GDPR: amendă-record pentru că nu a fost respectat dreptul de acces al persoanelor vizate
5 minute • Ana-Maria Udriste • 10 iulie 2020
Unul din drepturile fundamentale oferite de GDPR persoanelor vizate este acela că acestea au posibilitatea de a accesa și de a obține o copie de pe datele lor personale de la operatorul de date (dreptul de acces).
Dreptul de acces presupune ca persoanele vizate pot adresa o cerere către operatorul de date prin care solicită accesul la datele lor personale și, eventual, solicită o copie de pe aceste date. Cererea trebuie să poată fi trimisă într-o manieră facilă, ușor de implementat, iar persoanele vizate nu trebuie să fie descurajate de operator să își exercite drepturile.
Descurajarea aceasta poartă mai multe fețe: fie vorbim de introducerea unei taxe nerezonabile, fie operatorul implementează o procedură atât de greoaie încât persoanele vizate nu își pot exercita cu ușurință acest drept.
Ambele metode sunt contrare principiilor regăsite în GDPR.
Amendă de 830.000 euro pentru nerespectarea dreptului de acces
Autoritatea olandeză pentru protecția datelor (DPA) a aplicat o amendă de 830.000 EUR împotriva Biroului olandez de înregistrare a creditelor (BKR) pentru încălcarea drepturilor persoanelor vizate.
Amenda rezultă din practica BKR de a percepe taxe și de a descuraja persoanele care doreau să acceseze datele lor personale.
BKR este responsabilă pentru menținerea sistemului central de informații privind creditele olandeze, care deține informații despre toate înregistrările de credit olandeze și comportamentul de rambursare de către persoane fizice, inclusiv informații despre insolvență, verificarea sancțiunilor și înregistrările persoanelor expuse public. În România, corelativul acestei instituții este Biroul de Credit.
În general, sistemul este verificat de diverse companii, inclusiv instituții financiare, municipalități, furnizori de servicii de plată și companii de leasing auto (de exemplu, se poate verifica dacă persoana este eligibilă pentru un împrumut, o ipotecă sau un card de credit).
Abonează-te la newsletter și rămâi informat
În conformitate cu Regulamentul general privind protecția datelor (GDPR) al Uniunii Europene, persoanele fizice au dreptul să acceseze datele cu caracter personal colectate despre acestea și să își exercite acest drept cu ușurință și la intervale rezonabile.
Din articolul 12 GDPR rezultă că operatorul de date „facilitează exercitarea [acestor drepturi]” și că aceste informații ar trebui „furnizate gratuit”. Atunci când este posibil, operatorul de date ar trebui să poată oferi acces de la distanță la un sistem sigur, care să ofere persoanei fizice acces direct la datele sale personale (preambulul 63 GDPR).
Autoritatea olandeză pentru protecția datelor a primit reclamații cu privire la stabilirea standardului înalt folosit de BKR pentru accesarea datelor cu caracter personal.
Standardele ridicate nu trebuie să fie prea ridicate
Pe scurt, pentru a avea acces gratuit la datele lor personale și a-și exercita astfel dreptul de acces, persoanele fizice trebuiau să trimită o cerere scrisă prin poștă, împreună cu o copie a pașaportului.
În cadrul procedurii sale „Acces GDPR”, BKR a indicat că depunerea unei cereri de acces prin poștă „va fi gestionată în termen de 28 de zile” și că ar putea fi „solicitată doar o dată pe an”.
Pentru a avea acces digital imediat la datele lor personale sau cereri de acces multiple pe an, persoanele fizice ar trebui să se aboneze la BKR pentru o plată anuală minimă de 4,95 EUR (sau mai mare în funcție de formularul de abonament).
Mai multe solicitări de acces pe an au fost considerate ca având un caracter repetitiv și, prin urmare, BKR a afirmat că ar putea percepe o taxă rezonabilă (în baza articolului 12 alineatul (5) (a) GDPR).
DPA este de părere că aceste practici încalcă articolul 12 GDPR pentru că nu facilitează dreptul de acces (articolul 12 alineatul (2) GDPR) și pentru că nu furnizează date cu caracter personal gratuit (articolul 12 alineatul (5) GDPR).
DPA-ul neagă argumentele prezentate de BKR potrivit cărora consideră că accesul gratuit la datele cu caracter personal o dată pe an este rezonabil și că cererile de acces multiple anuale sunt considerate „repetitive”, fără a fi necesară o evaluare individuală.
De asemenea, argumentul său potrivit căruia permiterea unui acces unic gratuit pe o bază anuală a fost legitim pe baza raportului „Sondajul ACCIS 2017 al membrilor, analiza raportării creditelor în Europa”, care prevedea că 8 din cele 32 de birouri respondente au furnizat gratuit accesul la datele cu caracter personal doar o dată pe an, a fost refuzat.
Ca răspuns, DPA a declarat că acest raport nu este relevant pentru punerea în aplicare a dreptului de acces și că raportul nu poate fi utilizat ca argument în favoarea practicilor BKR.
Decizia poate fi consultată aici.
Sursa aici.
Cererile de acces nu pot fi refuzate doar pentru că un caracter repetitiv
DPA afirmă că cererile de acces prin care persoanele își exercită dreptul de acces nu pot fi refuzate decât atunci când cererile unei persoane sunt vădit nefondate sau excesive, în special datorită caracterului lor repetitiv.
Totuși, acest lucru ar trebui evaluat de la caz la caz, ceea ce ar trebui efectuat la momentul depunerii cererii, înainte de tratarea cererii.
Operatorul de date suportă sarcina de a demonstra caracterul vădit nefondat sau excesiv al cererii.
Ce reținem de aici?
Ca operator de date, ai următoarele obligații conform GDPR:
- implementarea unei proceduri de acces la nivelul companiei prin care persoanele vizate pot obține o copie de pe datele lor personale (dreptul de acces)
- procedura de acces nu trebuie să fie greoaie și descurajantă (în cazul de față, trebuia să trimiți prin poștă cererea și o copie de pe pașaport)
- poți percepe o taxă doar dacă respectiva cerere este nefondată sau excesivă, iar pentru aceasta trebuie să faci o analiză de la caz la caz
Poză de George Becker pe Pexels
