avocatnet.ro 
Regulamentul general privind protecția datelor (GDPR) îi permite unei persoane să afle, în primul rând, dacă îi sunt prelucrate date personale de către o anumită firmă. În acest scop, o persoană poate să facă o solicitare, prin care să întrebe dacă îi sunt prelucrate date sau ce date îi sunt prelucrate. În plus, firma care prelucrează date este obligată să furnizeze și următoarele informații:
- scopul și perioada (dacă aceasta nu poate fi identificată exact, criteriile folosite pentru a o determina, în timp) pentru care se face prelucrarea;
- categoriile de date prelucrate;
- persoanele cărora le-au fost sau urmează să le fie divulgate datele prelucrate (dacă e vorba de persoane din afara Uniunii Europene sau de organizații internaționale, garanțiile implementate pentru a asigura protecția datelor și în locurile unde se face transferul);
- posibilitatea de a cere operatorului rectificarea, ștergerea, restricționarea prelucrării sau chiar posibilitatea pentru solicitant de a se opune prelucrării;
- dreptul de a depune o plângere unei autorități de date din Uniunea Europeană;
- dacă datele au fost obținute din alte surse decât persoana ale cărei date au fost colectate, originea acestora;
- folosirea de procese decizionale automatizate (cum sunt, de pildă, cele care vizează crearea de profiluri), dacă e cazul.
De asemenea, răspunsurile la solicitările de mai sus trebuie să se facă fără întârzieri nejustificate, dar în cel mult o lună (sau, cel puțin, să fie dat un răspuns unde să i se indice solicitantului măsurile luate pentru a-i fi furnizate informațiile). Excepțional, când există un număr foarte ridicat de astfel de cereri, termenul poate fi prelungit cu încă două luni, dar trebuie motivată întârzierea.
Atenție! Pentru a putea, efectiv, să puteți răspunde cererilor de acces, este important să aveți implementate măsuri tehnice și organizatorice adecvate și să vă asigurați că un astfel de cadru există încă dinainte de a face prelucrarea propriu-zisă a datelor. Cu alte cuvinte, toate procesele trebuie gândite, încă din momentul concepției, astfel încât să permită exercitarea drepturilor persoanelor vizate de prelucrare. Puteți citi mai multe, aici.
În același timp, măsurile trebuie să vă ofere posibilitatea și să identificați persoana care face solicitarea și că este, într-adevăr, ea însăși cea care își exercită dreptul de acces. Altcumva, dacă oferiți informații oricui se prezintă ca fiind o anumită persoană, riscați să divulgați date într-un mod neautorizat unor străini. Acest lucru se poate întâmpla din cauză că, de multe ori, anumite date despre cineva sunt publice. Oricine le poate colecta și poate pretinde că este persoana în cauză.
În cazurile când o persoană face o solicitare pentru prima dată, nu se poate percepe nicio taxă pentru furnizarea unei copii cu informațiile de mai sus. La solicitarea suplimentară de copii, în schimb, poate fi cerută o sumă care să acopere costurile administrative.
ANSPDCP a amendat, recent, un operator pentru că nu a respectat obligațiile sale care decurg din dreptul de acces al persoanelor vizate de prelucrare. În concret, printre altele, o firmă nu a răspuns în termenul solicitării unei persoane de a-și accesa datele deținute de către acea firmă. Amenda a fost de 2.500 de euro, însă au fost încălcate și alte prevederi ale GDPR.
miai222