EDPB: Rezultati nadzora pravice do dostopa
EDPB je objavil rezultate četrte usklajene akcije, ki se je nanašala na izvajanje pravice posameznikov do dostopa, ki jo izvajajo upravljavci osebnih podatkov
Poročilo je bilo objavljeno 20.1.2025
EDPB je objavil poročilo o nadzoru nad izvajanjem pravice do dostopa s strani upravljavcev, ki povzema rezultate vrste usklajenih nacionalnih ukrepov, izvedenih leta 2024 v okviru usklajenega okvira izvrševanja (»Coordinated Enforcement Framework« - CEF). Navaja težave, ki so bile opažene pri nekaterih upravljavcih, skupaj z vrsto priporočil, ki jim bodo pomagala pri izvajanju pravice do dostopa. Osrednji element poročila je preverjanje, ali upravljavci poznajo vsebino smernic EDPB 01/2022 o pravicah posameznikov – pravica do dostopa in ali so določila teh smernice upoštevali v praksi.
Zdravko Vukíc, namestnik predsednika EDPB, je dejal: „CEF je dragocena pobuda, ki pomaga krepiti sodelovanje med nadzornimi organi za varstvo podatkov (DPA): z usklajenim obravnavanjem izbranih tem dosegajo večjo učinkovitost in doslednost. Kako upravljavci izvajajo pravico do dostopa, je v središču varstva podatkov in je ena najpogosteje uveljavljanih pravic posameznikov, na katere se nanašajo osebni podatki.«
V letu 2024 je 30 nadzornih organov po Evropi sprožilo usklajene preiskave skladnosti upravljavcev glede izvajanja pravice do dostopa z uvedbo formalnih preiskav, ocenjevanjem upravičenosti takih formalnih preiskav in/ali s postopki za ugotavljanje dejstev. Na akcijo se je odzvalo skupno 1.185 upravljavcev, ki jih sestavljajo mala in srednja podjetja (MSP) ter velika podjetja, dejavna v različnih panogah in področjih, ter različne vrste javnih subjektov.
Področja izboljšav in glavni izzivi
Rezultati nakazujejo, da je potrebno več ozaveščanja o Smernicah 01/2022, tako na nacionalni ravni kot na ravni EU, saj smernice upravljavcem pomagajo izvajati pravico do dostopa, pojasnjujejo, kako je mogoče olajšati uveljavljanje te pravice, in navajajo izjeme in omejitve pravica do dostopa.
V okviru postopka je EDPB identificiral sedem izzivov. Eden od njih je pomanjkanje dokumentiranih notranjih postopkov za obravnavanje zahtevkov za dostop. Poleg tega so bile opažene tudi nedosledne in pretirane razlage omejitev pravice do dostopa, kot je pretirano zanašanje na nekatere izjeme za samodejno zavrnitev zahtev za dostop. Drug primer so ovire pri uveljavljanju svoje pravice do dostopa, na primer formaliziranje zahtev ali pretirana postopek identifikacije. Za vsak ugotovljen izziv poročilo vsebuje seznam nezavezujočih priporočil, ki naj jih upoštevajo upravljavci in nadzorni organi.
Pozitivne ugotovitve
Kljub obstoječim izzivom sta dve tretjini sodelujočih nadzornih organov raven skladnosti upravljavcev glede pravice do dostopa ocenili od »povprečne« do »visoke«. Eden od pomembnih dejavnikov, za katerega je bilo ugotovljeno, da vpliva na raven skladnosti, je obseg zahtevkov za dostop, ki so jih prejeli upravljavci, kot tudi velikost organizacije. Natančneje, večji upravljavci ali tisti, ki prejemajo več zahtev, bodo bolj verjetno dosegli višjo raven skladnosti kot majhne organizacije z manj viri. Pozitivne ugotovitve so opazili po vsej Evropi. Ti vključujejo izvajanje najboljših praks s strani upravljavcev, kot so spletni obrazci, ki posameznikom omogočajo preprosto oddajo zahteve za dostop, ter samopostrežni sistemi, ki posameznikom omogočajo samostojen prenos osebnih podatkov z nekaj kliki in kadarkoli.
Poročilo EDPS
Svoje ugotovitve glede izvajanja pravice do dostopa s strani evropskih institucij (EUI)je izpostavil tudi EDPS v petih točkah:
Omejeno število zahtev: Večina EUI prejme 0 do 25 zahtevkov za dostop letno. To je lahko deloma posledica obstoja samopostrežnih orodij, ki posameznikom, zlasti članom osebja EUI, omogočajo prenos svojih osebnih podatkov.
Decentraliziran način ravnanja s podatki: Veliko EUI nima centraliziranih sistemov za upravljanje zahtevkov za dostop, kar vodi do morebitnih nedoslednosti in težav pri dokazovanju skladnosti med revizijami ali sodnimi postopki.
Izzivi pri kategorizaciji zahtev: EUI se soočajo z ovirami pri razlikovanju zahtev za dostop od drugih vrst zahtev, kot je zahteve za dostop do javnih dokumentov ali podajanja pritožb.
Težave s preverjanjem identitete: Preverjanje identitete prosilcev včasih povzroči pretirano ali nepotrebno obdelavo osebnih podatkov, vključno s posebnimi vrstami osebnih podatkov.
Razlaga obveznosti: Praktični izzivi se pojavljajo pri zagotavljanju kopij osebnih podatkov ob usklajevanju te obveznosti z zaščito pravic in svoboščin drugih.
Celotno poročilo je dostopno tukaj
Nslovna slika: Shutterstock
