Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων επιχειρεί να αναλύσει τις πολλαπλές πτυχές του σημαντικότερου δικαιώματος στο δίκαιο προστασίας των προσωπικών δεδομένων και να παράσχει οδηγίες και καλές πρακτικές σχετικά με τον τρόπο, τον χρόνο και την έκταση ικανοποίησής του
Μετά από διαδικασία διαβούλευσης που διήρκεσε περισσότερο από έναν χρόνο, το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (ΕΣΠΔ) ενέκρινε και δημοσίευσε το τελικό κείμενο των Κατευθυντηρίων Γραμμών 1/2022 για το δικαίωμα πρόσβασης.
Πρόκειται για ένα από τα σημαντικότερα κείμενα κατευθύνσεων που έχουν εκδοθεί από το ΕΣΠΔ, καθώς σε αυτό εξετάζονται όλες οι κρίσιμες παράμετροι του σημαντικότερου δικαιώματος που αναγνωρίζει η νομοθεσία για την προστασία των προσωπικών δεδομένων στα υποκείμενα των δεδομένων.
Το δικαίωμα πρόσβασης προβλέπεται στο άρθρο 15 ΓΚΠΔ και συνίσταται στο δικαίωμα κάθε φυσικού προσώπου να ζητεί και να λαμβάνει πληροφόρηση από τον υπεύθυνο επεξεργασίας ως προς το κατά πόσον προσωπικά δεδομένα του υφίστανται επεξεργασία, καθώς και ενημέρωση για σειρά ειδικότερων πληροφοριών που ρητώς προσδιορίζονται στην παράγραφο 1 του άρθρου. Παράλληλα, μέσω του δικαιώματος πρόσβασης, το φυσικό πρόσωπο – υποκείμενο των δεδομένων δύναται να ζητήσει και τη χορήγηση αντιγράφου των δεδομένων του αυτών.
Υπό την έννοια αυτή, το δικαίωμα πρόσβασης συναρτάται στενά με την αρχή και υποχρέωση διαφάνειας του άρθρου 5 ΓΚΠΔ και την εν γένει νομιμότητα της επεξεργασίας των δεδομένων, ενώ μπορεί να αποτελέσει και το πρώτο βήμα για την άσκηση των υπολοίπων δικαιωμάτων του υποκειμένου, όπως των δικαιωμάτων στην εναντίωση ή τη διαγραφή.
Η σπουδαιότητά του αυτή αποτυπώνεται στις δεκάδες αποφάσεις δικαστηρίων και εποπτικών αρχών επί υποθέσεων πλημμελούς ή καθυστερημένης ανταπόκρισης του υπευθύνου επεξεργασίας ή και πλήρους άρνησης ικανοποίησης του δικαιώματος, καθώς και στις πολλές αιτήσεις προδικαστικής απόφασης που έχουν υποβληθεί και εκκρεμούν ενώπιον του Δικαστηρίου της Ευρωπαϊκής Ένωσης ως προς τα ειδικότερα όρια του δικαιώματος αυτού.
Στην εισαγωγή των Κατευθυντηρίων Γραμμών 1/2022, το ΕΣΠΔ παρατηρεί ότι:
Στη σημερινή κοινωνία, τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία από δημόσιους και ιδιωτικούς φορείς, κατά τη διάρκεια πολλών δραστηριοτήτων, για ένα ευρύ φάσμα σκοπών και με πολλούς διαφορετικούς τρόπους. Τα άτομα μπορεί συχνά να βρίσκονται σε μειονεκτική θέση όσον αφορά την κατανόηση του τρόπου επεξεργασίας των προσωπικών τους δεδομένων, συμπεριλαμβανομένης της τεχνολογίας που χρησιμοποιείται στη συγκεκριμένη περίπτωση, είτε πρόκειται για ιδιωτικό είτε για δημόσιο φορέα. Για την προστασία των δεδομένων προσωπικού χαρακτήρα των φυσικών προσώπων σε αυτές τις περιπτώσεις, ο ΓΚΠΔ δημιούργησε ένα συνεκτικό και ισχυρό νομικό πλαίσιο, γενικής εφαρμογής όσον αφορά τους διάφορους τύπους επεξεργασίας, συμπεριλαμβανομένων ειδικών διατάξεων σχετικά με τα δικαιώματα των υποκειμένων των δεδομένων.
Το δικαίωμα πρόσβασης στα δεδομένα προσωπικού χαρακτήρα είναι ένα από τα δικαιώματα των υποκειμένων των δεδομένων που προβλέπονται στο κεφάλαιο ΙΙΙ του ΓΚΠΔ μεταξύ άλλων δικαιωμάτων, όπως το δικαίωμα διόρθωσης και διαγραφής, το δικαίωμα περιορισμού της επεξεργασίας, το δικαίωμα φορητότητας, το δικαίωμα εναντίωσης ή το δικαίωμα να μην υπόκεινται σε αυτοματοποιημένη ατομική λήψη αποφάσεων, συμπεριλαμβανομένης της κατάρτισης προφίλ. Το δικαίωμα πρόσβασης του υποκειμένου των δεδομένων κατοχυρώνεται τόσο στον Χάρτη των Θεμελιωδών Δικαιωμάτων της ΕΕ όσο και στο άρθρο 15 ΓΚΠΔ, όπου διατυπώνεται επακριβώς ως δικαίωμα πρόσβασης σε δεδομένα προσωπικού χαρακτήρα και σε άλλες συναφείς πληροφορίες.
Σύμφωνα με τον ΓΚΠΔ, το δικαίωμα πρόσβασης αποτελείται από τρεις συνιστώσες, ήτοι την επιβεβαίωση του κατά πόσον γίνεται ή όχι επεξεργασία δεδομένων προσωπικού χαρακτήρα, την πρόσβαση σε αυτά και την ενημέρωση σχετικά με την ίδια την επεξεργασία. Το υποκείμενο των δεδομένων μπορεί επίσης να λάβει αντίγραφο των δεδομένων που τυγχάνουν επεξεργασίας, ενώ η δυνατότητα αυτή δεν αποτελεί πρόσθετο δικαίωμα του υποκειμένου των δεδομένων αλλά τον τρόπο παροχής πρόσβασης στα δεδομένα. Έτσι, το δικαίωμα πρόσβασης μπορεί να νοηθεί τόσο ως η δυνατότητα του υποκειμένου των δεδομένων να ζητήσει από τον υπεύθυνο επεξεργασίας να πληροφορηθεί εάν υποβάλλονται σε επεξεργασία δεδομένα που το αφορούν όσο και ως η δυνατότητα πρόσβασης και επαλήθευσης των δεδομένων αυτών. Ο υπεύθυνος επεξεργασίας παρέχει στο υποκείμενο των δεδομένων, βάσει του αιτήματός του, τις πληροφορίες που εμπίπτουν στο πεδίο εφαρμογής του άρθρου 15 παράγραφοι 1 και 2 ΓΚΠΔ.
Ο πρακτικός στόχος του δικαιώματος πρόσβασης είναι να επιτρέψει στα φυσικά πρόσωπα να έχουν τον έλεγχο των προσωπικών δεδομένων τους. Προκειμένου να υλοποιηθεί αυτός ο στόχος αποτελεσματικά στην πράξη, ο ΓΚΠΔ αποσκοπεί στη διευκόλυνση αυτής της άσκησης με αριθμό εγγυήσεων που επιτρέπουν στο υποκείμενο των δεδομένων να ασκεί το δικαίωμα εύκολα, χωρίς περιττούς περιορισμούς, σε εύλογα χρονικά διαστήματα και χωρίς υπερβολική καθυστέρηση ή έξοδα. Όλα αυτά θα πρέπει να οδηγήσουν στην αποτελεσματικότερη εφαρμογή του δικαιώματος πρόσβασης του υποκειμένου των δεδομένων στην ψηφιακή εποχή, μέρος του οποίου υπό την ευρύτερη έννοια είναι και το δικαίωμα του υποκειμένου των δεδομένων να υποβάλει καταγγελία στην εποπτική αρχή ή το δικαίωμα αποτελεσματικής δικαστικής προστασίας.
Όσον αφορά την εξέλιξη του δικαιώματος πρόσβασης, ως μέρος του νομικού πλαισίου προστασίας δεδομένων, πρέπει να τονιστεί ότι αυτό αποτελεί στοιχείο του ευρωπαϊκού πλαισίου προστασίας δεδομένων ήδη από τις απαρχές του. Σε σύγκριση με την οδηγία 95/46/ΕΚ, το επίπεδο των δικαιωμάτων των υποκειμένων των δεδομένων που ορίζονται στον ΓΚΠΔ έχει βελτιωθεί αλλά και ενισχυθεί- αυτό ισχύει και για το δικαίωμα πρόσβασης. Καθώς οι λεπτομέρειες του δικαιώματος πρόσβασης προσδιορίζονται πλέον με μεγαλύτερη ακρίβεια στον ΓΚΠΔ, το δικαίωμα αυτό είναι πιο επεξηγηματικό από άποψη ασφάλειας δικαίου τόσο για το υποκείμενο των δεδομένων όσο και για τον υπεύθυνο επεξεργασίας. Εξάλλου, η συγκεκριμένη διατύπωση του άρθρου 15, καθώς και η ακριβής προθεσμία για την παροχή των δεδομένων άρθρου 12 παράγραφος 3 ΓΚΠΔ, υποχρεώνουν τον υπεύθυνο επεξεργασίας να είναι προετοιμασμένος για τα αιτήματα των υποκειμένων των δεδομένων, αναπτύσσοντας διαδικασίες για τη διεκπεραίωσή τους.
Το δικαίωμα πρόσβασης δεν πρέπει να ιδωθεί ως δικαίωμα απομονωμένο, καθώς συνδέεται στενά με άλλες διατάξεις του ΓΚΠΔ, ιδίως με τις αρχές της προστασίας των δεδομένων, συμπεριλαμβανομένων της θεμιτής και νόμιμης επεξεργασίας, της υποχρέωσης διαφάνειας, αλλά και με τα υπόλοιπα δικαιώματα των υποκειμένων των δεδομένων που προβλέπονται στο κεφάλαιο ΙΙΙ του ΓΚΠΔ.
Το ΕΣΠΔ θεωρεί πως είναι απαραίτητο να δοθούν ακριβέστερες οδηγίες σχετικά με τον τρόπο με τον οποίο πρέπει να εφαρμόζεται το δικαίωμα πρόσβασης σε διάφορες καταστάσεις. Οι παρούσες κατευθυντήριες γραμμές αποσκοπούν στην ανάλυση των διαφόρων πτυχών του δικαιώματος πρόσβασης.
Οι Κατευθυντήριες Γραμμές 1/2022 είναι διαθέσιμες στα αγγλικά.