EDPB (European Data Protection Board) je donio nadograđene Smjernice o pravu na pristup osobnim podacima s mnoštvom odličnih primjera:
Primjer 1.
Zaposlenik dobije otkaz.
Tjedan dana kasnije podnese zahtjev bivšem poslodavcu da želi pristup svim svojim osobnim podacima u dosjeu. Bivši poslodavac ne smije ga tražiti pojašnjenje svrhe, bez obzira mogle bi li ga neke informacije koštati gubitka potencijalnog sudskog spora u budućnosti. Međutim, pri tom se moraju u obzir uzeti i odredbe nacionalnih propisa koji reguliraju područje razmjene osobnih podataka između strana u sudskom sporu.
Primjer 2.
Pojedinac traži od svoje jedinice lokalne uprave pristup podacima. JLS ima o pojedincu ogromne količine podataka i argumentirano sumnja da je pojedinac svjestan o kojoj se količini podataka radi. U tom slučaju JLS može tražiti pojedinca da specificira svoj zahtjev na konkretne evidencije, obrade ili dokumentaciju. Pri tom ne smije doći do skrivanja podataka od pojedinca.
Primjer 3.
Jedan od managera u kompaniji ima rezervirano parkirno mjesto za njegovo službeno vozilo. Međutim, vrlo često nailazi da se na njegovom rezerviranom mjestu parkira nečiji tuđi auto. Želi saznati tko je taj vozač i traži od svoje kompanije uvid u snimke video nadzora u garaži kako bi otkrio tko je "besramnik". To nije zahtjev za pristup podacima, jer manager traži uvid u tuđe osobne podatke, a za to mora imati valjani pravni temelj iz članka 6. GDPR-a. Zahtjev se odbija.
Primjer 4.
Tvrtka X na svojim web stranicama i u Obavijesti o privatnosti objavila je dvije email adrese: jednu za opća pitanja i drugu za GDPR zahtjeve. Fizička osoba podnese svoj zahtjev za pristup podacima na prvu email adresu namijenjenu općim pitanjima. Tvrtka X mora prihvatiti zahtjev za pristup podacima kao valjan. Međutim, ako pojedinac pošalje zahtjev na email adresu koju je našao na listi provjere ispravnosti sanitarija Tvrtke X, tada se takav zahtjev ne treba smatrati valjanim.
Primjer 5.
Pojedinac traži uvid u snimku video nadzora Tvrtke na kojoj se on nalazi. Tvrtka ne treba vršiti identifikaciju svih snimljenih osoba, već traži dodatne informacije od pojedinca, npr. točno vrijeme i datum i dodatne specifične informacije, kako bi identificirao pojedinca.
Primjer 6.
Pojedinac je sklopio ugovor s Pružateljem usluge i sad telefonskim pozivom korisničkoj službi traži pristup svojim podacima. Agent ne može znati radi li se o istoj osobi, ali Tvrtka može slanjem posebnog koda putem SMS poruke provjeriti s pojedincem njegovu autentičnost.
Primjer 7.
Pojedinac ima otvoren račun u online trgovini kojoj pristupa svojim korisničkim imenom i lozinkom i traži pristup svojim osobnim podacima. Online trgovina ga traži kopiju osobne iskaznice. Takav zahtjev trgovine ne nerazmjeran i pretjeran. Identitet pojedinca se može provjeriti njegovom prijavom na račun ili dodatnim sigurnosnim pitanjima na koje odgovor zna samo online trgovina i pojedinac, ili korištenjem multifaktorske autentifikacije.
Primjer 8.
Kandidat za radno mjesto predao je životopis i zamolbu. Tijekom intervjua, predstavnik potencijalnog poslodavca pisao je bilješke o kandidatu. Kandidat nakon toga traži pristup svojim osobnim podacima prikupljenim tijekom postupka selekcije. Potencijalni poslodavac dužan je dati pristup osobnim podacima koje je kandidat dao putem životopisa i zamolbe, kao i sažetak bilješki uključujući i osobne dojmove o kandidatu.
Primjer 9.
Elementi procjene učinka zaposlenika kojima poslodavac odlučuje o podizanju plaće zaposlenika ili njegovoj novoj poziciji pripadaju u skupinu osobnih podataka zaposlenika i moraju biti dostupni zaposleniku na njegov zahtjev za pristupom osobnim podacima. Ali ako su ocjene zaposlenika dane od strane trećeg zaposlenika, podaci o identitetu tog trećeg zaposlenika se ne smiju otkrivati.
I još puno primjera je navedeno u odličnom dokumentu prijedlog Smjernica EDPB (European Data Protection Board) o pravu na pristup osobnim podacima:
Image from Pexels
#gdprcroatia