GDPR și dreptul de acces: cum îți faci singur o breșă de securitate fără să-ți dai seama
15 minute • Ana-Maria Udriste • 18 august 2019
Persoanele vizate au dreptul să-ți ceară să le dai o copie de pe datele lor personale și încă niște informații, la care trebuie să răspunzi în termen de o lună de zile.
În goana de a da toate informațiile cât mai repede persoanei care a depus cererea, ca să nu riști o plângere, te-ai gândit că te pui singur în situația de a încălca GDPR?
Când altcineva face o cerere în locul persoanei vizate
Un student din Marea Britanie a făcut un experiment: a luat 150 de companii și a făcut o cerere de acces, dându-se drept ”logodnica”. Din aceste 150 companii, 83 au răspuns din prima că dețin date personale despre logodnica, iar 24% au furnizat apoi datele personale fără niciun fel de verificare, 16% au cerut dovezi minimale de verificare a identității care putea fi contrafăcute oricum, iar 39% au cerut dovezi solide privind identitatea persoanei care a făcut cererea.
Care sunt pașii de urmat când primim o cerere de acces?
Pasul 1. Identificați cererea din partea persoanei vizate
Chiar dacă pare ceva ciudat, în temeiul GDPR cerere de acces nu trebuie să aibă un anumit standard sau să includă termeni precum ”cerere de acces”, ”exercitarea dreptului de acces” sau alte formulări asemănătoare.
O persoană poate face o cerere așa cum consideră oportun să o facă. Nu este obligatoriu ca persoana să transmită cererea unei persoane anume sau la o anumită adresă de e-mail: cererile de acces pot fi făcute în scris, electronic (pe e-mail) sau chiar telefonic, către oricare din persoanele companiei.
Ca bune practici, ar trebui să aveți la nivelul companiei:
- o procedură de urmat în cazul cererilor de acces;
- să desemnați persoanele care se vor ocupa de cererile de acces;
- să stabiliți un model de formular (chiar și electronic) prin care persoanele să vă transmită cererile într-un mod cât mai organizat;
- să stabiliți o adresă de e-mail către care să se ducă toate aceste cereri, pentru a avea o evidență clară.
Procedura de răspuns în cazul cererilor din partea persoanelor este foarte importantă pentru că implică identificarea datelor personale la nivelul organizației, ce poate fi un proces laborios, iar lipsa furnizării unui răspuns în termenul de o lună de zile vă poate aduce sancțiuni. Poți găsi un model complet de procedură aici.
Pasul 2. Identificați persoana care face cererea respectivă
Acesta este un pas peste care companiile trec destul de repede sau nici măcar nu se gândesc la el – cum a fost și în exemplul nostru cu logodnica fictivă.
Din dorința de a răspunde cât mai repede unei cereri și a furniza în mod complet toate informațiile, companiile uită să mai ceară dovada identității persoanei respective, plecând eronat de la premisa că stau de vorbă cu titularul datelor personale. Însă nimic pe lumea asta nu împiedică o persoană să se dea drept altcineva atunci când face o cerere. Situație pe care trebuie să o evităm.
Ultimele postări care te-ar putea interesa:
Cine poate face o cerere de acces?
În mod normal, persoana căreia îi aparțin datele personale va face această cerere de acces.
Însă, în practică, cererile pot fi făcute și de alte persoane care au acest drept.
Așadar, cererile de acces pot fi făcute de:
- persoana vizată;
- tutorele sau reprezentantul legal al persoanei vizate (atunci când acesta este un minor)
- asociațiile care apără interesele persoanelor vizate;
- altă persoană care face cererea în numele persoanei vizate (și are acest drept – spre exemplu, un avocat sau altcineva în baza unei procuri notariale în cazul în care persoana vizată nu dorește să facă ea cererea).
Nu există o procedură de identificare conform GDPR – aceasta va trebui elaborată de companie intern și aplicată la fiecare caz în parte (spre exemplu, în cazul avocaților puteți cere împuternicirea avocațială pentru verificare).
Pasul 3. Răspunde rapid și clarifică cererea de acces
Ai un termen de 1 lună pentru a răspunde unei cereri de acces (poți găsi exemple concret de cum se calculează acest termen în Manualul complet pentru implementare GDPR). Este posibil să poți prelungi acest termen cu încă 2 luni în cazuri situațiilor complexe care implică mai multe persoane pentru a răspunde sau un volum mare de date (spre exemplu când datele personale sunt arhivate în altă locație sau sunt prin mai multe departamente), iar persoana vizată trebuie informată în cel mai scurt timp despre asta.
Dacă nu ești lămurit cu privire la elementele de date personale pe care le solicită persoana (dacă cererea este prea vagă sau nu știi exact la ce se referă), recomandarea este să revii către respectiva persoană cu un răspuns prin care îi soliciți să îți dea mai multe detalii care să te ajute la rezolvarea cererii.
Pasul 4. Identifică datele ce trebuie furnizate
Potrivit articolului 15 din GDPR, trebuie să furnizezi persoanei vizate următoarele informații:
- scopurile prelucrării (de ce?);
- categoriile de date cu caracter personal vizate (ce?);
- destinatarii sau categoriile de destinatari cărora datele cu caracter personal le-au fost sau urmează să le fie divulgate, în special destinatari din țări terțe sau organizații internaționale (cui ai trimis, trimiți sau urmează să trimiți datele?);
- acolo unde este posibil, perioada pentru care se preconizează că vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă (cât?);
- faptul că persoana poate cere rectificarea sau ștergerea datelor sau restricționarea prelucrării (ce drepturi există?);
- dreptul persoanei de a depune o plângere în fața unei autorități de supraveghere;
- dacă datele nu sunt colectate de la persoana vizată, orice informații disponibile privind sursa acestora (de unde?);
- dacă există un proces decizional automat, cum se face, logica folosită și impactul.
Cu aspectele acestea în minte, trebuie să îți dai seama ce informații trebuie să furnizezi persoanei care a făcut cererea. Și pe unde se află aceste informații – departamentul de resurse umane, departamentul IT, monitorizare CCTV, departamentul de contabilitate etc. Operațiune care poate fi migăloasă și să implice un timp semnificativ.
Pasul 5. Identifică dacă nu există o excepție
Ca orice regulă pe lumea asta, există și excepții (altfel de ce am mai avea reguli?).
Poți să nu răspunzi unei cereri dacă:
- aceste date sunt protejate prin lege de confidențialitate și nu pot fi divulgate;
- dacă aduce atingere unor drepturi și libertăți ale altor persoane;
- dacă fac obiectul unei relații profesionale avocat-client sau al unei colaborări supusă confidentialității (cum ar fi printr-un acord de confidențialitate – NDA)
- dacă implică datele privind și alte persoane (date mixte);
- dacă cererea este excesivă sau vădit nefondată, caz în care va trebui să motivezi acest lucru;
- dacă nu ai putut stabili identitatea persoanei vizate.
În cazul în care constați că cererea este vădit nefondată sau excesivă (de exemplu, ți se solicită de 3 ori aceleași date sau ultimele extrase bancare de operațiuni pentru 7 ani sau pur și simplu implică un volum foarte mare de muncă din partea personalului care ar putea perturba activitatea acestuia), poți alege să ceri și o taxă.
Altfel, răspunsul trebuie să fie gratuit.
Pasul 6. Transmite datele într-un mod securizat
Cum aminteam, unul din principii GDPR se referă la securitate, iar companiile trebuie să adopte măsuri rezonabile care să complinească acest aspect.
Securitatea se aplică și la datele intrate, dar și la datele ieșite (adică atunci când răspundem unei cereri de acces).
Știai că dacă transmiți datele unei alte persoane decât destinatarul, există o breșă de securitate? Evită asemenea situații și protejează-te!
Prin urmare, și atunci când vei trimite datele către persoana vizată sau persoana desemnată de aceasta, va trebui să le trimiți într-un mod cât mai protejat.
Pasul 7. Ține o evidență a cererilor și a traseului acestora
După cum vezi, procedura de răspuns la o cerere de acces nu este așa simplă cum pare la prima vedere și implică destul de multe operațiuni conexe și personal implicat.
Este important să ții o evidentă clară a întregului proces, inclusiv pe etape, pentru a putea demonstra conformitatea în fața autorității în cazul în care persoana vizată face o plângere la ANSPDPC sau îți cere mai multe detalii despre cum i-a fost soluționată cererea.
Cum te putem ajuta?
Am elaborat un pachet complet care privește întreaga procedură de răspuns atunci când ai cereri din partea persoanelor vizate, ca să ai totul pus la punct.
Pachetul nostru este format din 18 documente editabile, pe care le poți adapta și personaliza în funcție de nevoile companiei tale.
Ce documente sunt incluse?
- procedura de răspuns la cererile pesoanelor vizate
- documentele pentru companie:
- adresă de primire a cererii persoanelor vizate
- adresă solicitare informații suplimentare + plată taxă (dacă este cazul)
- adresă răspuns la cererea de acces
- adresă răspuns la cererea de rectificare a datelor personale
- adresă răspuns la cererea de opoziție la decizii automate & profilare
- adresă răspuns la cererea de portare a datelor
- adresă răspuns la cererea de ștergere a datelor
- adresă răspuns la cererea de opoziție la prelucrarea datelor
- adresă răspuns la cererea privind restricționarea prelucrării
- documente pentru a le pune la dispoziție persoanei vizate:
- cerere de acces
- cerere de rectificare a datelor personale
- cerere de opoziție la decizii automate & profilare
- cerere de portare a datelor
- cerere de ștergere a datelor
- cerere de opoziție la prelucrarea datelor
- cererea privind restricționarea prelucrării
- registrul cererilor persoanelor vizate