Cererile de exercitare a drepturilor persoanelor vizate — Ghid complet pentru RPD

O cerere de exercitare a drepturilor persoanelor vizate este o solicitare formală din partea unei persoane către un operator de date, prin care își exercită dreptul conform Articolului 15 RGPD de a obține confirmarea dacă datele sale cu caracter personal sunt prelucrate și, în caz afirmativ, accesul la aceste date împreună cu informații suplimentare specifice. Orice persoană fizică ale cărei date sunt prelucrate poate depune o cerere de exercitare a drepturilor. Nu există cerințe formale — cererea poate fi făcută verbal, prin e-mail, printr-un formular web sau chiar prin social media. Identitatea solicitantului trebuie verificată, dar organizația nu poate impune bariere nerezonabile pentru depunerea unei cereri. Cererile de exercitare a drepturilor nu se limitează la clienți. Angajații, foștii angajați, candidații la locuri de muncă, vizitatorii site-ului web și chiar contactele de afaceri pot depune astfel de cereri. Pentru organizațiile cu operațiuni semnificative de resurse umane, cererile angajaților sunt adesea cele mai complexe — implicând date distribuite în sistemele de salarizare, arhivele de e-mail, evaluările de performanță și altele.

Termenul standard de răspuns la o cerere de exercitare a drepturilor este de o lună de la primirea cererii — nu o lună de la verificarea identității sau confirmare, ci de la primire. Acest termen se calculează pe lună calendaristică: o cerere primită pe 15 martie este scadentă pe 15 aprilie. Prelungirile sunt posibile în temeiul Articolului 12 alineatul (3) RGPD: dacă cererea este deosebit de complexă sau dacă organizația primește un număr mare de cereri, termenul poate fi prelungit cu două luni suplimentare. Cu toate acestea, operatorul trebuie să informeze persoana vizată despre prelungire în termenul inițial de o lună, inclusiv motivele întârzierii. În practică, majoritatea autorităților de supraveghere privesc cu circumspecție prelungirile utilizate ca practică standard. Ele sunt destinate cazurilor cu adevărat complexe — nu ca o rezervă de timp implicită. Dacă aveți nevoie în mod obișnuit de prelungiri, este un semn că procesul dvs. de gestionare a cererilor necesită îmbunătățiri. Pentru RPD externi care gestionează 15 clienți cu o medie de 3 cereri per client pe an, aceasta înseamnă 45 de termene individuale de urmărit. Urmărirea manuală cu intrări în calendar este predispusă la erori și nu scalează. Un singur termen ratat poate duce la o plângere la ANSPDCP și la deteriorarea reputației atât a clientului, cât și a RPD-ului.

Articolul 15 impune operatorilor să furnizeze următoarele informații ca răspuns la o cerere de exercitare a drepturilor: scopurile prelucrării, categoriile de date cu caracter personal vizate, destinatarii sau categoriile de destinatari, perioada de păstrare preconizată sau criteriile de determinare a acesteia, existența dreptului la rectificare, ștergere sau restricționare, dreptul de a depune o plângere la o autoritate de supraveghere, sursa datelor (dacă nu sunt colectate direct de la persoana vizată) și existența procesului decizional automatizat inclusiv crearea de profiluri. Pe lângă aceste metadate, operatorul trebuie să furnizeze o copie a datelor cu caracter personal prelucrate. Prima copie trebuie furnizată gratuit; pentru copii suplimentare, se poate percepe o taxă administrativă rezonabilă. Răspunsul trebuie furnizat într-un format electronic de uz curent dacă cererea a fost făcută electronic. Trebuie să fie concis, transparent și într-un limbaj clar și simplu — în special dacă persoana vizată este un minor.

Nu orice cerere de exercitare a drepturilor trebuie onorată în totalitate. Articolul 12 alineatul (5) permite operatorilor să refuze cererile care sunt „evident nefondate sau excesive" — de exemplu, cereri repetate de la aceeași persoană fără ca nicio prelucrare nouă să fi avut loc. Sarcina probei că o cerere este evident nefondată revine operatorului. Privilegiul juridic și secretele comerciale pot, de asemenea, limita ceea ce trebuie dezvăluit. Dacă furnizarea unei copii complete a tuturor datelor ar dezvălui algoritmi proprietari, strategii de afaceri sau informații despre alte persoane, operatorul poate redacta sau reține acele informații specifice — dar trebuie totuși să răspundă la cerere în ansamblu. Cererile de exercitare a drepturilor depuse de angajați sunt deosebit de complexe. Ele implică adesea date deținute de multiple departamente (resurse umane, IT, financiar, conducere) și pot include comunicări interne despre angajat. Autoritățile de supraveghere se așteaptă în general ca organizațiile să cerceteze toate sistemele relevante, inclusiv e-mailul, dar discuțiile confidențiale ale conducerii despre restructurare sau acțiuni disciplinare pot fi exceptate în anumite condiții. Când aveți îndoieli, documentați raționamentul pentru orice limitări sau excepții aplicate. Autoritățile de supraveghere sunt mult mai înțelegătoare când un operator poate demonstra un proces decizional atent și documentat decât atunci când întâlnesc refuzuri categorice.