Comitetul European pentru Protecția Datelor identifică provocările la punerea în aplicare a dreptului de acces la datele cu caracter personal

La data de 20 ianuarie, Comitetul European pentru Protecția Datelor (EDPB) a adoptat un raport privind punerea în aplicare a dreptului de acces la datele cu caracter personal de către operatorii de date. Raportul sintetizează rezultatul unei serii de acțiuni naționale coordonate, desfășurate pe parcursul anului 2024 în temeiul Cadrului coordonat de aplicare a legii (CEF). Acesta enumeră problemele care au fost observate în cazul anumitor operatori de date, împreună cu o serie de recomandări pentru a-i ajuta să pună în aplicare dreptul de acces la datele cu caracter personal. Un element fundamental este cunoașterea de către operatori a Orientărilor EDPB 01/2022 privind drepturile persoanelor vizate – Dreptul de acces și dacă aceste orientări au fost respectate în practică.

CEF este o inițiativă valoroasă care contribuie la consolidarea cooperării între autoritățile de protecție a datelor (APD), abordând subiecte selectate într-un mod coordonat și obținând o mai mare eficiență în aplicarea legii. Pe parcursul anului 2024, 30 de APD-uri din întreaga Europă au demarat investigații coordonate privind respectarea dreptului de acces la datele cu caracter personal de către operatori, prin demararea de investigații oficiale, prin evaluarea necesității unei investigații oficiale și/sau prin desfășurarea de exerciții de stabilire a faptelor.  În total, 1 185 de operatori, constând din întreprinderi mici și mijlocii (IMM-uri) și companii mari active în diferite industrii și domenii, precum și diferite tipuri de entități publice, au răspuns la acțiune.

Rezultatele sugerează că este necesară o mai mare sensibilizare cu privire la Orientările EDPB 01/2022 privind drepturile persoanelor vizate, atât la nivelul fiecărui stat în parte, cât și la nivelul UE, deoarece acestea ajută operatorii să pună în aplicare dreptul de acces la datele cu caracter personal, explică modul în care exercitarea acestui drept poate fi facilitată și enumeră excepțiile și limitările dreptului de acces.

Ca urmare a acțiunii CEF 2024, au fost identificate șapte provocări. Una dintre acestea este lipsa unor proceduri interne documentate pentru gestionarea cererilor de acces la datele cu caracter personal. În plus, au fost observate și interpretări inconsecvente și excesive ale restricțiilor dreptului de acces, cum ar fi invocarea excesivă a anumitor excepții pentru a refuza automat cererile de acces. Un alt exemplu este reprezentat de barierele pe care persoanele le-ar putea întâmpina atunci când își exercită dreptul de acces, cum ar fi cerințele formale sau solicitarea de a furniza documente de identificare excesive. Pentru fiecare provocare identificată, raportul oferă o listă de recomandări, fără caracter obligatoriu, care trebuie luate în considerare de către operatorii de date și de către APD-uri.

CEF este o acțiune-cheie a EDPB în cadrul strategiei sale 2024-2027, care vizează armonizarea măsurilor de aplicare a legii și cooperarea între APD-uri. Acțiunea CEF 2025 se va referi la punerea în aplicare a dreptului la ștergerea datelor.