Pravo pristupa informacijama sadržano je u Povelji EU o temeljnim pravima. To je dio europskog pravnog okvira za zaštitu podataka od samog početka, a dalje je razrađeno u čl. 15 GDPR u kojem je navedeno:
Ispitanik ima pravo dobiti od voditelja obrade potvrdu obrađuju li se osobni podaci koji se odnose na njega te ako se takvi osobni podaci obrađuju, pristup osobnim podacima i sljedećim informacijama: (a) svrsi obrade;
(b) kategorijama osobnih podataka o kojima je riječ;
(c) primateljima ili kategorijama primatelja kojima su osobni podaci otkriveni ili će im biti otkriveni, osobito primateljima u trećim zemljama ili međunarodnim organizacijama;
(d) ako je to moguće, predviđenom razdoblju u kojem će osobni podaci biti pohranjeni ili, ako to nije moguće, kriterijima korištenima za utvrđivanje tog razdoblja;
(e) postojanju prava da se od voditelja obrade zatraži ispravak ili brisanje osobnih podataka ili ograničavanje obrade osobnih podataka koji se odnose na ispitanika ili prava na prigovor na takvu obradu
(f) pravu na podnošenje pritužbe nadzornom tijelu;
(g) ako se osobni podaci ne prikupljaju od ispitanika, svakoj dostupnoj informaciji o njihovu izvoru;
(h) postojanju automatiziranog donošenja odluka, što uključuje izradu profila iz članka 22. stavaka 1. i 4. te, barem u tim slučajevima, smislenim informacijama o tome o kojoj je logici riječ, kao i važnosti i predviđenim posljedicama takve obrade za ispitanika.
Cilj i cjelokupna struktura prava pristupa
Opći cilj prava na pristup je osigurati pojedincima adekvatne, transparentne i jednostavno dostupne informacije o obradi njihovih osobnih podataka kako bi mogli biti svjesni i provjeriti zakonitost obrade i točnost obrađenih podataka. Ovo će olakšati - ali nije uvjet – pojedincu da ostvari druga prava kao što je pravo na brisanje ili ispravljanje podataka.
Pravo pristupa prema zakonima o zaštiti podataka treba razlikovati od sličnih prava s drugim ciljevima, na primjer pravo na pristup javnim dokumentima koje ima za cilj jamčiti transparentnost u donošenju odluka javnih tijela i dobru administrativnu praksu.
Međutim, ispitanik ne mora navesti razloge za zahtjev za pristup i voditelj obrade neće analizirati hoće li zahtjev doista pomoći ispitaniku da provjeri zakonitost predmetne obrade podataka ili ostvarivanje drugih prava. Voditelj će morati udovoljiti zahtjevu osim ako je jasno da se zahtjev podnosi prema drugim pravilima osim pravilima o zaštiti podataka.
Pravo pristupa uključuje tri različite komponente:
- potvrda da li se podaci o osobi obrađuju ili ne,
- pristup ovim osobnim podacima i
- pristup informacijama o obradi, kao što su svrha, kategorije podataka i primatelji, trajanje obrade, prava ispitanika i odgovarajuće zaštitne mjere u slučaju transfera podataka u treće zemlje
Opća razmatranja o procjeni zahtjeva ispitanika
Prilikom analize sadržaja zahtjeva, voditelj obrade mora procijeniti odnosi li se zahtjev na osobne podatke osobe koja podnosi zahtjev, da li zahtjev spada u djelokrug čl. 15 GDPR-a, postoje li druge konkretnije odredbe koje reguliraju pristup u određenom sektoru. Također treba procijeniti odnosi li se zahtjev na sve ili samo neke podatke o ispitaniku o kojem je riječ.
Nema posebnih zahtjeva za format zahtjeva. Voditelj bi trebao osigurati user-friendly komunikacijske kanale koje ispitanik lako može koristiti. Međutim, ispitanik nije dužan koristiti te specifične kanale i umjesto toga može poslati zahtjev na službenu adresu voditelja obrade. Voditelj nije dužan postupati po zahtjevima koje se šalju na potpuno nasumične ili naizgled netočne adrese. Ako voditelj obrade nije u mogućnosti identificirati podatke koji se odnose na ispitanika, o tome će obavijestiti ispitanika i može odbiti pristup osim ako ispitanik ne pruži dodatne informacije koje omogućuju identifikaciju. Nadalje, ako voditelj obrade sumnja da je ispitanik onaj za kojeg tvrdi da je, voditelj obrade mora zatražiti dodatne informacije kako bi potvrdio identitet ispitanika.. Zahtjev za dodatnim informacijama mora biti razmjeran vrsti podataka koji se obrađuju, šteti koja bi mogla nastati itd. kako bi se izbjeglo prekomjerno prikupljanje podataka.
Opseg prava pristupa
Opseg prava pristupa određen je opsegom definiranog pojma osobnih podataka u čl. 4(1) GDPR. Osim osnovnih osobnih podataka kao što su ime, adresa, telefonski broj, itd. u ovu definiciju mogu spadati različiti podaci kao što su medicinski nalazi, povijest kupnji, pokazatelji kreditne sposobnosti, zapisnici aktivnosti, aktivnosti pretraživanja itd. Osobni podaci koji su prošli pseudonimizaciju su i dalje osobni podaci za razliku od anonimiziranih podataka. Pravo pristupa se odnosi na osobne podatke o osobi koja je podnijela zahtjev. Ovo se ne smije tumačiti pretjerano restriktivno i može uključivati podatke koji se mogu odnositi i na druge osobe, na primjer povijest komunikacije koja uključuje dolazne i odlazne poruke.
Uz omogućavanje pristupa osobnim podacima, voditelj obrade mora osigurati i dodatne informacije o obradi i pravima ispitanika. Takve informacije mogu se temeljiti na već izrađenoj evidenciji voditelja obrade (čl. 30) i pravilima privatnosti (čl. 13. i 14.). Međutim, ove opće informacije možda će se morati ažurirati od trenutka podnošenja zahtjeva ili prilagoditi da odražavaju radnje koje se provode u odnosu na određenu osobu koji podnosi zahtjev.
Kako omogućiti pristup?
Načini pružanja pristupa mogu se razlikovati ovisno o količini podataka i složenosti obrade koja se provodi. Osim ako je izričito drugačije navedeno, zahtjev treba shvatiti kao da se ispitanik poziva na sve osobne podatke koji se odnose na njega i voditelj obrade može zatražiti od ispitanika da konkretizira zahtjev ako se radi o obradi velikih količina podataka.
Voditelj obrade morat će tražiti osobne podatke u svim IT sustavima i ne-IT sustavima arhiviranja na temelju kriterija pretraživanja koji odražavaju način na koji su informacije strukturirane, na primjer naziv i broj kupca. Informacije moraju biti pružene u sažetom, transparentnom, razumljivom i lako dostupnom obliku, koristeći jasan i jednostavan Jezik. Precizniji zahtjevi u tom pogledu ovise o okolnostima obrade kao i sposobnosti ispitanika da shvati informacije (za primjer uzimajući u obzir da je ispitanik dijete ili osoba s posebnim potrebama). Ako se podaci sastoji se od kodova ili drugih "neobrađenih podataka", oni će se možda morati objasniti kako bi imali smisla za ispitanika.
Glavni modalitet za pružanje pristupa je da se ispitaniku pruži kopija njegovih podataka, ali mogu se predvidjeti i drugi modaliteti (kao što su usmena informacija i pristup na licu mjesta) ako to ispitanik zahtijeva. Podaci se mogu poslati e-poštom, pod uvjetom da su poduzete sve potrebne mjere zaštite uzimajući u obzir prirodu podataka, ili na neke druge načine.
Ako je riječ o velikoj količini podataka i bilo bi teško za ispitanika razumjeti informacije ako bi dobio veći skup podataka – osobito u online kontekstu – odgovarajuća mjera može biti slojevit pristup. Pružanje informacija u različitim slojevima može olakšati razumijevanje podataka ispitaniku. Voditelj obrade mora demonstrirati da slojeviti pristup ima dodanu vrijednost za ispitanika i sve slojeve treba navesti u isto vrijeme ako ispitanik to zatraži. Kopiju podataka i dodatne informacije treba dostaviti u trajnom obliku kao npr. pisani tekst, koji bi mogao biti u uobičajenom elektroničkom obliku, tako da ga ispitanik može jednostavno preuzeti. Podaci se mogu dati u obliku prijepisa ili u sastavljenom obliku dokle god su svi podaci uključeni i to ne mijenja sadržaj informacija.
Zahtjev se mora ispuniti što je prije moguće, a u svakom slučaju u roku od mjesec dana od primitka zahtjeva. To se može produžiti za još dva mjeseca prema potrebi, uzimajući u obzir složenost i broj zahtjeva. Ispitanik tada mora biti obaviješten o razlogu odgode. Voditelj obrade mora poduzeti potrebne mjere za rješavanje zahtjeva što je prije moguće te prilagoditi ove mjere okolnostima obrade. Ako se podaci pohranjuju samo na određeno vrijeme, moraju postojati mjere koje jamče da se zahtjev za pristup može ispuniti bez toga da se podaci obrišu dok se zahtjev obrađuje. Ako se obrađuje velika količina podataka, voditelj obrade će morati postaviti rutine i mehanizme koji su prilagođeni složenosti obrade. Ocjena zahtjeva treba odražavati situaciju u trenutku kada je zahtjev zaprimljen od strane voditelja obrade. Čak i podaci koji mogu biti netočni ili nezakonito obrađeni morat će biti dostavljeni ispitaniku. Podatke koji su već izbrisani, u skladu s politikom voditelja obrade i stoga više nisu dostupni, voditelj obrade ne mora dostaviti ispitaniku.
Ograničenja prava pristupa
GDPR dopušta određena ograničenja pravu pristupa, ali ne postoje specifična izuzeća. Pravo na pristup je bez ikakvih općih rezervi što se tiče proporcionalnosti s obzirom na napore koje voditelj obrade mora poduzeti kako bi udovoljio zahtjevu ispitanika. Prema čl. 15. st. 4. GDPR-a pravo na dobivanje kopije podataka neće negativno utjecati na prava i slobode drugih. EDPB je mišljenja da se ta prava moraju uzeti u obzir ne samo kod davanja kopije, nego i ako je pristup podacima omogućen na drugi način (na primjer na licu mjesta). Čl. 15(4) nije, međutim, primjenjiv na dodatne informacije o obradi. Voditelj obrade mora biti u mogućnosti dokazati da bi prava ili slobode drugih bile ugrožene u konkretnoj situaciji. Primjena čl. 15(4) ne rezultira potpunim odbijanjem zahtjeva ispitanika; rezultiralo bi samo izostavljanjem ili činjenjem nečitkima onih dijelova koji mogu negativno utjecati na prava i slobode drugih. Čl. 12(5) omogućuje voditeljima obrade da odbiju zahtjeve koji su očito neutemeljeni ili pretjerani, ili da naplate razumnu naknadu za takve zahtjeve. Ove pojmove treba tumačiti usko. Pošto postoji vrlo malo preduvjeta u pogledu zahtjeva za pristup, opseg razmatranja zahtjeva kao očitog neutemeljenog je prilično ograničen. Prekomjerni zahtjevi ovise o specifičnostima sektora voditelja obrade. Što se promjene češće događaju u bazi podataka voditelja obrade, to češće ispitaniku može biti dopušteno da zatraži pristup, a da on nije pretjeran. Umjesto odbijanja pristupa, voditelj obrade može odlučiti naplatiti naknadu od ispitanika. Ovo bi bilo relevantno samo u slučaju prevelikih zahtjeva kako bi se pokrili administrativni troškovi koje takvi zahtjevi mogu uzrokovati. Voditelj obrade mora biti u stanju dokazati očito neutemeljen ili pretjeran karakter zahtjeva. Ograničenja prava pristupa mogu postojati i u nacionalnim zakonima država članica prema čl. 23 GDPR . Voditelji obrade koji se namjeravaju osloniti na takva ograničenja moraju pažljivo provjeriti nacionalne odredbe i uzeti u obzir sve posebne uvjete koji su navedeni. Takvi uvjeti mogu biti na primjer da je pravo pristupa samo privremeno odgođeno ili samo ograničenje se odnosi na određene kategorije podataka.
EDPB je objavio nove smjernice o pravu na pristup koje možete pronaći ovdje:
