GDPR și accesul la datele personale: Când pot firmele să refuze cererile românilor

Dreptul de acces al persoanelor fizice la propriile date personale prelucrate de o firmă poate fi refuzat în anumite cazuri, se arată în GDPR - cadrul legal european unic în materie de date personale.

Pentru a lămuri încă din start, este important de precizat că legislația obligă firmele să răspundă tuturor românilor care-și cer datele personale, indiferent care este răspunsul. Cu alte cuvinte, chiar dacă este vorba de un refuz, compania trebuie să răspundă la cererile de acces la datele personale în maximum o lună de la primirea lor.

Potrivit GDPR, „în cazul în care cererile din partea unei persoane vizate sunt în mod vădit nefondate sau excesive, în special din cauza caracterului lor repetitiv”, o companie are două variante. Prima este să ceară o taxă rezonabilă pentru a oferi un răspuns adecvat, iar a doua este să refuze să ofere informațiile solicitate de români.

„În ambele cazuri trebuie să vă justificați decizia. Ar trebui să vă bazați onorariul rezonabil pe costurile administrative implicate de respectarea cererii”, explică reprezentanții autorității britanice din domeniul protecției datelor (ICO). „Dacă vă decideți să percepeți o taxă, trebuie să contactați imediat persoana și să o informați. Nu trebuie să vă conformați solicitării până nu primiți taxa.”

Așadar, firma este cea care trebuie să demonstreze că o cerere are un caracter vădit nefondat sau excesiv. Drept exemplu, Comisia Europeană prezintă situația în care o persoană cere acces la datele sale și, la doar o lună distanță, cere din nou acces la aceleași date. Într-un asemenea caz, firma fie poate cere o taxă, fie poate refuza solicitarea.

În orice caz, în mod obișnuit, răspunsurile la cererile de acces trebuie să fie gratuite. Se poate apela la variata taxei doar atunci când solicitările sunt vădit nefondate sau excesive.

În plus, GDPR mai prevede și un alt caz în care dreptul de acces la datele personale poate fi refuzat: atunci când firma nu poate identifica solicitantul. Mai exact, din moment ce trimiterea datelor personale către o persoană greșită poate avea consecințe majore, companiile pot refuza accesul la informații atunci când nu pot verifica identitatea celui care a depus cererea.

Trebuie să răspunzi la cereri chiar dacă refuzi accesul la date

ICO subliniază că, chiar și în cazul unui refuz, firmele sunt obligate să răspundă la cererile de acces formulate de români. Adică să le spună că nu le poate da datele personale și motivele pentru care s-a luat această decizie.

Totodată, firmele sunt obligate să informeze solicitanții despre dreptul lor de a face o reclamație la autoritatea românească din domeniul protecției datelor și de a apela la instanțele judecătorești.

„Dacă nu ia măsuri cu privire la cererea persoanei vizate, operatorul informează persoana vizată, fără întârziere și în termen de cel mult o lună de la primirea cererii, cu privire la motivele pentru care nu ia măsuri și la posibilitatea de a depune o plângere în fața unei autorități de supraveghere și de a introduce o cale de atac judiciară”, este explicat în GDPR.

Firmele trebuie să răspundă la cererile de acces în maximum o lună de la primirea lor. Dacă solicitările sunt complexe, termenul poate fi prelungit cu încă două luni, dar românii trebuie informați încă din prima lună că soluționarea cererilor necesită o perioadă mai lungă.

Nu există un model-standard pentru cererile de acces și acestea nu trebuie să includă anumite fraze-cheie pentru a fi considerate valide. În plus, așa cum prevede GDPR, cererile de acces pot avea orice formă (deci pot fi inclusiv verbale) și pot fi primite de orice persoană din firmă.

În acest sens, specialiștii punctează că pregătirea salariaților pentru a recunoaște și a gestiona cererile de acces este un aspect foarte important pentru orice firmă ce prelucrează date personale.

GDPR reprezintă, din 25 mai 2018, cadrul legal european unic în materie de date personale, inclusiv pentru România. Asta înseamnă că firmele care prelucrează date personale, indiferent de domeniul de activitate și de dimensiune, sunt obligate să respecte prevederile GDPR.