AZOP je zaprimio zahtjev za utvrđivanje povrede prava na zaštitu osobnih podataka u kojemu podnositelj zahtjeva ističe kako je putem elektroničke pošte zatražio od društva (pružatelja telekomunikacijskih usluga) informacije o mjestu gdje su spremljeni njegovi osobni podaci te temeljem kojih privola se obrađuju njegovi osobni podaci.
Na njegovo traženje, podnositelj zahtjeva navodi kako je dobio samo generički odgovor kojim mu nisu pružene zatražene informacije o obradi njegovih osobnih podataka te kako se informacije o obradi osobnih podataka putem privola mogu dobiti isključivo putem prodajnog mjesta.
Budući da podnositelj zahtjeva nije bio zadovoljan generičkim odgovorom, istoga dana je ponovio svoj upit uz jasno preciziranje kako traži informaciju o obradi njegovih osobnih podataka, točnije mjestima gdje se nalaze spremljeni njegovi osobni podaci, a na koji nije dobio odgovor.
Zahtjev za utvrđivanje povrede prava na zaštitu osobnih podataka je osnovan.
Pružanjem generičkog odgovora na upućeni zahtjev za ostvarivanjem prava na pristup osobnim podacima podnositelja zahtjeva od strane društva, došlo je do povrede prava na zaštitu osobnih podataka podnositelja zahtjeva iz članka 15. stavka 1., a u svezi s člankom 12. stavkom 2. i 3. Opće uredbe o zaštiti podataka.
AZOP naglašava da članak 15. Opće uredbe o zaštiti podataka, u kojemu je propisano, između ostalog, kako svatko ima pravo zatražiti od voditelja obrade potvrdu da li obrađuje njegove osobne podatke, te pristup i informacije o osobnim podacima koje obrađuje o ispitaniku, a najmanje podatke o: svrsi obrade; kategorijama osobnih podataka o kojima je riječ; primateljima ili kategorijama primatelja kojima su osobni podaci otkriveni ili će im biti otkriveni, osobito primateljima u trećim zemljama ili međunarodnim organizacijama; razdoblju pohrane osobnih podataka; pravu na brisanje i ispravak osobnih podataka; pravu na podnošenje prigovora nadzornom tijelu; informaciji o izvoru prikupljenih osobnih podataka; o postojanju automatiziranog donošenja odluka.
Stavkom 3. propisano je kako voditelj obrade osigurava kopiju osobnih podataka koji se obrađuju.
Ako ispitanik podnese zahtjev elektroničkim putem te osim ako ispitanik zatraži drukčije, informacije se pružaju u uobičajenom elektroničkom obliku.
U uvodnoj izjavi broj 59. uz normativni dio teksta Opće uredbe o zaštiti podataka definirano je kako bi trebalo predvidjeti modalitete kojima se olakšava ostvarivanje prava ispitanika iz Opće uredbe o zaštiti podataka, uključujući mehanizme za podnošenje zahtjeva, te ako je primjenjivo, besplatno ostvarivanje, osobito zahtjeva za pristup osobnim podacima, njihovo ispravljanje ili brisanje i ostvarivanje prava na prigovor.
AZOP zaključuje da su voditelji obrade osobnih podataka pozvani da na sve moguće načine olakšaju ostvarivanje prava ispitanika iz Opće uredbe o zaštiti podataka, te u tu svrhu mogu izraditi interne obrasce putem kojih ispitanici mogu lakše ostvariti svoja prava, te mogu imenovati i službenika za zaštitu podataka te imati i druge referentne točke putem kojih ispitanici mogu na lak i jednostavan način ostvariti svoja prava.
No, iskorištavanje takve mogućnosti koja u prvom redu olakšava ispitanicima ostvarivanje njihovih prava te voditeljima obrade lakšu obradu predmetnih zahtjeva zasigurno ne znači da su ispitanici (ovdje podnositelj zahtjeva) obvezni pratiti takve modalitete ostvarivanja prava uz posljedicu uskrate postupanja po zahtjevu od strane voditelja obrade ukoliko se ne iskoriste predviđeni modaliteti.
Izbor modaliteta ostvarivanja prava ne leži na voditelju obrade već je na dispoziciji ispitanika (ovdje podnositelja zahtjeva) koji može zatražiti pravo na pristup osobnim podacima na način da se obrati na bilo koji kontakt voditelja obrade, te je voditelj obrade dužan dalje ustupiti takav zahtjev unutar svoje organizacije nadležnoj službi te maksimalno olakšati ispitaniku ostvarivanje njegovih prava na zaštitu osobnih podataka, a ne obvezivati ispitanika da se obrati na točno određeno mjesto/kontakt unutar voditelja obrade.
U tom smislu potrebno je istaknuti kako izdavanje generičkog odgovora ne može biti prihvatljiv način korespondencije te odgovaranja na zahtjev ispitanika za ostvarivanje prava na pristup osobnim podacima.
Dostava generičkog odgovora nije prihvatljiva iz temeljnog razloga što se kod prava na pristup osobnim podacima radi o pristupu osobnim podacima točno određenog ispitanika (ovdje podnositelja zahtjeva) te o specifičnoj vrsti obrade osobnih podataka, koja se uvijek razlikuje od ispitanika do ispitanika te ovisi o više parametara, pa se davanjem generičkog odgovora ispitanik niti ne može upoznati sa konkretnom vrstom obrade njegovih osobnih podataka, već može dobiti načelnu predodžbu o osobnim podacima koje pojedini voditelj obrade obrađuje o svojim ispitanicima, ali i dalje ostaje praznina da ispitanik (ovdje podnositelj zahtjeva) i dalje nije svjestan obrade njegovih osobnih podataka temeljem članka 15. stavka 1. Opće uredbe o zaštiti podataka.
Naime, pravo na pristup osobnim podacima ima za svrhu podizanje svijesti ispitanika o obradi njihovih osobnih podataka te kako bi mogli lakše kontrolirati zakonitost obrade njihovih osobnih podataka te u konačnici dobiti jasni uvid u mogućnosti ostvarenja svih svojih prava iz Opće uredbe o zaštiti podataka, pa tako i prava na brisanje osobnih podataka.
U ovoj upravnoj stvari utvrđeno je kako podnositelj zahtjeva nije bio u potpunosti svjestan obrade njegovih osobnih podataka od strane društva y te je upravo u tu svrhu podnio zahtjev za pristup podacima, na način da je zatražio informacije o mjestima gdje su pohranjeni njegovi osobni podaci te o privolama temeljem kojih y obrađuje njegove osobne podatke.
Budući da je iz takvog upita bilo jasno kako podnositelj zahtjeva nije uopće siguran u pitanja obrade njegovih osobnih podataka, bilo je nužno Rješenjem naložiti y-u da podnositelju zahtjeva u pripadajućem roku od 8 dana dostavi cjeloviti odgovor o obradi svih njegovih osobnih podataka od strane društva y, a u skladu sa svim parametrima iz članka 15. stavka 1. Opće uredbe o zaštiti podataka.
Više u Rješenju AZOP-a:
https://azop.hr/wp-content/uploads/2022/09/Rjesenje-pristup-osobnim-podacima.pdf
