Potrivit prevederilor GDPR, orice persoana vizata are drept de acces la datele cu caracter personal colectate care o privesc, respectiv are dreptul de a obtine de la operator, la cerere si in mod gratuit, confirmarea faptului ca acesta prelucreaza sau nu date personale care o privesc, iar in caz afirmativ sa i se comunice anumite informatii in legatura cu prelucrarea datelor (precum: scopurile in care sunt prelucrate datele, ce categorii de date ii sunt prelucrate, cui au fost transmise datele sau catre cine se intentioneaza a se transmite datele, perioada pentru care se stocheaza datele sau criteriile utilizate pentru determinarea perioadei respective, existenta dreptului de a solicita rectificarea ori stergerea datelor, sursa datelor – daca nu provin direct de la persoana vizata etc), inclusiv copii ale datelor prelucrate.
Aceste tipuri de informatii sunt mentionate in „Formularul pentru exercitarea dreptului de acces la datele cu caracter personal” – pe care persoana vizata le va bifa in functie de ceea ce doreste in mod concret sa i se comunice.
De exemplu: persoana vizata (pacientul cabinetului) poate solicita Operatorului de date cu caracter personal (cabinet / medic), accesul la datele sale privind sanatatea, cum ar fi datele din registrele medicale continand informatii precum diagnostice, rezultate ale examinarilor, evaluari ale medicilor si orice tratament sau interventie efectuata.
Este dreptul pacientului sa stie daca ii sunt prelucrate date, ce date ii sunt prelucrate, in ce scopuri, pentru ce durata, inclusiv sa solicite o copie a datelor respective.
O astfel de solicitare se va exprima prin completarea de catre persoana vizata a documentului din platforma GDPR „Formularul pentru exercitarea dreptului de acces la datele cu caracter personal”. Acest drept poate fi exercitat oricand, iar in acest sens persoana vizata nu trebuie sa prezinte nicio justificare.
Conform GDPR, Operatorul este obligat sa raspunda cererilor de exercitare a dreptului de acces la datele cu caracter personal, fara intarzieri nejustificate si cel tarziu in termen de o luna de la primirea cererii.
In ceea ce priveste cererea persoanei vizate de a i se elibera copii ale datelor cu caracter personal, GDPR prevede ca operatorul elibereaza o copie, iar pentru orice alte copii poate fi perceputa o taxa rezonabila bazata pe costurile administrative suportate legate de eliberarea copiilor. Daca cererea este formulata in format electronic, raspunsul va trebui sa fie comunicat tot electronic, cu exceptia cazului in care persoana vizata solicita transmiterea pe o alta cale.
Este recomandat:
- A se pastra o evidenta clara a raspunsurilor date la cererile formulate de catre persoanele vizate.
- A se obtine si pastra o confirmare de la persoana vizata ca a primit informatiile / copiile.