Iako zahtjev za pristup podacima (ili drugi zahtjev ispitanika) ne stigne baš na adresu DPO-a, uvijek ste dužni odgovor dostaviti u zakonski predviđenom roku.
Nadzorno tijelo je kaznilo tvrtku za promicanje i razvoj obnovljivih izvora i energetske učinkovitosti s 30.000,00 eura jer bivšem zaposleniku nije dostavila osobne podatke. Tvrtka je pogrešno smatrala da je zahtjev trebao biti usmjeren na adresu elektroničke pošte DPO-a, a ne na HR.
Okolnosti slučaja
Ispitanik je podnio žalbu talijanskom nadzornom tijelu (DPA) protiv Gestore Dei Servizi Energetici, svog bivšeg poslodavca. Ispitanik je podnio zahtjev za pristup svojoj osobnoj ocjeni rada iz 2019. i 2020.
Dana 27. listopada 2021., ispitanik je poslao e-poruku na opću e-mail adresu tvrtke i također direktoru ljudskih resursa. Kako voditelj obrade nije odgovorio, 6. prosinca 2021. ispitanik je ponovio zahtjev.
Nadalje, ispitanik je 28. ožujka 2022. poslao isti zahtjev DPO-u kojeg je odredio voditelj obrade. U svom odgovoru od 21. travnja 2022. DPO je naveo da su nadležne funkcije ljudskih resursa ("HR") voditelja obrade preuzele njegov zahtjev za pristup i da će ispitaniku dostaviti tražene informacije. Nakon što je proteklo daljnje razdoblje bez odgovora na zahtjev, 12. svibnja 2022. ispitanik je zatražio od nadzornog tijela da naredi voditelju obrade da udovolji zahtjevu.
Voditelj obrade je tvrdio da prve dvije e-poruke koje je poslao ispitanik nisu stigle na njihovu službenu adresu elektroničke pošte DPO-a koji je postavljen u tu svrhu. Dodatno su primijetili da su traženi podaci već bili poznati ispitaniku, s obzirom na to da je za njih postao svjestan tijekom razgovora s HR-om.
Dana 19. rujna 2022. Odjel ljudskih resursa dostavio je ipak ispitaniku tražene informacije.
Odluka
DPA je utvrdio da voditelj obrade nije pravodobno dostavio ispitaniku kopiju njegovih osobnih podataka s procjenom radnog učinka unatoč njegovim opetovanim pokušajima pristupa informacijama. Voditelj obrade je zapravo proslijedio dokumente tek nakon što je doznao da je ispitanik podnio formalnu žalbu i sa značajnim kašnjenjem kršeći obveze propisane člankom 12. i 15. GDPR-a.
DPA je odbacio obranu voditelja obrade da prvi zahtjevi za pristup nisu bili poslani na službenu adresu elektroničke pošte DPO-a postavljenu u tu svrhu.
Voditelj obrade ne može se osloboditi odgovornosti jer ispitanik nije bio obaviješten da su zahtjevi za pristup trebali biti usmjereni na adresu DPO-a i zato što je zahtjevu za pristup konačno udovoljeno 19. rujna 2022. od strane Odjela za ljudske resurse – adresata početnog zahtjeva za pristup. Dakle, nadležna osoba za ovu vrstu zahtjeva bio je voditelj Odjela ljudskih resursa.
U vezi s argumentom voditelja obrade da je ispitanik već bio obaviješten o svom radu tijekom intervjua s povratnim informacijama, DPA je naveo da se zahtjev za pristup može podnijeti također u vezi s podacima koji su već u posjedu ispitanika ili su mu već poznati.
Zapravo, članak 15. GDPR-a ne predviđa nikakva ograničenja u pogledu informacija koje se odnose na ispitanika kojima se može pristupiti. GDPR izričito predviđa mogućnost da ispitanik podnese više od jednog zahtjeva za pristup, osim ako zahtjevi postanu pretjerani ili se po prirodi ponavljaju.
Zbog kršenja članaka 12. i 15. GDPR-a, talijansko nadzorno tijelo je voditelju obrade izreklo novčanu kaznu u iznosu od 30.000,00 eura.
