Diritti dell'interessato e diritto all'informazione GDPR
Secondo l'esperienza di un responsabile della protezione dei dati, la richiesta di informazioni ai sensi dell'art. 15 del GDPR è il diritto dell'interessato più frequentemente utilizzato ai sensi del Regolamento generale sulla protezione dei dati, insieme al diritto alla cancellazione (art. 17 del GDPR) o al diritto di opporsi alla pubblicità (art. 21 (2), (3) del GDPR).
Il diritto di accesso ha il vantaggio per il richiedente/interessato di poter ottenere, con una semplice richiesta, quasi tutte le informazioni sul trattamento dei dati personali che un'azienda possiede su tale soggetto. La richiesta di informazioni crea la trasparenza per l'interessato in termini di trattamento dei dati che la protezione dei dati ai sensi del GDPR mira a raggiungere.
Tuttavia, ciò può comportare notevoli difficoltà organizzative per le aziende. Il primo ostacolo è la quantità e la varietà di informazioni che devono essere fornite. Il GDPR stabilisce esattamente quali informazioni l'interessato deve ricevere sui "suoi" dati:
- le finalità del trattamento dei dati personali;
- le categorie di dati trattati (ad esempio, nome, data di nascita, hobby, ecc.);
- Destinatari o categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se i destinatari si trovano al di fuori dell'UE;
- ove possibile, il periodo previsto per la conservazione dei dati personali o, se non è possibile, i criteri utilizzati per determinare tale periodo;
- l'esistenza di altri diritti dell'interessato, in particolare il diritto alla rettifica o alla cancellazione, il diritto alla limitazione del trattamento e il diritto di opposizione;
- il diritto di presentare un reclamo all'autorità di controllo competente;
- se i dati personali non sono stati raccolti presso l'interessato, tutte le informazioni disponibili sull'origine dei dati;
- l'esistenza di un processo decisionale automatizzato, compresa la profilazione e, in questi casi, informazioni significative sulla logica coinvolta nella profilazione e sulla portata e l'impatto previsto di questa misura sull'interessato.
Questa combinazione di requisiti legali e pressione temporale può rendere le richieste di informazioni un rischio considerevole per le aziende.
Se le informazioni non vengono fornite in tempo o sono incomplete, un soggetto insoddisfatto può presentare rapidamente un reclamo all'autorità di controllo. Nel peggiore dei casi, ciò può portare a una multa per l'azienda.
Per questi motivi, un'azienda responsabile deve essere preparata in anticipo ad affrontare una richiesta di informazioni.
Come primo passo, è necessario creare un punto di contatto centrale. Le richieste di informazioni ricevute nel posto sbagliato e che circolano in azienda per giorni possono accorciare notevolmente il tempo rimanente del periodo di un mese. Il responsabile della protezione dei dati è ovviamente un buon punto di contatto. Se non è stato nominato un responsabile della protezione dei dati, un'altra persona deve assumersi questo compito. Naturalmente, è importante informare tutti i colleghi di questo punto di contatto. Questo punto di contatto centrale ha anche il compito di verificare l'identità del richiedente. Se non è certo che il richiedente sia chi dice di essere, l'azienda può chiedere ulteriori informazioni. Solo quando si è certi che si tratta della persona giusta si può procedere.
Il passo successivo consiste nel creare un processo che consenta di raccogliere tutte le informazioni necessarie nel più breve tempo possibile. Questo può essere fatto con l'aiuto dei dipendenti che sanno dove trovare le informazioni necessarie, come i capi reparto o il personale informatico. Questo approccio naturalmente impegna il personale. A seconda della complessità dell'infrastruttura da cui devono essere estratte le informazioni, diversi colleghi potrebbero essere impegnati per settimane a raccogliere le informazioni necessarie.
Richiesta di informazioni tramite 2B Advice PrIME
Un'altra opzione è una soluzione supportata da software. 2B Advice PrIME può essere utilizzato per rispondere prontamente a una richiesta di informazioni ed elaborarla all'interno dell'azienda. In 2B Advice PrIME, le richieste possono essere ricevute centralmente tramite un sistema di ticket e create come ticket. È possibile definire e memorizzare flussi di lavoro separati per ogni tipo di richiesta di protezione dei dati (informazioni, cancellazione, rettifica, annullamento, ecc.). In questo modo, i processi aziendali possono essere mappati in 2B Advice PrIME.
Un flusso di lavoro assegna le misure ai singoli dipendenti dell'azienda, che vengono elaborate dal rispettivo dipendente. L'azienda ha sempre una panoramica dello stato di elaborazione della richiesta di informazioni e può intervenire in qualsiasi momento in caso di problemi.
Grazie a questa elaborazione supportata dal software, tutte le fasi della richiesta di informazioni possono essere sempre documentate. In una misura, è possibile stabilire una scadenza interna entro la quale le informazioni devono essere fornite. Il punto di contatto centrale può utilizzare le scadenze per garantire che la richiesta di informazioni venga elaborata entro i termini di legge. 2B Advice PrIME dispone anche di ampie funzioni di reporting che consentono di monitorare le richieste di protezione dei dati. La possibilità di documentare completamente questo processo vi consente di dimostrare di aver fatto tutto ciò che la legge richiede in caso di controversia con l'interessato. Questo vi permette anche di soddisfare il requisito di responsabilità imposto alle aziende dall'art. 5 comma 2 del GDPR in materia di protezione dei dati.
Le funzioni di 2B Advice PrIME forniscono ai dipendenti un supporto ottimale nell'elaborazione delle richieste. Ciò significa che le richieste di informazioni sono sempre sotto controllo centrale e il rischio di sanzioni è ridotto al minimo.
Conclusione della richiesta di informazioni
Con il diritto all'informazione, l'interessato ha anche diritto a una copia di tali informazioni. Tuttavia, ciò non deve essere inteso in modo da consentire all'interessato di "accedere" a tutti i dati personali. Ad esempio, non possono essere divulgati dati che riguardano persone diverse dal richiedente o segreti aziendali interni. Anche per questo motivo, è necessario predisporre un processo accurato che impedisca anche la trasmissione di dati non autorizzati al richiedente.
Una volta completato il processo e compilate tutte le informazioni necessarie, l'autorità di vigilanza della Renania Settentrionale-Vestfalia ritiene che queste debbano essere inviate al richiedente solo per posta. L'invio per e-mail è troppo insicuro. Tuttavia, se avete adottato misure per garantire la sicurezza del trasferimento elettronico dei dati, anche questo metodo può essere consentito.