri pentru companii
Nerespectarea procedurilor pentru gestionarea greșită a cererilor de acces poate conduce la sancțiuni GDPR (amenzi, avertismente), implicații juridice, impact reputațional negativ sau consum excesiv de resurse interne pentru a remedia o cerere de acces greșit gestionată.
7. Best practices pentru prevenție și management
- Formulați și implementați proceduri standardizate pentru DSAR-uri (Data Subject Access Requests);
- Implementați formulare concise pentru cereri și răspunsuri;
- Efectuați traininguri periodice pentru echipele care gestionează fluxuri de date personale;
- Monitorizați eventuale modele repetitive de cereri de acces abuzive;
- Apelați la DPO pentru cazuri suspecte.
8. Concluzie
Gestionarea cererilor de acces în cadrul GDPR nu este doar o obligație legală, ci și o oportunitate de a suda relația cu persoanele vizate care pot fi chiar clienții care vă accesează bunurile sau serviciile și de a demonstra transparență. Totuși, companiile trebuie să fie conștiente de potențialul abuz: cererile excesive, repetitive sau motivate de intenții financiare nu trebuie tratate ca legitime.
Cheia constă în evaluarea intenției solicitantului, documentarea completă a procesului și aplicarea unei abordări pragmatice și conforme GDPR
Oana Sîrbu
Junior Privacy Consultant
