מועצת הרגולטורים האירופאים לפרטיות (ה-EDPB) פרסמה לפני ימים אחדים להערות הציבור טיוטת הנחיה בדבר זכויות נושאי מידע לגשת למידע אודותם.
טיוטת ההנחיה מסבירה כי זכות הגישה המעוגנת בסעיף 15 ל-GDPR מאפשרת לנושאי מידע לברר כיצד ומדוע נעשה שימוש במידע האישי שלהם. בדרך זו הם יכולים לוודא את חוקיות העיבוד ואת דיוק המידע אודותם.
לפי טיוטת ההנחיה, זכות הגישה כוללת שלושה היבטים שונים:
- בירור האם מתבצע עיבוד מידע אישי של נושא המידע
- קבלת גישה למידע האישי
- בירור אודות מאפייני העיבוד, כגון מטרתו, קטגוריות המידע המעובד, נמענים אחרים המקבלים את המידע לעיבוד, משך העיבוד, זכויות נושא המידע ואמצעי הגנה המיושמים במקרה של העברת המידע למדינות מחוץ לאיחוד האירופי.
טיוטת ההנחיה מספקת דוגמאות כדי לסייע לבעלי השליטה במידע (Controllers) במענה על בקשות גישה. הטיוטה מבהירה בין היתר כיצד בעל השליטה במידע רשאי לסרב לבקשת גישה למידע כאשר אינו יכול לאמת את זהות המבקש ללא אמצעי זיהוי נוספים, ומחדדת כי אין לנצל בקלות בזכות הסירוב כאמצעי להימנע מטיפול בבקשות גישה למידע. עוד מסבירה הטיוטה כי היקף זכות הגישה משתרע גם על ממצאים רפואיים, היסטוריית רכישות, יומן פעילויות, היסטוריית חיפוש וכיו"ב, אם אלה מצויים בידי בעל השליטה במידע. מידע אישי הכפוף לזכות הגישה כולל גם מידע שעבר פסאודונימיזציה.
על היקף הגישה למידע מסבירה הטיוטה כי ברירת מחדל צריכה להיות גישה לכל המידע הקיים על נושא המידע אצל בעל השליטה במידע. המידע צריך להיות נגיש וקריא מבחינת מבנה ושפה. במקרים של מידע רב, יש לעשות זאת במתכונת של "שכבות". את המידע יש לספק בפורמט קבוע (לדוגמא, טקסט הניתן להורדה), והוא צריך לשקף את הנתונים כפי שאלה קיימים בעת קבלת הבקשה.
את המענה לבקשה יש לתת בהקדם האפשרי ובכל מקרה תוך חודש מהבקשה, אולם ניתן להאריך מועד זה בחודשיים נוספים במידת הצורך, למשל בשל מורכבות הבקשה. עם זה, יש לפרש בצמצום את זכותו של בעל השליטה במידע לבקש תשלום בעד הבקשה או לסרב לבקשות לא מבוססות או מופרזות.
הטיוטה מסבירה כי זכות הגישה אינה בלתי מוגבלת. על בעל השליטה במידע לבחון אם צפויה פגיעה ממשית בזכויות של אחרים בכל מקרה קונקרטי. במידה שכן, עליו להגביל את המידע שאליו ניתנת גישה במקום לסרב לבקשה בכללותה.
טיוטת ההנחיות פתוחה להערות הציבור עד ה-11 במרץ 2022.