avocatnet.ro 
Încă de când a apărut GDPR, operatorilor de date personale li s-a spus că trebuie să le ofere accesul la date celor cărora le prelucrează. În acest sens, companiile au fost sfătuite să-și pregătească proceduri interne de lucru pentru gestionarea cererilor, dar, cel mai important, să nu ignore aceste solicitări. Obligația este destul de des trecută cu vederea, așa cum o arată și amenzile pe care autoritățile, de la noi și din alte state membre, le dau operatorilor.
Când primește o atare cerere, operatorul trebuie să confirme dacă prelucrează sau nu datele personale ale celui care trimite o cerere de acces și apoi, dacă răspunsul e afirmativ, trebuie să dea acces la: datele prelucrate; scopurile prelucrării; categoriile de date personale vizate; destinatarii sau categoriile de destinatari cărora datele personale le-au fost sau urmează să le fie divulgate, în special destinatari din țări terțe sau organizații internaționale; acolo unde este posibil, perioada pentru care se preconizează că vor fi stocate datele personale sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă; existența dreptului de a cere rectificarea sau ștergerea datelor personale ori restricționarea prelucrării datelor personale referitoare la persoana vizată sau a dreptului de a se opune prelucrării; dreptul de a depune o plângere la ANSPDCD; în cazul în care datele personale nu sunt colectate de la persoana vizată, orice informații disponibile privind sursa acestora; existența unui proces decizional automatizat (inclusiv profilarea), precum și, cel puțin în cazurile respective, informații pertinente privind logica folosită și importanța și consecințele preconizate ale unei astfel de prelucrări pentru persoana vizată.
Dreptul de acces al persoanelor fizice la propriile date personale prelucrate de o firmă poate fi și refuzat în anumite cazuri (care nu echivealează cu a nu răspunde deloc). Accesul trebuie să fie unul gratuit, dar GDPR-ul le permite firmelor refuze să răspundă sau chiar să taxeze cererile de acces ale persoanelor, doar excepțional și dacă:
- solicitarea este lipsită de orice fundament sau
- este excesivă (de exemplu, cereri repetitive, făcute într-un interval de timp în care nu au avut loc modificări ale datelor deținute și deja comunicate solicitantului).
Așa cum o arată și un ghid dedicat al European Data Protection Board (EDPB), garantarea dreptului de acces la datele prelucrate înseamnă inclusiv accesul la convorbirile înregistrate - vocea persoanei vizate este o dată personală. ANSPDCP a amendat recent un operator de date, ca urmare a unei plângeri prin care se reclama faptul că operatorul i-a încălcat petentului dreptul de acces, refuzând să-i comunice anumite înregistrări ale convorbirilor cu call-center-ul acestuia.
Ocazie cu care, ANSPDCP a reamintit că la art. 15 alin. (3) din GDPR se prevede că „Operatorul furnizează o copie a datelor cu caracter personal care fac obiectul prelucrării. Pentru orice alte copii solicitate de persoana vizată, operatorul poate percepe o taxă rezonabilă, bazată pe costurile administrative. În cazul în care persoana vizată introduce cererea în format electronic şi cu excepţia cazului în care persoana vizată solicită un alt format, informaţiile sunt furnizate într-un format electronic utilizat în mod curent.” Destul de similar, în 2022 era comunicată o amendă pentru un mare magazine care refuzase să-i dea acces petentului la înregistrarea video din ziua în care acesta s-a dus în magazin.
Ce facem cu angajații operatorului, care se aud și ei pe înregistrare?
EDPB consideră că înregistrarea unei convorbiri telefonice (și transcriptul aferent) dintre persoana vizată, care cere accesul la date, și operator ar putea să se încadreze în dreptul de acces, însă operatorul care pune la dispoziție solicitantului înregistrarea ar trebui să-l avertizeze cu privire la ce face cu ea și despre riscul de a nu deveni el însuși un operator de date dacă decide să publice înregistrarea.
Cel mai probabil, în respectiva înregistrare există și vocea unui angajat al operatorului - influențează asta garantarea accesului la convorbire? Da și nu. Operatorul e pus în situația de a cântări dreptul solicitantului cu al angajatului său, iar în ghidul EDPB dedicat dreptului de acces la date avem un exemplu elocvent:
|
Un retailer oferă clienților săi posibilitatea de a comanda produse prin intermediul unei linii telefonice operate de serviciul său de relații cu clienții. În scopul dovedirii tranzacțiilor comerciale, retailerul stochează o înregistrare a apelului, în conformitate cu cerințele stricte ale legislației aplicabile. Un client dorește să primească o copie a conversației pe care a avut-o cu un agent al serviciului de relații cu clienții. În primă fază, retailerul analizează solicitarea și constată că înregistrarea conține date personale și ale altcuiva, respectiv ale agentului din serviciul de relații cu clienții. Apoi, pentru a evalua dacă furnizarea copiei ar afecta drepturile și libertățile altor persoane, retailerul trebuie să încerce să echilibreze interesele conflictuale, în special având în vedere probabilitatea și gravitatea riscurilor posibile pentru drepturile și libertățile agentului serviciului de relații cu clienții, care sunt prezente în comunicarea înregistrată către client. Retailerul ajunge la concluzia că există date personale puține referitoare la agentul serviciului de relații cu clienții în înregistrare - doar vocea acestuia. Retailerul/ controlorul constată că agentul nu poate fi ușor identificat. Mai mult, conținutul discuției este de natură profesională și persoana vizată a fost interlocutorul. Pe baza circumstanțelor menționate anterior, retailerul ajunge la concluzia obiectivă că dreptul de acces nu afectează în mod negativ drepturile și libertățile agentului serviciului de relații cu clienții și, prin urmare, i poate furniza persoanei vizate înregistrarea completă, inclusiv părțile din înregistrarea vocală care se referă la agentul serviciului de relații cu clienții. |
Dincolo de această problemă, a implicării datelor ce aparțin și altei persoane, operatorii nu se pot scuza în onorarea acestor solicitări de acces pe motiv că nu au personal suficient sau un sistem care să le permită să răspundă în timp util acestor solicitări.
ina2007
Comentarii articol (1)