EDPB mengeluarkan pedoman tentang hak akses berdasarkan Pasal 15 GDPR | Putih & Kasus LLP

Kilat Berita Teknologi Putih & Kasing

Pada tanggal 18 Januari 2022, Badan Perlindungan Data Eropa (“EDPB”) mengeluarkan Pedoman 01/2022 tentang hak subjek data – Hak akses (“Draf Pedoman”), yang menguraikan interpretasinya terhadap Pasal 15 GDPR di sebelah kanan subjek data untuk meminta akses ke, atau salinan, data dan informasi pribadi mereka tentang pemrosesan data dari pengontrol yang relevan. Secara keseluruhan, EDPB mengadopsi perluasan hak akses yang berpotensi meningkatkan beban interpretasi pengontrol saat menanggapi permintaan akses subjek data (“DSAR”). Draf Pedoman saat ini dalam bentuk draf untuk konsultasi publik, dan komentar dapat disampaikan ke EDPB sampai dengan 11 Maret 2022.

Substansi Rancangan Pedoman

Lingkup Permintaan Subjek Data

Draft Pedoman menetapkan bahwa DSAR harus dipahami mencakup “semua data pribadi mengenai subjek data” kecuali secara eksplisit dibatasi oleh subjek data yang meminta. Rancangan Pedoman juga mengarahkan pengontrol “untuk memberikan efek seluas-luasnya pada hak akses” dan untuk memberikan “akses lengkap ke informasi yang diminta.” Frasa ini memberikan interpretasi yang luas tentang hak akses yang kemungkinan akan membebankan kewajiban signifikan pada pengontrol (terutama perusahaan teknologi yang memproses data dalam jumlah besar) dalam menanggapi DSAR.

Draf Pedoman menjelaskan bahwa, di mana pengontrol memproses sejumlah besar data mengenai subjek data yang meminta sedemikian rupa sehingga memberikan semua data pribadi akan menciptakan “limpahan informasi” yang tidak dapat ditangani oleh subjek data secara efektif, pengontrol dapat meminta subjek data untuk menentukan ruang lingkup permintaan dan mengidentifikasi informasi atau pemrosesan spesifik yang terkait dengan permintaan sebelum mengirimkan informasi.

Draft Pedoman juga mencatat bahwa dalam menanggapi DSAR yang meminta informasi tentang pemrosesan data, seperti tujuan pemrosesan, mungkin tidak cukup bagi pengontrol untuk hanya merujuk pada informasi relevan yang dibingkai dalam istilah umum dalam kebijakan privasi mereka. Sebagai gantinya, untuk mematuhi Pasal 15(1)(a)-(h) GDPR, dalam keadaan tertentu, pengontrol mungkin perlu secara khusus menyesuaikan informasi yang diminta untuk setiap subjek data yang meminta, “kecuali jika informasi yang disesuaikan sama dengan informasi umum” dalam kebijakan privasi. Bergantung pada ukuran dan sifat pengontrol, persyaratan informasi yang disesuaikan tentang pemrosesan data sebagai respons terhadap DSAR akan menciptakan beban yang signifikan bagi perusahaan untuk mematuhi Pasal 15 GDPR.

Saluran Komunikasi untuk DSAR

Draft Pedoman mendukung pandangan bahwa, sementara subjek data tidak harus menyerahkan DSAR mereka melalui saluran komunikasi pilihan pengontrol, pengontrol “tidak berkewajiban untuk bertindak atas permintaan yang dikirim ke alamat email (atau pos) acak atau salah, tidak secara langsung disediakan oleh pengontrol, atau ke saluran komunikasi apa pun yang jelas-jelas tidak dimaksudkan untuk menerima permintaan terkait hak subjek data.” Misalnya, pengontrol tidak harus menanggapi permintaan yang dikirim ke alamat email karyawan pengontrol yang tidak terlibat dalam pemrosesan DSAR. Di sisi lain, jika karyawan berurusan dengan urusan subjek data setiap hari, DSAR yang dikirim ke karyawan tidak boleh dianggap acak dan pengontrol harus melakukan semua upaya yang wajar untuk menangani permintaan tersebut.

Pengungkapan Data kepada Subyek Data

Rancangan Pedoman menetapkan bahwa pengontrol harus mengungkapkan semua informasi yang diproses tentang subjek data yang meminta sebagai tanggapan terhadap DSAR, yang berarti bahwa pengontrol berkewajiban untuk mencari semua data pribadi di seluruh sistem pengarsipan TI dan non-TI. Draf Pedoman tidak menetapkan mekanisme khusus yang melaluinya pengontrol harus mengungkapkan data pribadi yang diminta, meskipun Draf Pedoman secara khusus mendukung penggunaan alat swalayan, yang digunakan banyak perusahaan teknologi global, untuk memungkinkan subjek data mengakses data pribadi mereka.

Draf Pedoman mengharuskan informasi yang diminta diungkapkan kepada subjek data dalam “bentuk yang ringkas, transparan, dapat dipahami, dan mudah diakses menggunakan bahasa yang jelas dan sederhana.” Oleh karena itu, jika data pribadi yang diberikan rumit dan sulit dipahami (seperti data mentah atau kode yang dapat dibaca mesin), pengontrol mungkin perlu memberikan informasi tambahan sehingga masuk akal dalam “format yang dapat dibaca manusia”. Misalnya, jika data yang diminta disimpan dalam ratusan halaman file log, pengontrol mungkin perlu mengambil tindakan tambahan untuk memfasilitasi pemahaman file log selain hanya menyediakan file log. Kewajiban ini merupakan perpanjangan materi dari Pasal 15 GDPR (yang tidak mengandung kewajiban eksplisit untuk “menjelaskan” data pribadi) dan dapat menambah beban yang signifikan pada beberapa pengontrol.

Batas dan Pengecualian

Draf Pedoman mengakui tiga kategori utama pembatasan hak akses, sebagaimana diatur dalam Pasal 15(4) GDPR (di mana pengungkapan data pribadi yang sedang diproses akan berdampak buruk pada hak dan kebebasan orang lain), Pasal 12(5 ) GDPR (di mana permintaan secara nyata tidak berdasar atau berlebihan), dan Pasal 23 GDPR (di mana undang-undang Negara Anggota membatasi hak akses). Draf Pedoman mencatat bahwa, selain batas yang secara eksplisit ditentukan dalam GDPR, “hak akses tidak memiliki batasan umum apa pun terhadap proporsionalitas sehubungan dengan upaya yang harus dilakukan pengontrol untuk mematuhi permintaan subjek data berdasarkan Pasal 15 GDPR. ” Draf Pedoman menunjukkan bahwa pengontrol yang tunduk pada GDPR tidak dapat membatasi pencarian mereka berdasarkan proporsionalitas. Hal ini berbeda dengan posisi yang diambil oleh beberapa pengadilan lokal yang telah mempertimbangkan masalah ini. Lihat, misalnya, Pengadilan Regional Heidelberg, keputusan 21 Februari 2020 – 4 O 6/19.

Wawasan Putih & Kasus

Rancangan Pedoman mengadopsi interpretasi yang relatif luas dari hak akses, terutama posisi bahwa hak akses tidak dibatasi oleh pertimbangan proporsionalitas mengingat beban pengontrol untuk memberikan informasi yang diminta. Rancangan Pedoman, meskipun instruktif, tidak mengikat secara hukum. Beberapa posisi yang diambil EDPB dalam Rancangan Pedoman, seperti posisi proporsionalitas, tampaknya akan menarik perlawanan dari banyak pengontrol. Masih harus dilihat apakah aspek-aspek dari Rancangan Pedoman ini akan dilunakkan dalam menanggapi konsultasi publik.

[View source.]

Leave a Comment