EDPB: Οδηγός διαχείρισης αιτημάτων πρόσβασης

Στις 28 Ιανουαρίου 2022, το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (εφεξής «ΕΣΠΔ» ή «EDPB») δημοσίευσε σχέδιο κανονιστικών κατευθυντήριων γραμμών (εφεξής «Σχέδιο Κατευθυντήριων Γραμμών») σχετικά με το δικαίωμα των υποκειμένων των δεδομένων να αποκτούν πρόσβαση στα προσωπικά τους δεδομένα σύμφωνα με τον Κανονισμό (ΕΕ) 2016/679 (εφεξής «ΓΚΠΔ»). Η ανάλυση αυτή του ΕΣΠΔ ακολουθείται από γενικές εκτιμήσεις σχετικά με την αξιολόγηση των αιτήσεων πρόσβασης και το πεδίο εφαρμογής του δικαιώματος. Το ΕΣΠΔ παρέχει, επίσης, καθοδήγηση σχετικά με τις πρακτικές λεπτομέρειες της χορήγησης πρόσβασης, καθώς και τους περιορισμούς και τις δεσμεύσεις που επιβάλλει ο ΓΚΠΔ στην άσκησή του. Το παρόν έχει ως στόχο να παρουσιάσει συνοπτικά και εύληπτα τους στόχους και τις παραμέτρους του δικαιώματος, σύμφωνα με το Σχέδιο Κατευθυντήριων Γραμμών του ΕΣΠΔ.

Το δικαίωμα πρόσβασης στον ΓΚΠΔ

Το Σχέδιο Κατευθυντήριων Γραμμών εξετάζει το δικαίωμα πρόσβασης των υποκειμένων των δεδομένων βάσει του άρθρου 15 του ΓΚΠΔ, το οποίο αποτελείται από τρία (3) επιμέρους στοιχεία. Ειδικότερα, όπως προβλέπει ο ΓΚΠΔ, τα υποκείμενα των δεδομένων έχουν το δικαίωμα να λαμβάνουν από τον υπεύθυνο επεξεργασίας:

1. επιβεβαίωση του κατά πόσον πραγματοποιείται ή όχι επεξεργασία των προσωπικών δεδομένων που τους αφορούν,

2. πρόσβαση στα εν λόγω προσωπικά δεδομένα και

3. συγκεκριμένες πληροφορίες σχετικά με την ίδια την επεξεργασία (συμπεριλαμβανομένου του σκοπού της επεξεργασίας δεδομένων, των κατηγοριών προσωπικών δεδομένων και των αποδεκτών και της διάρκειας της επεξεργασίας). Σύμφωνα με το άρθρο 15 ΓΚΠΔ, ο υπεύθυνος επεξεργασίας πρέπει επίσης να παρέχει αντίγραφο των δεδομένων προσωπικού χαρακτήρα που υπόκεινται σε επεξεργασία.

Το δικαίωμα πρόσβασης συνιστά την έκφανση της αρχής της «νομιμότητας, αντικειμενικότητας και διαφάνειας»[1] και έχει σχεδιαστεί για να δώσει στα υποκείμενα των δεδομένων τον έλεγχο των προσωπικών τους δεδομένων, δίνοντάς τους τη δυνατότητα «να γνωρίζουν και να επαληθεύουν τη νομιμότητα της επεξεργασίας». Συνεπώς, το δικαίωμα πρόσβασης αποσκοπεί στο να παρέχει στα υποκείμενα των δεδομένων επαρκείς, διαφανείς και εύκολα προσβάσιμες πληροφορίες σχετικά με την επεξεργασία των προσωπικών τους δεδομένων, ώστε να είναι σε θέση να γνωρίζουν και να επαληθεύουν τη νομιμότητα της επεξεργασίας και την ακρίβεια των προσωπικών δεδομένων που τους αφορούν. Το ΕΣΠΔ τονίζει ότι το δικαίωμα αυτό διευκολύνει τα υποκείμενα των δεδομένων να ασκήσουν άλλα δικαιώματα του ΓΚΠΔ, όπως το δικαίωμα διαγραφής ή εναντίωσης χωρίς ωστόσο η άσκηση του δικαιώματος πρόσβασης να αποτελεί προϋπόθεση για την άσκηση άλλων δικαιωμάτων των υποκειμένων των δεδομένων.

Γενικές εκτιμήσεις σχετικά με την αξιολόγηση των αιτημάτων πρόσβασης

Το ΕΣΠΔ υπογραμμίζει ότι οι υπεύθυνοι επεξεργασίας πρέπει να είναι «προληπτικά έτοιμοι» να χειριστούν τα αιτήματα πρόσβασης και να αξιολογούν κάθε αίτημα ξεχωριστά. Κατά τον χειρισμό ενός αιτήματος πρόσβασης, οι υπεύθυνοι επεξεργασίας πρέπει να εξετάζουν τουλάχιστον τα ακόλουθα ερωτήματα:

Αφορά το αίτημα προσωπικά δεδομένα;

Το πεδίο εφαρμογής του αιτήματος μπορεί να καλύπτει μόνο προσωπικά δεδομένα προσωπικού χαρακτήρα (συμπεριλαμβανομένων των ψευδωνυμοποιημένων δεδομένων), πληροφορίες σχετικά με την ίδια την επεξεργασία και τα δικαιώματα των υποκειμένων των δεδομένων. Αιτήματα σχετικά με άλλα θέματα, συμπεριλαμβανομένων γενικών πληροφοριών σχετικά με τον υπεύθυνο επεξεργασίας, δεν θεωρούνται ως αίτημα πρόσβασης σύμφωνα με το άρθρο 15 ΓΚΠΔ.

Το δικαίωμα πρόσβασης πρέπει επίσης να διακρίνεται από παρόμοια δικαιώματα που προβλέπονται από άλλα νομοθετήματα και αποβλέπουν σε διαφορετικό στόχο, όπως για παράδειγμα το δικαίωμα πρόσβασης σε δημόσια έγγραφα, το οποίο ρυθμίζεται από το άρθρο 5 του ν.2690/1999, όπως ισχύει (εφεξής «ΚΔΔιαδ»).

Ποιο είναι το άτομο που ζητά πρόσβαση;

Το αίτημα πρόσβασης υποβάλλεται από το φυσικό πρόσωπο το οποίο αυτά αφορούν και ασκείται:

1. από τον αιτούντα απευθείας- ή

2. από τρίτο πρόσωπο, κατόπιν χορήγησης σχετικής εξουσιοδότησης. Ο υπεύθυνος επεξεργασίας πρέπει να είναι σε θέση να ταυτοποιήσει το υποκείμενο των δεδομένων που υποβάλλει το αίτημα και να επιβεβαιώσει την ταυτότητα του εν λόγω προσώπου σε περίπτωση αμφιβολίας. Αυτό σημαίνει ότι τα ανώνυμα αιτήματα δεν μπορούν να θεωρηθούν έγκυρα αιτήματα πρόσβασης σύμφωνα με το άρθρο 15 ΓΚΠΔ.

Ο ΓΚΠΔ δεν προβλέπει συγκεκριμένες ενέργειες σε ό,τι αφορά την ταυτοπροσωπία των υποκειμένων των δεδομένων που ζητούν πρόσβαση. Σε περίπτωση εύλογων αμφιβολιών, ο υπεύθυνος επεξεργασίας μπορεί να ζητήσει πρόσθετες πληροφορίες για να επιβεβαιώσει την ταυτότητα του υποκειμένου των δεδομένων, ωστόσο το αίτημα πρέπει να είναι ανάλογο προς το είδος των δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία, τη ζημία που μπορεί να προκληθεί κ.λπ., προκειμένου να αποφευχθεί η δυσανάλογη επεξεργασία δεδομένων.

Εάν η ταυτοποίηση δεν είναι δυνατή με βάση τις πληροφορίες που περιλαμβάνονται στο αίτημα πρόσβασης, ο υπεύθυνος επεξεργασίας οφείλει να ενημερώσει το υποκείμενο των δεδομένων και δικαιούται να απορρίψει το αίτημα, εκτός εάν το υποκείμενο των δεδομένων παράσχει τις πρόσθετες πληροφορίες που απαιτούνται για να καταστεί δυνατή η ταυτοποίηση.

Το αίτημα εμπίπτει στο πεδίο εφαρμογής του άρθρου 15 ΓΚΠΔ;

Ο ΓΚΠΔ δεν περιλαμβάνει τυπικές προϋποθέσεις για τα υποκείμενα των δεδομένων που ζητούν πρόσβαση στα προσωπικά τους δεδομένα. Ο υπεύθυνος επεξεργασίας θα πρέπει να παρέχει στα υποκείμενα των δεδομένων κατάλληλους και φιλικούς προς το χρήστη διαύλους επικοινωνίας που είναι εύχρηστοι. Ωστόσο, τα υποκείμενα των δεδομένων δεν υποχρεούνται να χρησιμοποιούν αυτά τα κανάλια προκειμένου να υποβάλουν αίτημα πρόσβασης.

Τα υποκείμενα των δεδομένων δεν είναι απαραίτητο να αιτιολογούν το αίτημά τους για πρόσβαση: Δεν εναπόκειται στον υπεύθυνο επεξεργασίας να εκτιμήσει κατά πόσον η άσκηση του δικαιώματος πρόσβασης θα είναι πράγματι χρήσιμη για το υποκείμενο των δεδομένων του οποίου υπέβαλε το αίτημα. Ο υπεύθυνος επεξεργασίας θα πρέπει να εξετάσει το αίτημα, εκτός εάν είναι σαφές ότι το αίτημα υποβάλλεται βάσει κανόνων διαφορετικών από τους κανόνες προστασίας δεδομένων. Ως εκ τούτου, προκειμένου να υποβληθεί έγκυρο αίτημα, το ΕΣΠΔ θεωρεί ότι αρκεί τα υποκείμενα των δεδομένων να αναφέρουν ότι επιθυμούν να αποκτήσουν πρόσβαση στα προσωπικά δεδομένα που τα αφορούν, ότι ασκούν το δικαίωμα πρόσβασης ή ότι επιθυμούν να γνωρίζουν τις πληροφορίες που τα αφορούν και τις οποίες επεξεργάζεται ο υπεύθυνος επεξεργασίας. Στο πλαίσιο αυτό, το ΕΣΠΔ συμβουλεύει τους υπευθύνους επεξεργασίας να είναι επιεικείς απέναντι στα πρόσωπα που ασκούν το δικαίωμα πρόσβασης, επειδή τα υποκείμενα των δεδομένων ενδέχεται να μην είναι εξοικειωμένα με τις ιδιαιτερότητες του ΓΚΠΔ, ιδίως όταν το αίτημα υποβάλλεται από ανηλίκους. Σε περίπτωση αμφιβολίας, συνιστάται στον υπεύθυνο επεξεργασίας να ζητήσει από το υποκείμενο των δεδομένων που υποβάλλει το αίτημα να διευκρινίσει το αντικείμενο του αιτήματος.

Υπάρχουν ειδικότερες διατάξεις που ρυθμίζουν το αίτημα πρόσβασης;

Τα υποκείμενα των δεδομένων δεν απαιτείται να διευκρινίζουν στο αίτημά τους αν ζητούν πρόσβαση στα προσωπικά τους δεδομένα βάσει του ΓΚΠΔ ή βάσει κάποιας άλλης (εθνικής ή ενωσιακής) νομοθεσίας. Ωστόσο, εάν το υποκείμενο των δεδομένων διευκρινίσει ότι το αίτημα βασίζεται σε οποιαδήποτε ενωσιακή ή εθνική νομοθεσία που προβλέπει δικαίωμα πρόσβασης σε ορισμένες κατηγορίες δεδομένων, ο υπεύθυνος επεξεργασίας πρέπει να χειριστεί το αίτημα αναλόγως, και αυτό μπορεί να απαιτεί ξεχωριστή απάντηση από την απάντηση σε σχέση με το αίτημα δικαιώματος πρόσβασης (σύμφωνα με το άρθρο 15 ΓΚΠΔ).

Αναφέρεται το αίτημα σε όλα ή μόνο σε τμήματα των δεδομένων που υποβάλλονται σε επεξεργασία σχετικά με το υποκείμενο των δεδομένων;

Ο υπεύθυνος επεξεργασίας πρέπει να εκτιμήσει αν το αίτημα του αιτούντος υποκειμένου των δεδομένων αναφέρεται σε όλα ή σε τμήματα των δεδομένων προσωπικού χαρακτήρα που υπόκεινται σε επεξεργασία σχετικά με το εν λόγω άτομο, και να απαντήσει αναλόγως.

Εκτός εάν αναφέρεται ρητά το αντίθετο, το αίτημα πρόσβασης θα πρέπει να θεωρείται ότι αναφέρεται σε όλα τα προσωπικά δεδομένα που αφορούν το υποκείμενο των δεδομένων. Ο υπεύθυνος επεξεργασίας μπορεί να ζητήσει από το υποκείμενο των δεδομένων να διευκρινίσει το αίτημα εάν επεξεργάζεται μεγάλο όγκο δεδομένων προσωπικού χαρακτήρα. Ωστόσο, εάν το υποκείμενο των δεδομένων απαντήσει ότι ζητά όλα τα προσωπικά δεδομένα που το αφορούν, ο υπεύθυνος επεξεργασίας πρέπει να ικανοποιήσει το αίτημα αυτό «πλήρως». Επιπλέον, το Σχέδιο Κατευθυντήριων Γραμμών δεν προβλέπουν κανενός είδους στάθμισης της αναλογικότητας όσον αφορά την αναζήτηση σχετικών δεδομένων προσωπικού χαρακτήρα, κάτι διαφορετικό καθώς η αναλογικότητα συνιστά βασική αρχή εν γένει στο ενωσιακό δίκαιο.

Όσον αφορά στην παροχή σε ιδιώτες μεγάλου όγκου προσωπικών δεδομένων, το ΕΣΠΔ αναγνωρίζει πλήρως ότι τα αποτελέσματα των αναζητήσεων μπορεί να είναι «πολύ μεγάλα». Σε αυτές τις περιπτώσεις, το ΕΣΠΔ προτείνει στους υπευθύνους επεξεργασίας να παρέχουν στα υποκείμενα των δεδομένων τα προκύπτοντα προσωπικά δεδομένα σε πολυεπίπεδη μορφή (π.χ. λύσεις που επιτρέπουν στα υποκείμενα των δεδομένων να επιλέξουν να δουν ένα ή περισσότερα επίπεδα πληροφοριών).

Πρακτικές λεπτομέρειες της παροχής πρόσβασης σε δεδομένα προσωπικού χαρακτήρα

Το Σχέδιο Κατευθυντηρίων Γραμμών περιέχει επίσης ορισμένες πρακτικές συστάσεις σχετικά με τους διάφορους τρόπους με τους οποίους οι υπεύθυνοι επεξεργασίας μπορούν να χορηγούν πρόσβαση σε δεδομένα προσωπικού χαρακτήρα. Για παράδειγμα, παρέχει καθοδήγηση σχετικά με:

• Πώς ο υπεύθυνος επεξεργασίας μπορεί να ανακτήσει τα αιτούμενα προσωπικά δεδομένα (το οποίο μπορεί να εξαρτάται από τον τρόπο διάρθρωσης των δεδομένων προσωπικού χαρακτήρα),
• Διάφορα πιθανά μέσα χορήγησης πρόσβασης - τα οποία σε ορισμένες περιπτώσεις μπορεί να περιλαμβάνουν την προφορική παροχή πληροφοριών, την επιθεώρηση αρχείων ή την χορήγηση απομακρυσμένης πρόσβασης σε δεδομένα προσωπικού χαρακτήρα,
• Τρόπους διασφάλισης ότι τα δεδομένα προσωπικού χαρακτήρα παρέχονται σε «συνοπτική, διαφανή, κατανοητή και εύκολα προσβάσιμη μορφή», όπως με τη συμπερίληψη πρόσθετων πληροφοριών που εξηγούν τα παρεχόμενα δεδομένα προσωπικού χαρακτήρα.

Περιορισμοί του δικαιώματος πρόσβασης

Το δικαίωμα πρόσβασης υπόκειται στους περιορισμούς που απορρέουν από το άρθρο 15 παράγραφος 4 του ΓΚΠΔ (το οποίο προστατεύει τα δικαιώματα και τις ελευθερίες των άλλων) και το άρθρο 12 παράγραφος 5 του ΓΚΠΔ (το οποίο διέπει τα «προδήλως αβάσιμα ή υπερβολικά» αιτήματα). Επιπλέον, το Σχέδιο Κατευθυντηρίων Γραμμών υπογραμμίζει ότι οι υπεύθυνοι επεξεργασίας πρέπει να λαμβάνουν υπόψη τους περαιτέρω περιορισμούς του δικαιώματος πρόσβασης που περιέχονται στην ενωσιακή νομοθεσία ή των κρατών μελών της ΕΕ, σύμφωνα με το άρθρο 23 ΓΚΠΔ, όπως οι περιορισμοί που προβλέπει ο ν.4624/2019, όπως ισχύει και ειδικότερα τα άρθρα 29,30,33 και 55.

Δικαιώματα και ελευθερίες των άλλων

Το άρθρο 15 παράγραφος 4 του ΓΚΠΔ ορίζει ότι το δικαίωμα λήψης αντιγράφου δεδομένων προσωπικού χαρακτήρα δεν πρέπει να θίγει τα δικαιώματα και τις ελευθερίες άλλων.

Αυτό απαιτεί, σύμφωνα με το Σχέδιο Κατευθυντηρίων Γραμμών, μια καθορισμένη στάθμιση των εν λόγω δικαιωμάτων, με απώτερο στόχο την παροχή πρόσβασης σε δεδομένα προσωπικού χαρακτήρα, αλλά την επεξεργασία των δεδομένων για την προστασία των δικαιωμάτων του εν λόγω άλλου προσώπου. Το ΕΣΠΔ κρίνει επίσης ότι τα «οικονομικά συμφέροντα» δεν αποτελούν έγκυρο κριτήριο σε τέτοιες περιπτώσεις (εφόσον δεν εμπλέκονται δικαιώματα πνευματικής ιδιοκτησίας).

Ωστόσο, το ΕΣΠΔ υπογραμμίζει ότι ο υπεύθυνος επεξεργασίας δεν μπορεί να επικαλεστεί αυτές τις εκτιμήσεις για να δικαιολογήσει την απόρριψη του αιτήματος συνολικά, αλλά μόνο για να δικαιολογήσει την παράλειψη ή την αφαίρεση των τμημάτων των δεδομένων προσωπικού χαρακτήρα που ενδέχεται να επηρεάσουν αρνητικά τα δικαιώματα και τις ελευθερίες άλλων.

Προφανώς αβάσιμα ή υπερβολικά αιτήματα

Το άρθρο 12 παράγραφος 5 του ΓΚΠΔ επιτρέπει στους υπευθύνους επεξεργασίας να απορρίπτουν ή να χρεώνουν εύλογο τέλος για αιτήματα που θεωρούν «προδήλως αβάσιμα ή υπερβολικά».

Το ΕΣΠΔ σημειώνει ότι ένα αίτημα είναι «προδήλως αβάσιμο» εάν οι απαιτήσεις του άρθρου 15 ΓΚΠΔ δεν πληρούνται αντικειμενικά, σαφώς και προφανώς. Ένα αίτημα δεν πρέπει να θεωρείται προδήλως αβάσιμο;

• επειδή το υποκείμενο των δεδομένων έχει υποβάλει στο παρελθόν αιτήματα που ήταν προδήλως αβάσιμα ή υπερβολικά- ή
• εάν το αίτημα περιλαμβάνει αυτό που το ΕΣΠΔ αναφέρει ως «μη αντικειμενική ή ακατάλληλη γλώσσα».

Το αν ένα αίτημα είναι «υπερβολικό» ή όχι εξαρτάται από τις συγκεκριμένες περιστάσεις του αιτήματος. Η υπερβολή συνδέεται συνήθως με την επαναληψιμότητα  των αιτημάτων, καθώς και με το κατά πόσον το υποκείμενο των δεδομένων υποβάλλει αιτήματα σε εύλογα χρονικά διαστήματα. Το Σχέδιο Κατευθυντήριων Γραμμών σημειώνει ότι ο υπεύθυνος επεξεργασίας θα μπορούσε να εξετάσει (υπό το πρίσμα των εύλογων προσδοκιών του υποκειμένου των δεδομένων):

• Πόσο συχνά μεταβάλλονται τα δεδομένα προσωπικού χαρακτήρα,
• Τη φύση των δεδομένων προσωπικού χαρακτήρα,
• Τους σκοπούς της επεξεργασίας, και
• Κατά πόσον τα επακόλουθα αιτήματα αφορούν το ίδιο είδος πληροφοριών ή δραστηριοτήτων επεξεργασίας ή διαφορετικά.

Το ΕΣΠΔ τονίζει περαιτέρω ότι οι έννοιες αυτές πρέπει να ερμηνεύονται στενά, καθώς δεν πρέπει να υπονομεύονται οι αρχές της διαφάνειας και των δικαιωμάτων των υποκειμένων των δεδομένων χωρίς κόστος.

Συμπέρασμα

Το Σχέδιο Κατευθυντήριων Γραμμών υιοθετεί μια σχετικά διασταλτική ερμηνεία του δικαιώματος πρόσβασης, ιδίως τη θέση ότι το δικαίωμα πρόσβασης δεν περιορίζεται από την στάθμιση της αναλογικότητας κάτι το οποίο ενδέχεται να δημιουργήσει αντιδράσεις και προβλήματα καθώς αντίκειται εν πολλοίς στο ενωσιακό δίκαιο.

Σε κάθε περίπτωση, οι Υπεύθυνοι Επεξεργασίας πρέπει να διασφαλίσουν ότι έχουν αναπτύξει και υιοθετήσει εσωτερικές διαδικασίες για την διεκπεραίωση αιτημάτων για να δύνανται να ανταποκρίνονται προσηκόντως και εμπροθέσμως σε κάθε είδους αίτημα, συμπεριλαμβανομένου και του αιτήματος πρόσβασης από υποκείμενα των δεδομένων όπως λ.χ. τους υπαλλήλους, πρώην υπαλλήλους, πελάτες, προμηθευτές, μέλη (αν πρόκειται για κόμμα, συνδικαλιστική οργάνωση, θρησκευτικό φορέα κ.ο.κ.). Υπενθυμίζεται ότι παραβίαση του δικαιώματος μπορεί να οδηγήσει σε έκθεση σε αστική και διοικητική ευθύνη. Η τελευταία δε μπορεί να φτάσει και τα 20.000.000 € ή (σε περίπτωση επιχείρησης) το 4% του παγκόσμιου κύκλου εργασιών του προηγούμενου έτους.

[1] Άρθρο 5 παρ. 1 ΓΚΠΔ