Aspecte practice privind dreptul de acces al persoanelor vizate, prevăzut de regulamentul general privind protecţia datelor
În Articol:
Universuljuridic.ro PREMIUM
Aici găsiți informaţiile necesare desfăşurării activităţii dvs. profesionale.
Universuljuridic.ro PREMIUM pune la dispoziția profesioniștilor lumii juridice un prețios instrument de pregătire profesională. Oferim un volum vast de conținut: articole, editoriale, opinii, jurisprudență și legislație comentată, acoperind toate domeniile și materiile de drept. Clar, concis, abordăm eficient problematicile actuale, răspunzând scenariilor de activitate din lumea reală, în care practicienii activează.
Testează ACUM beneficiile Universuljuridic.ro PREMIUM prin intermediul abonamentului GRATUIT pentru 7 zile!
Context
Regulamentul general privind protecția datelor (în continuare, RGPD) a surprins de foarte multe ori în ultimii ani prin felul în care anumite norme au fost interpretate de către operatorii de date. În acest sens, am putut vedea bune și rele practici în ceea ce privește respectarea acestor norme. Un aspect aparte îl reprezintă gestionarea relației cu persoanele vizate, care, de cele mai multe ori, poate să „scape” sau să „atragă” operatorului o sancțiune. De ce gestionarea acestei relații este atât de importantă? Ei bine, deoarece RGPD oferă persoanei fizice (clienți și/sau personal al operatorului) drepturi specifice[1], respectiv: drepturile de informare, de acces, de portabilitate, de rectificare, de ștergere, de opoziție, de notificare. Pentru a veni în întâmpinarea acestor drepturi, dar și pentru a putea să își organizeze activitatea în cel mai bun mod cu putință este relevant de analizat care sunt cazurile în care un operator poate refuza sau nu o cerere de exercitare a unor drepturi.
Scopul acestui articol este să evidențieze câteva aspecte importante referitoare la gestionarea relației operator‑persoană vizată atunci când aceasta din urmă își exercită unul dintre drepturile oferite de RGPD. Astfel, pentru început, vom puncta câteva aspecte relevante referitoare la oferirea de răspuns, pentru ca mai apoi să ne îndreptăm atenția asupra motivelor de refuz pe care operatorul le‑ar putea avea disponibile.
Dreptul de acces
Poate cel mai semnificativ, deocamdată, dintre aceste drepturi este dreptul persoanei vizate de acces la datele sale personale, deținute de către un operator. Este un drept prevăzut de art. 15 din RGPD și este unul dintre acele drepturi care, atunci când sunt exercitate, responsabilizează persoana fizică și operatorul, trecându‑i într‑o zonă a relațiilor conștiente și negociate. Acest aspect este, de fapt, mai important decât o informare greșită sau defectuoasă din partea operatorului de date.
Astfel de solicitări sunt cunoscute sub numele de „Cereri de acces la date” sau „Solicitări de acces ale persoanei vizate”
Aspecte formale privind cererea de acces
1. Cererea trebuie să fie formulată în scris, ceea ce include un formular scris înregistrat fizic, ori transmiterea acesteia se poate face și prin e‑mail, fax și chiar prin mesaje text; deocamdată, mesajele audio sau audio‑video nu sunt utilizate, însă în viitor acest lucru nu este exclus, în măsura în care se poate realiza autentificarea solicitantului pe această cale.
2. În cerere trebuie să se furnizeze detaliile relevante necesare pentru a ajuta la identificarea individului și la localizarea informațiilor solicitate (spre exemplu, numele, iar, uneori, și numărul dosarului de insolvență).
3. Nu este necesar ca cererea să facă referire la temeiul legal din RGPD; se poate afirma, pur și simplu, că persoana vizată solicită o copie a datelor sale, deținute de către operatorul de date/întreprinderea în care activează practicianul în insolvență.
4. Formularele de solicitare de tip șablon sunt utile, dar nu sunt obligatorii pentru a se da curs cererii de acces, chiar dacă acestea există. În timp ce un individ are dreptul la copii ale tuturor informațiilor deținute despre el, formularele pot ajuta foarte mult persoanele fizice să specifice ceea ce caută.
5. În principiu, pentru cererea de acces nu se percepe nicio taxă, indiferent dacă ar fi extrem de redusă[2].
6. În circumstanțe excepționale, o firmă are dreptul să perceapă o taxă care acoperă costurile administrative în cazul în care consideră, în mod rezonabil, că solicitarea va dura mai mult de 90 de zile calendaristice pentru a răspunde și va implica un efort considerabil și resurse importante. Dacă se apreciază că ipoteza este aceasta, persoana vizată trebuie informată imediat după evaluare.
Termenul de răspuns
Termenul este de o lună de la primirea cererii și dacă s‑a confirmat identitatea persoanei[3]. Termenul poate fi prelungit până la maximum 3 luni de la formularea cererii, pentru cazuri complexe, cu mențiunea că persoana vizată trebuie să fie informată dacă este necesară prelungirea perioadei de o lună și să furnizeze în perioada respectivă cât mai multe date care îi sunt disponibile.
Firmele pot decide asupra propriilor criterii pentru dovedirea identității și ar trebui să documenteze acest lucru ca parte a procedurilor lor. De exemplu, ar fi concludent să presupunem că o cerere primită de la o adresă cunoscută a unei persoane reprezintă o dovadă a identității lor, dar unele firme pot insista asupra unor detalii suplimentare, cum ar fi prenumele tatălui sau al mamei. Semnăturile, de obicei, se presupune că sunt reale, iar dacă sunt electronice, atunci conduc la un grad complet de autentificare[4].
Formatul răspunsului la cererea de acces
Răspunsul la cererea de acces trebuie să includă o copie a datelor într‑o formă inteligibilă, adică trebuie să fie fotocopii lizibile, iar abrevierile trebuie să fie explicate.
Acest răspuns trebuie furnizat prin e‑mail, dacă solicitarea este primită prin e‑mail, cu excepția cazului în care persoana vizată a solicitat altfel. Este de reținut faptul că RGPD utilizează expresia „solicitare în format electronic”, ceea ce, în timp, poate conduce, pe fondul dezvoltării tehnologiilor, la variante ale formatului de răspuns dintre cele mai diverse.
Atunci când nu există informații legate de persoana vizată, răspunsul trebuie dat cu această mențiune.
Persoana vizată este informată dacă dreptul său de acces este restricționat și i se va comunica faptul că are dreptul de a face plângere către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal („ANSPDCP”, Autoritatea de Supraveghere) cu privire la refuz[5].
Motive pentru restricționarea sau refuzarea accesului
Există motive foarte limitate pentru restricționarea sau refuzul unei cereri de acces a persoanei vizate, iar acestea vizează în special situația în care informațiile privind persoana vizată nu sunt obținute de la aceasta[6]. Ipotezele sunt următoarele:
(i) Privilegiu legal
Acest motiv a fost extins de RGPD și acoperă toate comunicările între firmă (operatorul de date) și consilierii lor legali (interni/externi), indiferent dacă este sigură sau ipotetică o acțiune în justiție.
(ii) Date ale terților
Referințele care identifică alte părți (terțe), spre exemplu, numele altor clienți, trebuie înlăturate. Cu toate acestea, trimiterile la identitatea unor persoane a căror cunoaștere ar fi utilă de cunoscut de către client (de exemplu, referințele la membrul personalului care are clientul în portofoliul său) ar trebui păstrate.
(iii) Opiniile date în regim de confidențialitate
Se încadrează în acest regim, de exemplu, trimiteri către terți (cum ar fi persoane fizice de la angajatori anteriori) care au date privind ocuparea forței de muncă. Referințele date în regim de confidențialitate trebuie redactate ca atare, chiar dacă nu se comunică.
În mod similar, referințe la identitatea denunțătorilor sau a martorilor, într‑o anchetă internă, nu ar trebui comunicate, cu excepția cazului în care s‑a acordat consimțământul în acest sens.
Nu este suficient ca un document să fie intitulat „Confidențial”, cerința putându‑se considera ca fiind complinită dacă se poate demonstra că documentul a fost dat având drept așteptări că acesta nu va fi dezvăluit persoanei respective.
(iv) Cercetare penală sau cercetare disciplinară
Datele pot și trebuie să fie reținute acolo unde există o investigație în curs, referitoare la persoana fizică (de exemplu, fraudă de către un client), sau atunci când, în cazul unei conduite necorespunzătoare, există îndoieli cu privire la un membru al personalului supus cercetării.
Atunci când se răspunde la orice cerere de acces în astfel de circumstanțe, aceste motive nu trebuie menționate.
(v) Date sensibile din punct de vedere comercial
Orice date care ar fi dăunătoare din punct de vedere comercial sau dezavantajoase, dacă ar fi cunoscute de către concurenții sau clienții unei firme, pot fi înlăturate. Spre exemplu: referințe în procesul‑verbal al ședinței interne referitor la strategii de maximizare a valorilor activelor care se lichidează, în cazul practicianului în insolvență.
(vi) Datele privind sănătatea au potențial de a prejudicia
Unele date privind sănătatea pot și trebuie să fie restricționate atunci când, în opinia unui medic profesionist, dacă ar avea acest efect, ar putea provoca leziuni psihice sau fizice grave la nivel individual. Trebuie reținut faptul că este vorba despre alte date decât cele furnizate de către persoana vizată la un examen clinic direct. Spre exemplu: datele conținute într‑un raport medical obținut de către un angajator, pentru a evalua aportul unui angajat, disponibilitatea de a reveni la locul de muncă după o lungă perioadă de concediu medical.
Atunci când se răspunde la orice cerere de acces în astfel de circumstanțe, aceste motive nu trebuie menționate.
(vii) Efort disproporționat
În cazul în care o societate poate argumenta, în mod legitim, că, pentru a răspunde la o cerere, ar fi nevoie de o perioadă de timp nerezonabilă și de un efort nerezonabil (mult mai mult decât timpul mediu alocat unei cereri) și, cu siguranță, de mai mult de 90 de zile calendaristice, atunci acest motiv poate fi invocat.
Cu toate acestea, ar trebui depuse toate eforturile rezonabile pentru a se identifica în special ce informații caută persoana vizată care a formulat cererea și, dacă este posibil, să i se răspundă referitor la aceasta în termenul de 90 de zile calendaristice.
Următoarele recomandări constituie un necesar de bune practici pentru ipotezele analizate:
(1) Informarea individului că o anumită cantitate de date (se vor oferi detalii concrete care argumentează ipoteza) poate să fie furnizată într‑un anumit interval de timp, iar datele rămase spre comunicare (se vor oferi, de asemenea, detalii concrete) într‑o altă perioadă de timp specificată.
(2) Informarea persoanei respective în situația în care societatea alege să perceapă o taxă de administrare a răspunsului.
(3) Documentarea internă a circumstanțelor specifice ale cererii pentru a păstra dovada argumentației modului de răspuns.
(viii) Solicitările repetate
O societate este îndreptățită să refuze să răspundă la cereri repetate în cadrul anumitor perioade de timp considerate relevante, pentru ca datele deja comunicate să nu se fi schimbat.
În cazul în care se face o cerere de acces, este suficient să se furnizeze individului datele actualizate numai de la solicitarea anterioară.
Bune practici: stabilirea unei politici și implementarea acesteia prin proceduri specifice. Un an este considerat un interval minim rezonabil între cereri.
(ix) Cererile repetate care sunt „vădit nefondate sau excesive, în special din cauza caracterului lor repetitiv”
Cererile de acest tip pot fi refuzate, așa cum am menționat și mai sus. Se poate indica răspunsul dat anterior, nefiind nevoie să fie depuse alte eforturi pentru soluționarea situației, odată ce s‑a răspuns tuturor aspectelor de interes pentru persoana vizată.
(x) Cereri de la terți în numele persoanei
În această ipoteză, trebuie acordată atenție atunci când se iau în considerare cererile formulate, indiferent de natura acestora, în numele unei persoane de către consilieri. Se recomandă următorul set de bune practici:
(1) Consilierii juridici. Scrisoarea unui avocat (pe hârtie) cu antet poate fi luată în considerare așa cum este, chiar și fără a exista atașat un document de autorizare a acestuia din partea persoanei fizice.
(2) Procurile. Pot fi relevante atunci când avem în analiză exercitarea unei cereri în numele unei persoane vizate.
(3) Consilierii financiari. Trebuie să existe o autorizare dată de către persoana fizică.
(4) Membrii familiei sau cunoscuții. Accesul trebuie refuzat cu sau fără autorizarea dată de către persoana vizată. Cu toate acestea, protecția datelor nu afectează tratarea solicitărilor operaționale obișnuite.
(5) Reprezentanții publici. Trebuie refuzat accesul la date, cu sau fără autorizarea dată de persoana fizică.
Cererile care conțin date defăimătoare
Faptul că datele solicitate de către persoana vizată includ comentarii neadecvate nu este un motiv pentru nefurnizarea acestor date. Datele solicitate prin cererea de acces nu pot fi transmise într‑o formă în care s‑ar elimina declarațiile defăimătoare sau dăunătoare. Cu toate acestea, este important a se avea în vedere situații care privesc comentarii subiective despre o persoană, iar atunci când acestea sunt înregistrate, ar trebui să fie de natură faptică.
Ținerea evidenței
O normă de bune practici este păstrarea unei copii (scanată, de preferință) a răspunsului furnizat, situație care permite o anumită protecție în cazul unei întrebări sau al unei reclamații.
Cereri de acces forțat
Este ilegală forțarea unei persoane să facă o cerere de acces. Exemple: un potențial angajator nu poate solicita sau cere (forțând efectiv) unui solicitant de loc de muncă să facă o solicitare la angajatorul actual/anterior. Totodată, în cazul unei asigurări auto, solicitantul nu poate fi obligat să permită, prin intermediul unei cereri de acces, divulgarea detaliilor deținute de către poliție în cadrul fișierelor proprii.
Concluzii
În funcție de modalitatea de gestionare a relației cu persoana vizată se poate evalua și stabili necesitatea aplicării sau nu a unei sancțiuni operatorului de date, fiindcă, de cele mai multe ori, gestionarea eronată a acesteia atrage nemulțumiri, sesizări, investigații și, în cele din urmă, potențiale sancțiuni. În acest sens, articolul de față a prezentat câteva bune practici care pot fi avute în vedere de către practicienii în insolvență atunci când se confruntă cu cereri ale persoanelor vizate. Între aspectele menționate au fost enumerate și motive de refuz pentru cererile de exercitare de drepturi, adresate de către persoanele vizate (persoane fizice care intră în contact cu forma de organizare). Aceste motive se vor analiza însă de la caz la caz, pentru a se stabili care este cadrul aplicabil. Cu toate acestea, în fiecare dintre cazuri se recomandă o abordare responsabilă, apropiată de persoana vizată, aceasta fiind, în fapt, în centrul atenției normelor prevăzute de Regulamentul general privind protecția datelor.
* Articolul este extras din Revista Phoenix nr. 77-78/2021 (iulie-decembrie 2021).
[1] Acestea sunt grupate într‑un capitol distinct, și anume capitolul III, denumit „Drepturile persoanei vizate”, și sunt reglementate de la art. 12 până la art. 23.
[2] Art. 12 alin. (5) din RGPD prevede: „Informațiile furnizate în temeiul articolelor 13 și 14 și orice comunicare și orice măsuri luate în temeiul articolelor 15‑22 și 34 sunt oferite gratuit. În cazul în care cererile din partea unei persoane vizate sunt în mod vădit nefondate sau excesive, în special din cauza caracterului lor repetitiv, operatorul poate:
(a) fie să perceapă o taxă rezonabilă ținând cont de costurile administrative pentru furnizarea informațiilor sau a comunicării sau pentru luarea măsurilor solicitate;
(b) fie să refuze să dea curs cererii.
În aceste cazuri, operatorului îi revine sarcina de a demonstra caracterul vădit nefondat sau excesiv al cererii”.
[3] Art. 12 alin. (3) din RGPD prevede: „Operatorul furnizează persoanei vizate informații privind acțiunile întreprinse în urma unei cereri în temeiul articolelor 15‑22, fără întârzieri nejustificate și în orice caz în cel mult o lună de la primirea cererii. Această perioadă poate fi prelungită cu două luni atunci când este necesar, ținându‑se seama de complexitatea și numărul cererilor. Operatorul informează persoana vizată cu privire la orice astfel de prelungire, în termen de o lună de la primirea cererii, prezentând și motivele întârzierii. În cazul în care persoana vizată introduce o cerere în format electronic, informațiile sunt furnizate în format electronic acolo unde este posibil, cu excepția cazului în care persoana vizată solicită un alt format”.
[4] Chestiunea autentificării este tratată pe larg doar în orientările emise de fostul Grup, art. 29, în prezent înlocuit de Comitetul european pentru protecția datelor. În acest sens, RGPD stabilește, la art. 12 alin. (6), următoarele: „Fără a aduce atingere articolului 11, în cazul în care are îndoieli întemeiate cu privire la identitatea persoanei fizice care înaintează cererea menționată la articolele 15‑21, operatorul poate solicita furnizarea de informații suplimentare necesare pentru a confirma identitatea persoanei vizate”.
[5] Potrivit art. 13 din RGPD („Informații care se furnizează în cazul în care datele cu caracter personal sunt colectate de la persoana vizată”):
„(1) În cazul în care datele cu caracter personal referitoare la o persoană vizată sunt colectate de la aceasta, operatorul, în momentul obținerii acestor date cu caracter personal, furnizează persoanei vizate toate informațiile următoare: (…); (2) În plus față de informațiile menționate la alineatul (1), în momentul în care datele cu caracter personal sunt obținute, operatorul furnizează persoanei vizate următoarele informații suplimentare necesare pentru a asigura o prelucrare echitabilă și transparentă: (…) (d) dreptul de a depune o plângere în fața unei autorități de supraveghere”.
[6] Art. 14 din RGPD („Informații care se furnizează în cazul în care datele cu caracter personal nu au fost obținute de la persoana vizată”).