To pravo definirano je člankom 15. GDPR-a i daje nam mogućnost da zahtjevom prema voditelju obrade, odnosno, organizaciji za koju mislimo da imaju naše osobne podatke, zatražimo da nam detaljno opišu TKO su oni, KOJE naše podatke imaju, ODAKLE im, zašto ih imaju i obrađuju, na KOJI rok, KOJIM pravnim temeljem, KOME ih otkrivaju i KOJA nam još prava osiguravaju u zaštiti naših osobnih podataka.
 
Pri tom imamo pravo dobiti i kopiju svih naših osobnih podataka.
 
Puno smo puta pisali o toj temi i praksama u EU.
 
No, nije tajna da mi - fizičke osobe, još uvijek prerijetko koristimo ovo naše besplatno pravo, kao i da se voditelji obrada, odnosno, organizacije, pokušavaju ponekad pravnim smicalicama "spasiti se" od realizacije našeg zahtjeva.
 
Neke organizacije nažalost ni ne znaju što je pravo na pristup podacima, iako ga imaju opisane u svojim Politikama privatnosti na web stranicama.
 
Da bi se otklonila razna tumačenja i ujednačila praksa u EU po pitanju izvršenja prava na pristup osobnim podacima, EDPB (European Data Protection Board) je izradio i objavio Smjernice i stavio ih na javnu raspravu do 11.03.2022.
 
Svatko tko želi može sudjelovati na javnoj raspravi, kao i pročitati prijedlog EDPB Smjernica:
 
https://edpb.europa.eu/our-work-tools/documents/public-consultations/2022/guidelines-012022-data-subject-rights-right_en
 
 
Izdvojit ćemo neke od najzanimljivih dijelova Smjernica kroz primjere:
 
Primjer 1.
Zaposlenik dobije otkaz. Tjedan dana kasnije podnese zahtjev bivšem poslodavcu da želi pristup svim svojim osobnim podacima u dosjeu.
Bivši poslodavac ne smije ga tražiti pojašnjenje svrhe, bez obzira mogle bi li ga neke informacije koštati gubitka potencijalnog sudskog spora u budućnosti.
 
Primjer 2.
Pojedinac traži od svoje jedinice lokalne uprave pristup podacima. JLS ima o pojedincu ogromne količine podataka i argumentirano sumnja da je pojedinac svjestan o kojoj se količini podataka radi. U tom slučaju JLS može tražiti pojedinca da specificira svoj zahtjev na konkretne evidencije, obrade ili dokumentaciju. Pri tom ne smije doći do skrivanja podataka od pojedinca.
 
Primjer 3.
Bivši kandidat za radno mjesto traži pristup svojim podacima. Nesuđeni poslodavac želi izbjeći davanje pristupa bivšem kandidatu i briše njegove osobne podatke, životopis i priloženu dokumentaciju iako rokovi zadržavanja takve dokumentacije nisu protekli. U tom slučaju poslodavac je u kršenju GDPR-a.
 
Primjer 4.
Ako organizacija ima osjetljive osobne podatke pojedinca, mora osigurati sigurnost tih podataka. Npr. ne možemo slati emailom zdravstvene podatke ili isplatne liste bez prethodne enkripcije ili postavljanja lozinke na dokumente. U takvim slučajevima se može iskoristiti i USB stik poslan preporučenom pošiljkom.
 
Primjer 5.
Jedan od managera u kompaniji ima rezervirano parkirno mjesto za njegovo službeno vozilo. Međutim, vrlo često nailazi da se na njegovom rezerviranom mjestu parkira nečiji tuđi auto. Želi saznati tko je taj vozač i traži od svoje kompanije uvid u snimke video nadzora u garaži kako bi otkrio tko je "besramnik". To nije zahtjev za pristup podacima, jer manager traži uvid u tuđe osobne podatke, a za to mora imati valjani pravni temelj iz članka 6. GDPR-a. Zahtjev se odbija.
 
Primjer 6.
Pojedinac kao podnositelj zahtjeva ne mora se pozvati na članak 15. GDPR-a ili koristiti pravne termine iz GDPR-a da bi njegov zahtjev bio valjan. Dovoljno je i da napiše da želi pristup osobnim podacima koji se odnose na njega ili informacijama koje voditelj obrade ima o njemu.
 
Primjer 7.
Tvrtka X na svojim web stranicama i u Obavijesti o privatnosti objavila je dvije email adrese: jednu za opća pitanja i drugu za GDPR zahtjeve. Fizička osoba podnese svoj zahtjev za pristup podacima na prvu email adresu namijenjenu općim pitanjima. Tvrtka X mora prihvatiti zahtjev za pristup podacima kao valjan.
Međutim, ako pojedinac pošalje zahtjev na email adresu koju je našao na listi provjere ispravnosti sanitarija Tvrtke X, tada se takav zahtjev ne treba smatrati valjanim.
 
Primjer 8.
Pojedinac traži uvid u snimku video nadzora Tvrtke na kojoj se on nalazi. Tvrtka ne treba vršiti identifikaciju svih snimljenih osoba, već traži dodatne informacije od pojedinca, npr. točno vrijeme i datum i dodatne informacije, kako bi identificirao pojedinca (dodat ćemo zgodno pitanje: "Kako ste bili odjeveni?").
 
Primjer 9.
Pojedinac je sklopio ugovor s Pružateljem usluge i sad telefonskim pozivom korisničkoj službi traži pristup svojim podacima. Agent ne može znati radi li se o istoj osobi, ali Tvrtka može slanjem posebnog koda putem SMS poruke provjeriti s pojedincem njegovu autentičnost.
 
Primjer 10.
Uzimanje kopije osobne iskaznice u svrhu identifikacije pojedinca koji želi pristup svojim osobnim podacima može dovesti do rizika za tog pojedinca, krađe identiteta i smatra se neprimjerenim osim slučajeva kada je to neophodno ili u skladu s nekim propisom. To vrijedi posebno za banke, hotele, rent-a-car...
Također, nisu svi podaca s osobne iskaznice neophodni. Oni koji to nisu (npr. fotografija, nacionalnost, broj OI, posebni kodovi), trebaju se zacrniti.
 
Primjer 11.
Kandidat za radno mjesto predao je životopis i zamolbu. Tijekom intervjua, predstavnik potencijalnog poslodavca pisao je bilješke o kandidatu. Kandidat nakon toga traži pristup svojim osobnim podacima prikupljenim tijekom postupka selekcije. Potencijalni poslodavac dužan je dati pristup osobnim podacima koje je kandidat dao putem životopisa i zamolbe, kao i sažetak bilješki uključujući i osobne dojmove o kandidatu.
 
I još puno primjera je navedeno u odličnom dokumentu.
 
 
 
Photo from Pexel