Bruxelles, 20. siječnja – Europski odbor za zaštitu podataka (EDPB) usvojio je Izvješće o provedbi prava ispitanika na pristup. U izvješću je sažet ishod niza koordiniranih nacionalnih mjera provedenih 2024. na temelju Koordiniranog okvira za provedbu (CEF). U njemu se navode problemi koji su uočeni za neke voditelje obrade, zajedno s nizom preporuka kako bi im se pomoglo u provedbi prava na pristup. Središnji je element ove inicijative utvrditi koliko su voditelji obrade upoznati sa Smjernicama EDPB-a 01/2022 o pravima ispitanika – Pravo na pristup i jesu li te smjernice primjenjivali u praksi.
Potpredsjednik Europskog odbora za zaštitu podataka Zdravko Vukíc izjavio je: „Koordinirana provedbena akcija je vrijedna inicijativa koja pomaže u jačanju suradnje među tijelima za zaštitu podataka: usklađenim rješavanjem odabranih tema postiže se veća učinkovitost i dosljednost. Način na koji voditelji obrade provode pravo na pristup u središtu je zaštite podataka i jedno je od prava ispitanika koja se najčešće ostvaruju.”
U koordiniranoj akciji EDPB-a sudjelovala je i Agencija za zaštitu osobnih podataka. Na temelju uvida dobivenih nakon provedenog istraživanja, Agencija će u 2025. godini provesti kampanju podizanja razine svijesti i znanja među voditeljima obrade o tome kako olakšati ispitanicima ostvarivanje njihovog ključnog prava. Ono je temelj transparentnosti i omogućuje pojedincima da dobiju informacije o tome kako se njihovi osobni podaci obrađuju, tko ih obrađuje i u koje svrhe.
Agencija također primjećuje da ispitanici često nisu svjesni ovog prava odnosno da imaju pravo zatražiti od svake organizacije koja obrađuje njihove osobne podatke sve informacije iz članka 15. stavka 1. Opće uredbe o zaštiti podataka kao i kopiju svojih osobnih podataka.
Agencija poziva sve građane da se informiraju o svojim pravima: https://azop.hr/prava-ispitanika/, https://azop.hr/wp-content/uploads/2021/11/Gradani-upoznajte-svoja-prava-8.pdf jer bez građana koji poznaju svoja prava i aktivno rade na njihovom ostvarivanju i zaštiti, regulacija temeljnih prava sama po sebi neće osigurati slobodno, sigurno i napredno društvo u trenucima kada tehnologija ubrzava i pokreće društvenepromjene u sasvim novom smjeru.
Agencija osobito poziva sve voditelje obrade da se informiraju o svojim obvezama: https://arc-rec-project.eu/wp-content/uploads/2021/03/Pravo-ispitanika-na-pristup-osobnim-podacima.pdf; https://www.edpb.europa.eu/system/files/2024-04/edpb_guidelines_202201_data_subject_rights_access_v2_hr.pdf.
Važno je istaknuti da sukladno članku 15. ispitanik ima pravo dobiti od voditelja obrade potvrdu obrađuju li se osobni podaci koji se odnose na njega te ako se takvi osobni podaci obrađuju, pristup osobnim podacima i sljedećim informacijama:
(a) svrsi obrade;
(b) kategorijama osobnih podataka o kojima je riječ;
(c) primateljima ili kategorijama primatelja kojima su osobni podaci otkriveni ili će im biti otkriveni, osobito primateljima u trećim zemljama ili međunarodnim organizacijama;
(d) ako je to moguće, predviđenom razdoblju u kojem će osobni podaci biti pohranjeni ili, ako to nije moguće, kriterijima korištenima za utvrđivanje tog razdoblja;
(e) postojanju prava da se od voditelja obrade zatraži ispravak ili brisanje osobnih podataka ili ograničavanje obrade osobnih podataka koji se odnose na ispitanika ili prava na prigovor na takvu obradu
(f) pravu na podnošenje pritužbe nadzornom tijelu;
(g) ako se osobni podaci ne prikupljaju od ispitanika, svakoj dostupnoj informaciji o njihovu izvoru;
(h) postojanju automatiziranog donošenja odluka, što uključuje izradu profila iz članka 22. stavaka 1. i 4. te, barem u tim slučajevima, smislenim informacijama o tome o kojoj je logici riječ, kao i važnosti i predviđenim posljedicama takve obrade za ispitanika.
Ukoliko ispitanik zatraži od voditelja obradu kopiju svojih osobnih podataka, voditelj obrade je dužan ispitaniku dostaviti kopiju njegovih osobnih podataka bez naplate troškova. Za sve dodatne kopije koje zatraži ispitanik voditelj obrade može naplatiti razumnu naknadu na temelju administrativnih troškova. Ako ispitanik podnese zahtjev elektroničkim putem te osim ako ispitanik zatraži drukčije, informacije se pružaju u uobičajenom elektroničkom obliku.
Tijekom 2024. godine, 30 tijela za zaštitu podataka diljem Europe pokrenulo je koordinirane istrage o usklađenosti voditelja obrade s pravom pristupa pokretanjem službenih istraga, procjenom opravdanosti službene istrage i/ili provedbom postupaka utvrđivanja činjenica. U koordiniranoj provedbenoj akciji sudjelovalo je ukupno 1185 voditelja obrade (malih i srednjih poduzeća, velikih poduzeća aktivnih u različitim industrijama i područjima te tijela javne vlasti).
Područja za unapređenje i glavni izazovi
Rezultati upućuju na to da je voditelje obrade potrebno više informiranosti o Smjernicama 01/2022 o pravu na pristup, i na nacionalnoj razini i na razini EU-a, jer smjernice pomažu voditeljima obrade u provedbi prava na pristup, objašnjavaju kako se može olakšati ostvarivanje tog prava te navode iznimke i ograničenja prava na pristup.
Kao rezultat djelovanja CEF-a za 2024. utvrđeno je sedam izazova. Jedan od njih je nedostatak dokumentiranih internih postupaka za obradu zahtjeva za pristup. Osim toga, uočena su i nedosljedna i pretjerana tumačenja ograničenja prava na pristup, kao što je pretjerano oslanjanje na određene iznimke kako bi se automatski odbili zahtjevi za pristup. Drugi su primjer prepreke s kojima bi se pojedinci mogli susresti pri ostvarivanju svojeg prava na pristup, kao što su formalni zahtjevi ili zahtjev da dostave osobne podatke u prekomjernoj mjeri (primjerice kopije osobnih iskaznica). Za svaki utvrđeni izazov u izvješću se navodi popis neobvezujućih preporuka koje voditelji obrade i tijela za zaštitu podataka trebaju uzeti u obzir.
Pozitivni nalazi
Unatoč postojećim izazovima, dvije trećine uključenih tijela za zaštitu podataka ocijenilo je razinu usklađenosti voditelja obrade koji su odgovorili u pogledu prava na pristup s „prosječne” na „visoku”. Važan čimbenik za koji je utvrđeno da utječe na razinu usklađenosti bila je količina zahtjeva za pristup koje su zaprimili voditelji obrade, kao i veličina organizacije. Konkretnije, veća je vjerojatnost da će veliki voditelji obrade ili voditelji obrade koji primaju više zahtjeva postići višu razinu usklađenosti od malih organizacija s manje resursa.
Pozitivni rezultati uočeni su diljem Europe. To uključuje provedbu najboljih praksi voditelja obrade, kao što su internetski obrasci prilagođeni korisnicima kojima se pojedincima omogućuje jednostavno podnošenje zahtjeva za pristup, kao i samoposlužni sustavi kojima se pojedincima omogućuje samostalno preuzimanje njihovih osobnih podataka u nekoliko klikova i u bilo kojem trenutku.
Kontekst i sljedeći koraci
CEF je ključna mjera Europskog odbora za zaštitu podataka u okviru njegove strategije za razdoblje 2024. 2027., čiji je cilj pojednostavniti provedbu i suradnju među tijelima za zaštitu podataka.
Rezultati tih nacionalnih mjera objedinjuju se i analiziraju zajedno kako bi se dobio bolji uvid u tu temu i omogućilo ciljano praćenje na nacionalnoj razini i razini EU-a.
Europski odbor za zaštitu podataka objavio je 2023. izvješće o svojem prvom koordiniranom djelovanju u pogledu upotrebe usluga u oblaku u javnom sektoru.
EDPB je 2024. objavio i izvješće o ishodu drugog koordiniranog djelovanja u vezi s imenovanjem i položajem službenika za zaštitu podataka.
EDPB-ova koordinirana provedbena akcija za 2025. bit će usmjerena na provedbu prava na brisanje.