Prava ispitanika uređena su poglavljem III. Opće uredbe o zaštiti podataka, osobito člancima 12. do 22. Ta prava omogućuju pojedincima veću kontrolu nad vlastitim osobnim podacima, dok voditeljima obrade nameću obvezu da uspostave jasne, učinkovite i dokumentirane postupke za zaprimanje, razmatranje i rješavanje zahtjeva ispitanika.
Voditelj obrade (organizacija koja obrađuje osobne podatke) treba prava ispitanika promatrati kao jedan od ključnih elemenata usklađenosti s Općom uredbom o zaštiti podataka. To znači da mora znati koje osobne podatke obrađuje, u koje svrhe, na temelju kojeg pravnog temelja, gdje se podaci nalaze, kome se dostavljaju, koliko dugo se čuvaju i kako se mogu ispraviti, izbrisati, ograničiti ili prenijeti kada su za to ispunjeni uvjeti.
Opća pravila postupanja po zahtjevima ispitanika
Članak 12. Opće uredbe o zaštiti podataka
Voditelj obrade dužan je ispitaniku pružiti sve informacije i svaku komunikaciju koja se odnosi na obradu osobnih podataka u sažetom, transparentnom, razumljivom i lako dostupnom obliku, uz uporabu jasnog i jednostavnog jezika. To je osobito važno kada se informacije pružaju djeci.
Na zahtjev ispitanika voditelj obrade mora postupiti bez nepotrebnog odgađanja, a najkasnije u roku od mjesec dana od primitka zahtjeva. Taj se rok, prema potrebi, može produljiti za dodatna dva mjeseca ako je zahtjev složen ili ako je zaprimljen veći broj zahtjeva. U tom slučaju voditelj obrade mora ispitanika obavijestiti o produljenju roka u roku od mjesec dana od primitka zahtjeva te navesti razloge produljenja.
Ako voditelj obrade ne postupi po zahtjevu ispitanika, mora ga bez odgađanja, a najkasnije u roku od mjesec dana, obavijestiti o razlozima zbog kojih nije postupio po zahtjevu te o mogućnosti podnošenja pritužbe nadzornom tijelu i traženja sudske zaštite.
Ostvarivanje prava ispitanika u pravilu je besplatno. Iznimno, ako su zahtjevi očito neutemeljeni ili pretjerani, osobito zbog učestalog ponavljanja, voditelj obrade može naplatiti razumnu naknadu ili odbiti postupiti po zahtjevu, ali mora moći dokazati očitu neutemeljenost ili pretjeranost zahtjeva.
Pravo na informiranje
Članci 13. i 14. Opće uredbe o zaštiti podataka
Pravo na informiranje znači da ispitanik mora biti jasno i pravodobno obaviješten o obradi svojih osobnih podataka. Voditelj obrade mora ispitaniku pružiti informacije o svojem identitetu i kontakt podacima, kontakt podacima službenika za zaštitu podataka ako je imenovan, svrhama obrade, pravnom temelju obrade, primateljima ili kategorijama primatelja, razdoblju pohrane podataka, pravima ispitanika te pravu na podnošenje pritužbe nadzornom tijelu.
Ako se osobni podaci prikupljaju neposredno od ispitanika, informacije se pružaju u trenutku prikupljanja podataka, sukladno članku 13. Opće uredbe o zaštiti podataka. Primjerice, poslodavac koji prikuplja podatke kandidata u postupku zapošljavanja mora kandidatu pružiti jasnu obavijest o tome koji se podaci prikupljaju, zašto se prikupljaju, koliko se čuvaju i kome se mogu dostaviti.
Ako osobni podaci nisu prikupljeni od ispitanika, nego iz drugog izvora, primjenjuje se članak 14. Opće uredbe o zaštiti podataka. U tom slučaju voditelj obrade mora ispitaniku, osim osnovnih informacija o obradi, navesti i kategorije osobnih podataka koje obrađuje te izvor iz kojeg osobni podaci potječu. Primjerice, ako organizacija dobije osobne podatke od drugog tijela ili poslovnog partnera, mora provjeriti postoji li obveza informiranja ispitanika o takvoj obradi.
Pravo na pristup osobnim podacima
Članak 15. Opće uredbe o zaštiti podataka
Pravo na pristup omogućuje ispitaniku da od voditelja obrade dobije potvrdu obrađuju li se njegovi osobni podaci. Ako se podaci obrađuju, voditelj obrade mora ispitaniku omogućiti pristup osobnim podacima i pružiti informacije o obradi.
Te informacije uključuju svrhe obrade, kategorije osobnih podataka, primatelje ili kategorije primatelja kojima su podaci otkriveni ili će im biti otkriveni, predviđeno razdoblje pohrane ili kriterije za određivanje tog razdoblja, postojanje prava na ispravak, brisanje, ograničenje obrade i prigovor, pravo na podnošenje pritužbe nadzornom tijelu, izvor podataka ako podaci nisu prikupljeni od ispitanika te informacije o automatiziranom donošenju odluka, uključujući izradu profila, ako se takva obrada provodi.
Voditelj obrade mora ispitaniku dati i kopiju osobnih podataka koji se obrađuju. Prva kopija u pravilu se daje bez naknade, dok se za dodatne kopije može naplatiti razumna naknada na temelju administrativnih troškova. Pri postupanju po zahtjevu za pristup voditelj obrade mora voditi računa da se ostvarivanjem prava jednog ispitanika ne povrijede prava i slobode drugih osoba.
Pravo na ispravak
Članak 16. Opće uredbe o zaštiti podataka
Ispitanik ima pravo zahtijevati ispravak netočnih osobnih podataka koji se na njega odnose. Voditelj obrade dužan je netočne osobne podatke ispraviti bez nepotrebnog odgađanja.
Uzimajući u obzir svrhe obrade, ispitanik ima pravo i na dopunu nepotpunih osobnih podataka, među ostalim davanjem dodatne izjave. To znači da voditelj obrade ne smije zadržavati podatke za koje zna ili bi morao znati da su netočni, osobito ako se ti podaci koriste za donošenje odluka o ispitaniku.
Primjerice, ako korisnik usluge obavijesti organizaciju da je promijenio adresu, prezime ili kontakt podatke, voditelj obrade treba provjeriti zahtjev i, ako je osnovan, ažurirati podatke u relevantnim sustavima i evidencijama.
Pravo na brisanje osobnih podataka
Članak 17. Opće uredbe o zaštiti podataka
Pravo na brisanje, odnosno „pravo na zaborav”, omogućuje ispitaniku da u određenim slučajevima zatraži brisanje osobnih podataka koji se na njega odnose. Voditelj obrade dužan je izbrisati osobne podatke bez nepotrebnog odgađanja ako su ispunjeni uvjeti iz članka 17. Opće uredbe o zaštiti podataka.
To će, primjerice, biti slučaj kada osobni podaci više nisu nužni u odnosu na svrhu za koju su prikupljeni ili obrađeni, kada ispitanik povuče privolu, a ne postoji druga pravna osnova za obradu, kada ispitanik uloži prigovor na obradu i ne postoje jači legitimni razlozi za obradu, kada su osobni podaci nezakonito obrađeni ili kada se podaci moraju izbrisati radi poštovanja pravne obveze.
Međutim, pravo na brisanje nije apsolutno. Voditelj obrade mora provjeriti postoji li razlog zbog kojeg se podaci i dalje smiju ili moraju čuvati, primjerice radi izvršavanja zakonske obveze, obavljanja zadaće od javnog interesa, ostvarivanja prava na slobodu izražavanja i informiranja, razloga javnog interesa u području javnog zdravlja, arhiviranja u javnom interesu, znanstvenog ili povijesnog istraživanja, statističke svrhe ili radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva.
Pravo na ograničenje obrade
Članak 18. Opće uredbe o zaštiti podataka
Pravo na ograničenje obrade znači da ispitanik u određenim slučajevima može zahtijevati da voditelj obrade privremeno ograniči uporabu njegovih osobnih podataka. Ograničenje obrade ne znači nužno brisanje podataka, nego njihovo posebno označavanje i onemogućavanje daljnje aktivne obrade, osim u slučajevima dopuštenima Općom uredbom o zaštiti podataka.
Ispitanik može zatražiti ograničenje obrade ako osporava točnost osobnih podataka, i to tijekom razdoblja koje voditelju obrade omogućuje provjeru točnosti podataka. Ograničenje se može tražiti i kada je obrada nezakonita, ali se ispitanik protivi brisanju podataka, kada voditelju obrade podaci više nisu potrebni, ali ih ispitanik traži radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva, ili kada je ispitanik uložio prigovor na obradu, dok se ne provjeri nadilaze li legitimni razlozi voditelja obrade razloge ispitanika.
Ako je obrada ograničena, podaci se smiju pohranjivati, ali se smiju drukčije obrađivati samo uz privolu ispitanika, radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva, radi zaštite prava druge fizičke ili pravne osobe ili zbog važnog javnog interesa Unije ili države članice.
Obveza obavješćivanja o ispravku, brisanju ili ograničenju obrade
Članak 19. Opće uredbe o zaštiti podataka
Ako voditelj obrade ispravi ili izbriše osobne podatke ili ograniči obradu, dužan je o tome obavijestiti svakog primatelja kojem su osobni podaci otkriveni, osim ako se to pokaže nemogućim ili zahtijeva nerazmjeran napor.
Ova obveza je važna jer prava ispitanika ne smiju ostati ograničena samo na sustav voditelja obrade koji je zaprimio zahtjev. Ako su netočni ili nezakonito obrađeni podaci prethodno dostavljeni drugim primateljima, primjerice izvršiteljima obrade, povezanim društvima ili drugim tijelima, potrebno je osigurati da se ispravak, brisanje ili ograničenje obrade odrazi i kod tih primatelja, kada je to primjenjivo.
Voditelj obrade mora ispitanika, ako on to zatraži, obavijestiti o tim primateljima.
Pravo na prenosivost podataka
Članak 20. Opće uredbe o zaštiti podataka
Pravo na prenosivost podataka omogućuje ispitaniku da primi osobne podatke koje je pružio voditelju obrade u strukturiranom, uobičajeno upotrebljavanom i strojno čitljivom formatu te da te podatke prenese drugom voditelju obrade.
Ovo se pravo primjenjuje samo ako se obrada temelji na privoli ili na ugovoru i ako se obrada provodi automatiziranim putem. Primjerice, korisnik određene digitalne usluge može, ako su ispunjeni uvjeti iz članka 20., zatražiti da mu se njegovi podaci dostave u formatu koji omogućuje prijenos drugom pružatelju usluge.
Kada je to tehnički izvedivo, ispitanik ima pravo zahtijevati da se osobni podaci izravno prenesu od jednog voditelja obrade drugome. Međutim, ostvarivanje prava na prenosivost ne smije negativno utjecati na prava i slobode drugih osoba.
Pravo na prigovor
Članak 21. Opće uredbe o zaštiti podataka
Ispitanik ima pravo uložiti prigovor na obradu osobnih podataka koji se odnose na njega ako se obrada temelji na izvršavanju zadaće od javnog interesa, izvršavanju službene ovlasti voditelja obrade ili legitimnom interesu voditelja obrade ili treće strane.
Nakon zaprimanja prigovora voditelj obrade ne smije više obrađivati osobne podatke, osim ako dokaže da postoje uvjerljivi legitimni razlozi za obradu koji nadilaze interese, prava i slobode ispitanika ili ako je obrada potrebna radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva.
Posebno pravilo vrijedi za izravni marketing. Ako se osobni podaci obrađuju za potrebe izravnog marketinga, ispitanik ima pravo u svakom trenutku uložiti prigovor na takvu obradu, uključujući izradu profila povezanu s izravnim marketingom. U tom slučaju voditelj obrade mora prestati obrađivati osobne podatke u tu svrhu.
Prava povezana s automatiziranim pojedinačnim donošenjem odluka, uključujući izradu profila
Članak 22. Opće uredbe o zaštiti podataka
Ispitanik ima pravo da se na njega ne odnosi odluka koja se temelji isključivo na automatiziranoj obradi, uključujući izradu profila, ako takva odluka proizvodi pravne učinke koji se na njega odnose ili na sličan način značajno utječe na njega.
To znači da voditelj obrade mora posebno pažljivo procijeniti koristi li sustave koji automatski donose odluke o pojedincima, primjerice odluke o odobravanju ili odbijanju zahtjeva, rangiranju, procjeni rizika, pristupu uslugama ili drugim pitanjima koja mogu značajno utjecati na prava i interese ispitanika.
Takvo automatizirano odlučivanje dopušteno je samo u slučajevima propisanima Općom uredbom o zaštiti podataka, primjerice ako je nužno za sklapanje ili izvršenje ugovora, ako je dopušteno pravom Unije ili države članice ili ako se temelji na izričitoj privoli ispitanika. U tim slučajevima voditelj obrade mora osigurati odgovarajuće zaštitne mjere, uključujući najmanje pravo ispitanika na ljudsku intervenciju, pravo na izražavanje vlastitog stajališta i pravo na osporavanje odluke.
Ako se u takvim postupcima obrađuju posebne kategorije osobnih podataka, primjenjuju se dodatna ograničenja i uvjeti iz Opće uredbe o zaštiti podataka.
Što voditelj obrade treba osigurati u praksi
Voditelj obrade treba imati uspostavljen jasan interni postupak za ostvarivanje prava ispitanika. Taj postupak treba obuhvatiti način zaprimanja zahtjeva, provjeru identiteta ispitanika kada je to potrebno, utvrđivanje vrste zahtjeva, provjeru podataka i sustava u kojima se podaci nalaze, uključivanje relevantnih unutarnjih ustrojstvenih jedinica, poštovanje propisanih rokova te dokumentiranje odluke i odgovora ispitaniku.
Također je preporučljivo voditi evidenciju zahtjeva ispitanika, uključujući datum zaprimanja zahtjeva, vrstu zahtjeva, poduzete radnje, rok odgovora, odluku voditelja obrade i eventualne razloge odbijanja ili djelomičnog udovoljavanja zahtjevu.
Učinkovito postupanje po zahtjevima ispitanika jedan je od važnih pokazatelja odgovornosti voditelja obrade. Stoga voditelji obrade trebaju redovito educirati zaposlenike, ažurirati interne procedure i provjeravati jesu li njihovi informacijski sustavi, evidencije i ugovorni odnosi s izvršiteljima obrade organizirani tako da omogućuju pravodobno i zakonito ostvarivanje prava ispitanika.
