Solicitarea de acces la date. Exercitarea dreptului de acces

Persoanele vizate au dreptul să ceară operatorilor o copie a datele lor personale, solicitare ce trebuie soluționată în termen de o lună de zile. Acest drept este cuprins în Carta drepturilor fundamentale a Uniunii Europene, în articolul 8, iar Regulamentul RGPD îl dezvoltă în articolul 15. În 2022, Comitetului european pentru protecția datelor (CEPD) a emis un Ghid privind dreptul de acces, Ghidul 1/ 2022, ce oferă mai multă lumină articolului 15, prin explicațiile nuanțate și exemplificate ale acestuia. În fața Curții de Justiție a Uniunii Europene a fost adusă o speță care a căutat să lămurească dacă interpretarea articolului 15(3), prima teză, din Regulamentul RGPD, potrivit căruia „operatorul furnizează o copie a datelor cu caracter personal care fac obiectul prelucrării”, se face în sensul că include un drept general al persoanei vizate de a i se preda o copie a documentelor complete în care sunt prelucrate date cu caracter personal ale persoanei vizate sau de a i se preda o copie a unui extras dintr-o bază de date, în cazul prelucrării datelor cu caracter personal într-o astfel de bază de date.

Articolul 15 din Regulament conturează dreptul de acces al persoanei vizate la datele personale prelucrate ce o privesc, informații ce cuprind scopurile prelucrării, categoriile de date cu caracter personal vizate, destinatarii datelor, perioada de stocare, drepturile de rectificare, de ștergere, de plângere, sursa datelor și informații privind profilarea, și măsurile luate în cazul unui transfer către o țară terță. Alineatul 3 prevedere faptul că operatorul furnizează o copie a datelor cu caracter personal care fac obiectul prelucrării, cu posibilitatea unei taxe bazată pe costurile administrative ale soluționării cererii. De asemenea, informațiile trebuie furnizate într-un format electronic utilizat în mod curent. De reținut este și faptul că respectarea drepturilor persoanelor vizate nu trebuie să încalce drepturile altora la protecția datelor personale.

Speța:

În vara anului 2021, Curtea Administrativă Federală din Austria a înaintat către CJUE o cerere preliminară cu privire la semnificația termenilor utilizați în articolul 15 din Regulamentul RGPD, cu privire la dreptul de acces. Întrebarea s-a formulat în urma unei plângeri depuse de o persoană vizată, care a semnalat faptul că operatorul căruia îi ceruse acces la date îi oferise doar o listă cu datele personale și prelucrările aferente privind persoana vizată.

Operatorul era o companie de consultanță ce oferea informații privind bonitatea financiară privind aplicanții. La data de 20 decembrie 2018, aplicantul și-a exercitat dreptul de acces în baza articolului 15 din Regulamentul RGPD, cerând acces la datele sale personale. În plus, el a cerut acces la copii ale documentelor, mai exact e-mail-uri și extrase din baza de date, care să conțină datele sale personale. Operatorul a furnizat, într-o formă sintetică, datele sale cu caracter personal care făceau obiectul prelucrărilor.

Persoana vizată a considerat că ar fi trebuit să îi transmită o copie a documentelor complete care conțineau datele sale, precum e-mailurile și extrasele din bazele de date. Reclamantul s-a considerat neîndreptățit, pentru că a interpretat articolul 15(3), prima teză din Regulamentul RGPD, potrivit căruia „operatorul furnizează o copie a datelor cu caracter personal care fac obiectul prelucrării”, în sensul că include un drept general al persoanei vizate de a i se preda o copie – inclusiv a documentelor complete în care sunt prelucrate date cu caracter personal ale persoanei vizate sau de a i se preda o copie a unui extras dintr-o bază de date, în cazul prelucrării datelor cu caracter personal într-o astfel de bază de date.

Inițial, prima instanță a respins cererea aplicantului, considerând că operatorul și-a îndeplinit obligațiile. Instanța de apel a ales să îndrepte spre CJUE o serie de întrebări preliminare, pentru a putea analiza mai bine speța. Cuvântul cheie ce a făcut obiectul cererii preliminare a fost cuvântul ”copie”, din alt treilea paragraf al articolului.

Ce vizează dreptul de acces?

Regulamentul RGPD prevede faptul că persoanele vizate trebuie să aibă drept de acces la datele cu caracter personal colectate care le privesc și trebuie să își exercite acest drept cu ușurință și la intervale de timp rezonabile, pentru a fi informate cu privire la prelucrare și pentru a verifica legalitatea acesteia.

Scopul articolului 15 din Regulamentul RGPD instituie dreptul persoanelor vizate de a primi informații suficiente, transparente și ușor accesibile cu privire la prelucrarea datelor lor personale, pentru a putea cunoaște și verifica legalitatea procesării și acuratețea datelor lor personale. Dreptul este diferit de dreptul de acces la informațiile publice, care instituie principiul transparenței și al bunelor practici în administrația publică.

Dreptul de acces poate fi un instrument extrem de util pentru ca persoana vizată să își poată exercita alte drepturi prevăzute de Regulamentul RGPD. Important de reținut este că persoana vizată nu are nevoie de nicio justificare pentru exercitarea acestui drept de acces, iar operatorul nu este în măsură să decidă utilitatea practică pentru persoana vizată. Operatorul trebuie să răspundă cererilor de acces întotdeauna, mai puțin în cazurile în care nu este vorba de aplicarea Regulamentului RGPD.

Dreptul de acces are trei coordonate, conform CEPD:

● Confirmarea prelucrării datelor personale ale persoanei vizate

● Acces la aceste date personale prelucrate

● Acces la informații privind procesarea – scopul, categoriile de date, destinatarii, durata prelucrării, drepturile persoanelor vizate și măsurile de securitate implementate pentru protejarea datelor personale în cazul transferurilor în țări terțe.

În momentul primirii unei cereri de acces, operatorul trebuie să analizeze atent contextul, dacă cererea se referă la datele personale ale persoanei vizate, dacă se aplică articolul 15 din Regulament și dacă există alte prevederi legale specifice care se aplică sectorului de activitate.

Regulamentul nu impune un format pentru cererea de acces, ele pot fi depuse prin orice modalitate, fiind obligația operatorului de a oferi canale adecvate și ușor de folosit pentru persoanele vizate. Canalele oferite nu limitează persoana vizată, care poate alege orice modalitate dorește pentru a-și exercita oricare dintre drepturile prevăzute de Regulamentul RGPD. Limitările oferite se referă la cererile aleatorii și cele depuse la adrese greșite, unde operatorul nu este responsabil de soluționarea cererii. În cazul în care datele personale nu pot fi conectate cu persoana vizată ce a depus cererea de acces, sau dacă operatorul are dubii cu privire la identitatea persoanei vizate ce a depus cererea de acces, poate refuza soluționarea cererii și poate solicita informații suplimentare.

Cum trebuie sa ofere companiile acces la date ?

Tipul de procesare și cantitatea de date pot influența modalitatea de a oferi acces la datele personale. Dacă cererea de acces nu este limitată la anumite date personale, atunci înseamnă că ea se referă la toate datele personale ale persoanei vizate. Operatorul poate cere lămuriri cu privire la limitele cererii, în cazul în care se procesează o mare cantitate de date.

Operatorul trebuie să caute datele personale în toate sistemele sale IT sau orice alte sisteme. Informațiile trebuie furnizate persoanei vizate respectând principiul transparenței, ce prevede că orice informații care se adresează publicului sau persoanei vizate să fie concise, inteligibile, ușor accesibile și ușor de înțeles și să se utilizeze un limbaj simplu și clar. Operatorul trebuie să furnizeze persoanei vizate orice informații suplimentare pentru a asigura o prelucrare echitabilă și transparentă, ținând seama de circumstanțele specifice și de contextul în care sunt prelucrate datele cu caracter personal. Dacă datele personale sunt cuprinse în coduri sau sunt date în formă brută, acest lucru va trebui explicat persoanei vizate într-o formă ușor de înțeles.

Principala formă prin care se poate oferi acces este furnizarea unei copii a datelor personale, dar se pot oferi informații și oral sau la sediul operatorului. Informațiile trimise prin e-mail trebuie securizate prin modalități corespunzătoare. Dacă informațiile sunt foarte multe, se poate oferi un acces gradual, structurat de așa natură încât să fie comprehensibil.

Este important de reținut că nu este de ajuns un sumar al prelucrărilor, ci trebuie furnizate toate informațiile referitoare la datele personale ale persoanei vizate și prelucrărilor acestora.

Conform Regulamentului RGPD, obligația operatorului este de a furniza informații cu privire la datele personale și prelucrările lor de la data cererii, fără să schimbe statusul acestora. Dacă operatorul identifică prelucrări neconforme, obligația de informare a persoanei vizate există în continuare, și abia după ce persoana vizată a fost informată, operatorul va avea dreptul de a îndeplini celelalte obligații cu privire la conformarea prelucrărilor de date personale. De asemenea, în cazul în care datele personale se apropie de durata de retenție, operatorul va suspenda termenul și va amâna ștergerea datelor personale în cauză, până la soluționarea efectivă a cererii de acces formulată de persoana vizată.

Termenul de furnizare a informațiilor este de maxim o lună de la data cererii de acces, conform Regulamentului RGPD. Termenul poate fi prelungit cu două luni, doar în cazuri justificate și cu informarea prealabilă a persoanei vizate ce a depus cererea de acces.

Noțiunea de ”copie”

Tribunalul Administrativ Federal din Austria a înaintat Curții următoarea întrebare:

”Noțiunea de «copie» prevăzută la articolul 15 alineatul (3) din [RGPD] trebuie interpretată în sensul că vizează o fotocopie, un facsimil ori o copie electronică a unei date (electronice) sau în această noțiune se încadrează și un «Abschrift», un «double» («duplicat») sau un «transcript», astfel cum sunt definite în dicționarele german, francez și englez?”

Curtea a statuat faptul că deși Regulamentul RGPD nu conține o definiție a noțiunii de „copie”, este necesar să se țină seama de sensul obișnuit al acestui termen, care desemnează reproducerea sau transcrierea fidelă a unui original, așa încât o descriere generală a datelor care fac obiectul unei prelucrări sau o trimitere la categorii de date cu caracter personal nu ar corespunde acestei definiții. În plus, din termenii articolului 15 alineatul (3) prima teză din acest regulament reiese că obligația de comunicare este legată de datele cu caracter personal care fac obiectul prelucrării în cauză.

Prin urmare, din analiza textuală a articolului 15 alineatul (3) prima teză din RGPD reiese că această dispoziție oferă persoanei vizate dreptul de a obține o reproducere fidelă a datelor sale cu caracter personal, înțelese într-o accepțiune largă, care fac obiectul unor operațiuni ce trebuie calificate drept prelucrare de date personale.

Articolul 15 alineatul (3) din RGPD precizează modalitățile practice de executare a obligației care îi revine operatorului, specificând în special în prima sa teză forma sub care acest operator trebuie să furnizeze „datele cu caracter personal care fac obiectul prelucrării”, și anume sub forma unei „copii”. În plus, acest alineat prevede, în a treia teză, că informațiile sunt furnizate în format electronic utilizat în mod curent atunci când cererea este introdusă în format electronic, cu excepția cazului în care persoana vizată solicită un alt format.

Comisia Europeană a arătat în observațiile sale scrise că termenul „copie” nu se raportează la un document ca atare, ci la datele cu caracter personal pe care le conține și care trebuie să fie complete, copia trebuie să conțină toate datele cu caracter personal care fac obiectul prelucrării. Așadar, copia datelor cu caracter personal care fac obiectul unei prelucrări, pe care operatorul trebuie să o furnizeze în temeiul dreptului de acces, trebuie să prezinte toate caracteristicile care permit persoanei vizate să își exercite în mod efectiv drepturile în temeiul Regulamentului RGPD și trebuie, în consecință, să reproducă aceste date integral și fidel.

Curtea a considerat că această interpretare corespunde obiectivului Regulamentului RGPD, care are ca scop principal să asigure un nivel ridicat de protecție a persoanelor fizice în cadrul Uniunii și, în acest scop, să asigure aplicarea consecventă și omogenă a normelor în materie de protecție a libertăților și a drepturilor fundamentale ale acestor persoane în ceea ce privește prelucrarea datelor cu caracter personal în întreaga Uniune.

Concluzii cu privire la dreptul de acces la date si exercitarea lui:

Așadar, pentru a garanta că informațiile astfel furnizate sunt ușor de înțeles, reproducerea unor extrase din documente sau chiar a unor documente întregi ori, în plus, a unor extrase din baze de date care conțin printre altele datele cu caracter personal care fac obiectul unei prelucrări se poate dovedi indispensabilă, în cazul în care, pentru a asigura că prelucrările sunt înțelese, este nevoie de contextualizarea datelor prelucrate.

Dreptul de a obține din partea operatorului o copie a datelor cu caracter personal care fac obiectul prelucrării presupune ca persoanei vizate să îi fie predată o reproducere fidelă și inteligibilă a tuturor acestor date.

Acest drept presupune obținerea copiilor unor extrase din documente sau chiar a unor documente întregi ori a unor extrase din baze de date care conțin, printre altele, datele menționate, dacă furnizarea unei astfel de copii este indispensabilă pentru a-i permite persoanei vizate să își exercite în mod efectiv drepturile care îi sunt conferite de acest regulament, ținându-se seama în această privință de drepturile și de libertățile altora.