Incepand cu 25 mai 2018 se aplica Regulamentul UE nr. 679/2016, cunoscut drept Regulamentul General privind Protectia Datelor Personale (GDPR), care spune in principiu ca informatiile pe care le detineti despre clienti (nume, adresa, CNP, diagnostice, etc) sunt informatii CONFIDENTIALE si nu pot circula liber sau sa fie accesate public!
Aceste date trebuie protejate, iar responsabilitatea protejarii lor revine in intregime operatorilor de date cu caracter personal.
Regulamentul este foarte strict in acest sens si prevede sanctiuni aspre pentru abateri. Specialistii spun ca el introduce o adevarata revolutie in domeniu, prin prisma impactului pe care il va avea asupra bunului mers al tuturor afacerilor, mici sau mari, din Europa si nu numai.
Regulamentul se aplica practic oricarei firme, indiferent de domeniul de activitate, conceptul de “date personale” devenind atat de larg incat orice firma care lucreaza cu astfel de date – fie ca e vorba despre datele angajatilor sau ale clientilor/pacientilor – devine instantaneu subiect al Regulamentului.
Regulamentul (UE) 2016/679
- pune accent pe transparenţa faţă de persoana vizată și responsabilizarea operatorului de date faţă de modul în care prelucrează datele cu caracter personal.
- stabilește o serie de garanţii specifice pentru a proteja cât mai eficient viaţa privată a minorilor, în special în mediul on-line.
- consolidează drepturile garantate persoanelor vizate și introduce noi drepturi: dreptul de a fi uitat, dreptul la portabilitatea datelor și dreptul la restricţionarea prelucrării.
- introduce sancţiuni severe, pâna la 10 – 20 milioane de euro sau între 2% și 4% din cifra de afaceri la nivel internaţional, pentru operatorii din sectorul privat
Regulamentul (UE) 2016/679 (GDPR )se aplică:
- Prelucrării datelor cu caracter personal în cadrul activităţilor derulate la sediul unui operator sau al unei persoane împuternicite de operator pe teritoriul Uniunii, indiferent dacă prelucrarea are loc sau nu pe teritoriul Uniunii.
- Prelucrării datelor cu caracter personal ale unor persoane vizate care se află în Uniune de către un operator sau o persoană împuternicită de operator care nu este stabilit(ă) în Uniune, atunci când activităţile de prelucrare sunt legate de:
– oferirea de bunuri sau servicii unor astfel de persoane vizate în Uniune, indiferent dacă se solicită sau nu efectuarea unei plăţi de către persoana vizată; sau
– monitorizarea comportamentului lor dacă acesta se manifestă în cadrul Uniunii. - Prelucrării datelor cu caracter personal de către un operator care nu este stabilit în Uniune, ci într-un loc în care dreptul intern se aplică în temeiul dreptului internaţional public.
Fiecare operator, indiferent de domeniul de activitate sau numarul angajatilor, trebuie sa respecte obligatiile operatorilor de date si trebuie sa va asigurati ca toate procedurile de lucru si formularele respecta principiile GDPR si drepturilor persoanelor vizate :
Obligatiile operatorilor (indiferent de domeniul de activitate sau numarul angajatilor):
- Notificarea incalcarii securitatii DCP
- Numirea Responsabilului cu protectia DCP – DPO (intern sau externalizand serviciile catre o firma de specialitate)
- Evaluarea impactului si consultarea prealabila
- Implementarea de masuri adecvate ( tehnice si organizatorice)
- Verificarea imputernicitilor ( firma de contabilitate, IT, medicina muncii, PSI etc)
- Pastrarea evidentelor ( mai multe registre cu date relevante)
Principiile GDPR privind prelucrarea datelor cu caracter personal:
- Legalitate, echitate și transparență (obtinerea legalitatii prin temei legal, consimtamant, interes vital sau contract)
- Limitări legate de scop
- Reducerea la minimum a datelor
- Exactitate
- Limitări legate de stocare
- Integritate și confidențialitate
Drepturile persoanelor vizate:
- Dreptul la informare si transparenta
- Dreptul de acces
- Dreptul la rectificare
- Dreptul de a restriction prelucrarea
- Dreptul de stergere ( “ dreptul de a fi uitat”)
- Dreptul la portabilitatea datelor
- Dreptul de a se opune prelucrarii datelor
- Dreptul de a nu fi evalutat exclusiv pe baza prelucrarii automate
Acest pachet legislativ nu reglementeaza metodele de protectie privind pierderea datelor (antivirus, backup etc) ci se refera la protectia privind ACCESUL LA DATE si LEGALITATEA PRELUCRARII LOR in conditii de transparenta.
Informatii generale
Datele cu caracter personal sunt orice informații care se referă la o persoană fizică identificată sau identificabilă. Informațiile diferite care, adunate, pot duce la identificarea unei anumite persoane constituie și ele date cu caracter personal.
Datele cu caracter personal care au fost anonimizate, criptate sau pseudonimizate, dar pot fi utilizate pentru reidentificarea unei persoane rămân date cu caracter personal și sunt vizate de RGPD.
Datele cu caracter personal care au fost făcute anonime în așa fel încât persoana fizică nu este sau nu mai este identificabilă nu mai sunt considerate date cu caracter personal. Pentru ca datele să fie cu adevărat anonimizate, anonimizarea trebuie să fie ireversibilă.
RGPD protejează datele cu caracter personal indiferent de tehnologia utilizată pentru prelucrarea datelor respective – este „neutră din punct de vedere tehnologic” și se aplică atât prelucrării automate, cât și prelucrării manuale, cu condiția ca datele să fie organizate potrivit unor criterii predefinite ( de exemplu, în ordine alfabetică). De asemenea, nu contează cum sunt stocate datele – într-un sistem de TIC, prin supraveghere video sau pe hârtie; în toate aceste cazuri, datele cu caracter personal sunt supuse cerințelor de protecție formulate în RGPD.
Exemple de date cu caracter personal:
- un nume și prenume;
- o adresă de domiciliu;
- o adresă de e-mail, cum ar fi prenume.nume@societate.com;
- un număr de act de identitate;
- date privind locația (de exemplu, funcția de date privind locația disponibilă pe un telefon mobil)*;
- o adresă de protocol de internet (IP);
- un identificator de modul cookie*;
- identificatorul de publicitate al telefonului dvs.;
- date deținute de către un spital sau un medic, care ar putea fi un simbol ce identifică în mod unic o persoană.
*Rețineți că în unele cazuri există o legislație sectorială specifică, care reglementează, de exemplu, situațiile de utilizare a datelor privind locația sau utilizarea modulelor cookie – Directiva privind confidențialitatea în mediul electronic [Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 (JO L 201, 31.7.2002, p. 37), și Regulamentul (CE) nr. 2006/2004 al Parlamentului European și al Consiliului din 27 octombrie 2004 (JO L 364, 9.12.2004, p. 1)].
Exemple de date considerate ca neavând caracter personal:
- codul de înregistrare al unei societăți;
- o adresă de e-mail, cum ar fi info@societate.com;
- datele anonimizate.
Referințe
- Articolul 2, articolul 4 punctele 1 și 5 și considerentele (14), (15), (26), (27), (29) și (30) ale RGPD
- WP 01248/07/RO, WP 136 Avizul 4/2007 privind conceptul de date cu caracter personal
- Avizul 05/2014 al Grupului de lucru al articolului 29 privind tehnicile de anonimizare
Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului1, noul Regulament general privind protecția datelor al Uniunii Europene („RGPD”) reglementează prelucrarea de către o persoană fizică, o societate sau o organizație a unor date cu caracter personal referitoare la persoane fizice în UE.
Regulamentul nu se aplică prelucrării datelor cu caracter personal ale persoanelor decedate sau ale persoanelor juridice.
Normele nu se aplică datelor prelucrate de către o persoană fizică din motive pur personale și nici activităților desfășurate în locuință, cu condiția să nu existe nicio legătură cu o activitate profesională sau comercială. Atunci însă când o persoană fizică utilizează datele cu caracter personal în afara „sferei personale”, cum ar fi pentru activități socioculturale sau financiare, persoana în cauză trebuie să respecte legea privind protecția datelor.
Exemple
Când se aplică regulamentul
O societate cu un sediu în UE oferă servicii de călătorie clienților din țările Baltice și, în acest context, prelucrează date cu caracter personal ale unor persoane fizice.
Când nu se aplică regulamentul
O persoană fizică își folosește agenda de adrese personală pentru a-și invita prietenii prin e-mail la o petrecere pe care o organizează (excepție pentru activități domestice).
Referințe
Articolele 1 și 2 și considerentele (1), (2), (14), (18) și (27) ale RGPD
1 Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (JO L 119, 4.5.2016, p. 1).
„Prelucrarea” acoperă o varietate amplă de operații efectuate asupra datelor cu caracter personal, inclusiv prin mijloace manuale sau automate. Aceasta include colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminareasau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea datelor cu caracter personal.
Regulamentul general privind protecția datelor (RGPD) se aplică prelucrării datelor cu caracter personal, efectuată total sau parțial prin mijloace automatizate, precum și prelucrării prin mijloace neautomatizate, dacă aceasta face parte dintr-un sistem structurat de evidență a datelor.
Exemple de prelucrare
- managementul personalului și administrarea statelor de plată;
- accesarea/consultarea unei baze de date cu persoane de contact care conține date cu caracter personal;
- trimiterea de e-mailuri promoționale*;
- distrugerea de documente care conțin date cu caracter personal;
- postarea/plasarea fotografiei unei persoane pe un site web;
- stocarea adreselor IP sau a adreselor MAC;
- înregistrarea video (CCTV).
*Vă rugăm să rețineți că pentru a trimite e-mailuri de marketing direct trebuie să respectați și normele privind marketingul stabilite în Directiva privind confidențialitatea în mediul electronic.
Referințe
Articolul 4 punctele 2 și 6 din RGPD
APD sunt autorități publice independente care supraveghează, prin competențe de investigare și competențe corective, aplicarea legii privind protecția datelor. Acestea oferă consultanță de specialitate privind problemele legate de protecția datelor și tratează plângerile referitoare la încălcări ale Regulamentului general privind protecția datelor și ale legilor naționale relevante. Există o astfel de autoritate în fiecare stat membru al UE.
În general, principalul punct de contact pentru întrebări legate de protecția datelor este APD din statul membru al UE în care are sediul societatea/organizația dvs. Dacă însă societatea/organizația dvs. prelucrează date în diferite state membre ale UE sau face parte dintr-un grup de societăți cu sedii în diferite state membre ale UE, punctul principal de contact poate fi o APD dintr-un alt stat membru al UE.
Referințe
- Articolul 4 punctul 16 și capitolul VI (articolele 51-59) și considerentele (117)-(123) ale RGPD
- Orientările Grupului de lucru al articolului 29 privind autoritatea de supraveghere principală, WP 244
- Orientările Grupului de lucru al articolului 29 pentru identificarea autorității de supraveghere principale a unui operator sau a unei persoane împuternicite de operator și anexa II – „Întrebări frecvente”
Cum îmi sunt protejate datele cu caracter personal?
Următoarele categorii speciale de date cu caracter personal sunt considerate „sensibile” și beneficiază de protecție specifică în temeiul Regulamentului general privind protecția datelor (RGPD):
- originea etnică sau rasială;
- opiniile politice;
- confesiunea religioasă sau convingerile filozofice;
- apartenența la sindicate;
- prelucrarea de date genetice;
- prelucrarea de date biometrice pentru identificarea unică a unei persoane fizice;
- sănătatea;
- viața sexuală sau orientarea sexuală.
Regula generală este că prelucrarea datelor menționate este interzisă. Pe baza anumitor derogări, o societate/organizație ar putea, însă, să prelucreze date cu caracter personal sensibile, atunci când, de exemplu:
- v-ați făcut publice în mod manifest propriile date sensibile;
- v-ați dat consimțământul explicit;
- există o lege care reglementează un anumit tip de prelucrare de date într-un anumit scop legat de interesul public sau de sănătate;
- o lege care include garanții adecvate prevede prelucrarea datelor cu caracter personal sensibile în domenii precum sănătatea publică, ocuparea forței de muncă și protecția socială.
Exemplu
Oficiul Național de Statistică (o entitate de stat) organizează un recensământ o dată la cinci ani. Primiți un link la un chestionar pe care aveți obligația să îl completați. Acesta include câmpuri precum sexul și originea rasială sau etnică. În această situație, deoarece chestionarul este bazat pe o lege care servește unui interes public și conține garanții pentru protejarea datelor dvs. sensibile (de exemplu, datele sunt accesate numai de către destinatarii autorizați care lucrează la recensământ), Oficiul Național de Statistică are dreptul de a prelucra datele dvs. cu caracter personal.
Referințe
- Articolul 9 și considerentele (51)-(56) ale RGPD
Pentru acest tip de date cu caracter personal s-au instituit măsuri de protecție suplimentare, deoarece copiii sunt mai puțin conștienți de riscurile și consecințele transmiterii datelor, precum și de drepturile proprii. Orice informații adresate în mod specific unui copil ar trebui adaptate pentru a fi ușor accesibile, formulate într-un limbaj simplu și clar.
Pentru majoritatea serviciilor online este necesar consimțământul unui părinte sau al unui tutore legal pentru prelucrarea datelor cu caracter personal ale unui copil pe bază de consimțământ până la o anumită vârstă. Acest lucru este valabil pentru site-urile de rețele sociale, precum și pentru platformele pentru descărcarea de muzică și cumpărarea de jocuri online.
Limita de vârstă pentru obținerea consimțământului părinților este stabilită de fiecare stat membru al UE și poate fi între 13 și 16 ani. Consultați autoritatea națională de protecție a datelor.
Societățile trebuie să depună eforturi rezonabile, ținând seama de tehnologiile disponibile, pentru a se asigura că respectivul consimțământ a fost într-adevăr acordat în conformitate cu prevederile legii. Aceste eforturi pot cuprinde implementarea unor măsuri de verificare a vârstei (de exemplu, o întrebare la care un copil mediu nu ar ști să răspundă sau solicitarea ca minorul să comunice adresa de e-mail a părintelui său pentru a face posibilă acordarea consimțământului scris).
Serviciile de prevenire sau de consiliere oferite direct copiilor sunt scutite de obligația de a obține consimțământul unui părinte, deoarece ele urmăresc protejarea intereselor copiilor.
Exemple
Este necesar consimțământul unui părinte
Aveți o fiică în vârstă de 12 ani. Aceasta ar dori să se înscrie într-o rețea socială cunoscută și i se solicită consimțământul pentru prelucrarea informațiilor privind religia sa. Ar trebui să vă dați consimțământul dacă doriți ca ea să se înscrie în rețeaua socială respectivă.
Nu este necesar consimțământul unui părinte
Fiul dvs. în vârstă de 17 ani se gândește să participe la un sondaj online referitor la preferințele sale vestimentare. Site-ul solicită consimțământul pentru prelucrarea datelor sale. Deoarece are peste 16 ani, fiul dvs. își poate da consimțământul fără a-l cere pe al dvs.
Referințe
- Articolul 8 și considerentele (38) și (58) ale RGPD
Situația angajator-angajat este considerată, în general, o relație dezechilibrată, în care angajatorul dispune de mai multă putere decât angajatul. Deoarece consimțământul trebuie să fie liber și având în vedere caracterul dezechilibrat al relației, angajatorul nu poate, în majoritatea cazurilor, să se bazeze pe consimțământul dvs. pentru a vă utiliza datele.
S-ar putea să existe situații în care este legală prelucrarea datelor cu caracter personal ale unui angajat pe baza consimțământului acestuia, în special dacă prelucrarea se face în interesul angajatului. De exemplu, dacă o companie acordă beneficii angajatului sau membrilor familiei acestuia (cum ar fi reduceri la serviciile oferite de companie), prelucrarea datelor cu caracter personal ale unui angajat este permisă și legală, dacă s-a acordat consimțământul prealabil în cunoștință de cauză.
Exemplu
Consimțământul nu este valid
Angajatorul dvs. consideră că trebuie crescută productivitatea muncii. În acest scop, intenționează să instaleze camere de televiziune cu circuit închis (CCTV) pe coridoare și la intrarea băilor. Vă solicită consimțământul pentru a vă putea monitoriza mișcările și timpul petrecut în afara biroului. Chiar dacă vă dați consimțământul, acesta ar fi considerat nevalid, iar angajatorul dvs. nu are voie să instaleze CCTV pe baza acestui consimțământ.
Referințe
- Articolele 7 și 88 și considerentul (43) al RGPD
- Orientările Grupului de lucru al articolului 29 privind consimțământul în cadrul Regulamentului (UE) 2016/679 (WP 259)
- Avizul 2/2017 al Grupului de lucru al articolului 29 privind prelucrarea datelor la locul de muncă (WP 249)
Cererea privind consimțământul trebuie prezentată într-o formă clară și concisă, într-un limbaj ușor de înțeles, și trebuie să se diferențieze în mod clar de alte informații, cum ar fi termenele și condițiile. Cererea trebuie să precizeze cum vor fi utilizate datele dvs. cu caracter personal și să includă datele de contact ale companiei care prelucrează datele. Consimțământul trebuie să fie o manifestare liber exprimată, specifică, în cunoștință de cauză și clară. Consimțământul „în cunoștință de cauză” înseamnă că trebuie să vi se ofere informații cu privire la prelucrarea datelor dvs. cu caracter personal, inclusiv cel puțin:
- identitatea organizației care prelucrează datele;
- scopurile în care sunt prelucrate datele;
- tipul de date care se vor prelucra;
- posibilitatea de retragere a consimțământului (de exemplu prin trimiterea unui e-mail pentru a vă retrage consimțământul);
- dacă este cazul, faptul că datele vor fi utilizate pentru luarea de decizii bazate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri;
- în cazul în care consimțământul se referă la un transfer internațional al datelor dvs., riscurile posibile ale transferurilor de date în țări din afara UE dacă nu există o decizie privind caracterul adecvat al nivelului de protecție sau garanții adecvate în privința acestor țări.
Exemple
Consimțământ nesolicitat conform legii
Vă înscrieți la o școală de muzică pentru a lua lecții de pian. Formularul de înscriere conține un document lung scris mărunt, cu termeni juridici și tehnici avansați, care include posibilitatea ca școala să transmită datele dvs. cu caracter personal unor comercianți cu amănuntul de instrumente muzicale. Școala încalcă legea, deoarece nu vi s-a prezentat o cerere de consimțământ prevăzută de lege pentru primirea de materiale de marketing (eventual din partea comercianților cu amănuntul de instrumente muzicale).
Deschideți un cont bancar online și doriți să vă confirmați solicitarea. Vi se afișează o pagină cu două căsuțe de bifat, cu textele „Accept termenele și condițiile” și „Sunt de acord ca decizia dacă am sau nu dreptul la un card de credit să fie bazată exclusiv pe crearea de profiluri fără nicio intervenție umană”. Ambele căsuțe sunt activate (bifate) în mod implicit. Trebuie să dezactivați căsuța dacă nu doriți să faceți obiectul unei decizii privind eliberarea unui card de credit bazate exclusiv pe crearea de profiluri. Chiar dacă nu dezactivați căsuța, consimțământul obținut de bancă nu ar fi valabil, deoarece căsuțele bifate în prealabil nu sunt considerate valabile în temeiul RGPD.
Referințe
- Articolele 6 și 7 și considerentele (42) și (43) ale RGPD
- Orientările Grupului de lucru al articolului 29 privind consimțământul în cadrul Regulamentului (UE) 2016/679 (WP 259)
Se produce o încălcare a securității datelor cu caracter personal atunci când există o încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea sau divulgarea neautorizată a datelor cu caracter personal prelucrate sau la accesul neautorizat la acestea. Dacă se întâmplă acest lucru, organizația care deține datele cu caracter personal trebuie să anunțe autoritatea de supraveghere fără întârzieri nejustificate. Dacă încălcarea securității datelor cu caracter personal este susceptibilă de a genera un risc ridicat pentru drepturile și libertățile dvs., iar riscul nu a fost atenuat, atunci trebuie să fiți informat(ă) și dvs., ca persoană fizică.
Exemplu
Ați rezervat un taxi printr-o aplicație online. Compania de taxi a suferit o încălcare de proporții a securității datelor cu caracter personal și s-au furat date privind șoferii și utilizatorii. Se pare că nu exista nicio măsură de securitate specifică pentru protejarea datelor cu caracter personal. Compania ar fi trebuit să vă informeze în legătură cu încălcarea securității. În acest caz puteți depune o plângere împotriva companiei de taxi la autoritatea de protecție a datelor („APD”).
Referințe
- Articolele 32, 33 și 34 și considerentele (85)- (88) ale RGPD
Drepturile persoanelor fizice (persoane vizate)
Aveți dreptul:
- să primiți informații privind prelucrarea datelor dvs. cu caracter personal;
- să obțineți acces la datele cu caracter personal deținute în legătură cu dvs.;
- să solicitați corectarea datelor cu caracter personal incorecte, inexacte sau incomplete;
- să solicitați ștergerea datelor cu caracter personal când acestea nu mai sunt necesare sau dacă prelucrarea acestora este ilegală;
- să vă opuneți prelucrării datelor dvs. cu caracter personal în scopuri de marketing sau din motive legate de situația particulară în care vă aflați;
- să solicitați restricționarea prelucrării datelor dvs. cu caracter personal în anumite cazuri;
- să primiți datele dvs. cu caracter personal într-un format care poate fi citit automat și să le trimiteți altui operator („portabilitatea datelor”);
- să solicitați ca deciziile bazate pe prelucrarea automată a datelor dvs. cu caracter personal care vă privesc sau care vă afectează într-o măsură semnificativă să fie luate de către persoane fizice, nu exclusiv de computere. În acest caz, aveți și dreptul de a vă exprima punctul de vedere și de a contesta decizia.
Pentru a vă exercita drepturile, ar trebui să contactați societatea sau organizația care vă prelucrează datele (adică operatorul de date). În cazul în care societatea/organizația are un responsabil cu protecția datelor (RPD), îi puteți adresa cererea acestui RPD. Societatea/organizația trebuie să răspundă cererilor fără întârzieri nejustificate și cel târziu în termen de o lună. Dacă nu intenționează să se conformeze la cererea dvs., societatea/organizația trebuie să motiveze refuzul. Vi se poate cere să furnizați informații pentru a vă confirma identitatea (de exemplu, să faceți clic pe un link de verificare, să introduceți un nume de utilizator sau o parolă) pentru a vă exercita drepturile.
Aceste drepturi se aplică în întreaga UE, indiferent unde se prelucrează datele și unde își are sediul societatea. Aceste drepturi se aplică și când cumpărați produse și servicii de la societăți din afara UE care își desfășoară activitatea în UE.
Referință
-
- Capitolul III din RGPD
Când vă comunicați datele cu caracter personal, trebuie să primiți, printre altele, informații despre:
- denumirea companiei sau a organizației care prelucrează datele dvs. (inclusiv datele de contact ale RPD, dacă există unul);
- scopurile în care compania/organizația va utiliza datele dvs.;
- categoriile de date cu caracter personal în cauză;
- temeiul juridic al prelucrării datelor dvs. cu caracter personal;
- perioada de timp pentru care datele dvs. vor fi stocate;
- alte societăți/organizații care vor primi datele dvs.;
- o eventuală transferare a datelor în afara UE;
- drepturile de bază pe care le aveți în ceea ce privește prelucrarea datelor (de exemplu, dreptul de a accesa și transfera datele sau de a dispune ștergerea acestora);
- dreptul de a depune o plângere în fața unei autorități de protecție a datelor (APD);
- dreptul de a vă retrage consimțământul în orice moment;
- existența unui proces decizional automatizat și logica utilizată, inclusiv consecințele.
Informațiile ar trebui prezentate într-o formă concisă, transparentă și inteligibilă și redactate într-un limbaj clar și simplu.
Referințe
- Articolele 12 și 13 și considerentele (60), (61) și (62) ale RGPD.
- Orientările Grupului de lucru al articolului 29 privind transparența în cadrul Regulamentului 2016/679 (WP 260)
Aveți dreptul de a obține din partea societății/organizației o confirmare că se prelucrează sau nu date cu caracter personal care vă privesc.
În cazul în care societatea/organizația are datele dvs. cu caracter personal, aveți dreptul să accesați datele respective, să primiți o copie și să obțineți orice informații suplimentare relevante (cum ar fi motivul prelucrării datelor dvs. cu caracter personal, categoriile de date cu caracter personal utilizate etc.).
Acest drept de acces ar trebui să poată fi exercitat cu ușurință și să fie posibil la „intervale de timp rezonabile”. Societatea/organizația ar trebui să vă furnizeze gratuit o copie a datelor dvs. cu caracter personal. Eventualele copii suplimentare pot fi supuse unei taxe rezonabile. Dacă efectuați cererea prin mijloace electronice (de exemplu, printr-un e-mail) și nu solicitați un alt format, informațiile ar trebui furnizate într-un format electronic utilizat în mod curent.
Acest drept nu este unul absolut: exercitarea dreptului de acces la datele dvs. cu caracter personal nu ar trebui să afecteze drepturile și libertățile altora, inclusiv secretele comerciale sau proprietatea intelectuală.
Exemple
Dreptul de acces
Împrumutați cărți de la o bibliotecă. Puteți solicita bibliotecii să vă furnizeze datele cu caracter personal pe care le deține în legătură cu dvs. În acest caz, biblioteca ar trebui să vă furnizeze toate informațiile stocate cu privire la dvs., cum ar fi: data la care ați început să utilizați serviciile bibliotecii; cărțile pe care le-ați împrumutat; dacă ați întârziat vreodată cu înapoierea cărților și eventualele penalități care vi s-au aplicat.
V-ați înscris la un program de fidelitate al unui lanț de supermarketuri cu magazine în diferite locuri din oraș și din țară. Dacă vă exercitați dreptul de a solicita informații și de a obține datele cu caracter personal stocate în sistemul de carduri de fidelitate, ar trebui să primiți informații precum: cât de des ați utilizat cardul; la ce supermarketuri ați făcut cumpărături; dacă ați primit vreo reducere și dacă (și cum) ați fost vizat(ă) prin utilizarea tehnicilor de creare de profiluri; dacă supermarketul, care face parte dintr-un lanț multinațional de companii, a comunicat datele dvs. companiei înrudite care comercializează parfumuri și produse cosmetice.
Referințe
- Articolul 15 și considerentele (63) și (64) ale RGPD
În cazul în care considerați că datele dvs. cu caracter personal ar putea fi incorecte, incomplete sau inexacte, puteți cere societății sau organizației să vă corecteze datele. Societatea/organizația trebuie să facă acest lucru fără întârzieri nejustificate (în principiu, în termen de o lună) sau să explice în scris motivele pentru care nu poate da curs cererii.
Exemplu
Un birou de credite prelucrează niște informații furnizate de către fostul dvs. locator, potrivit cărora îi datorați acestuia chiria pe trei luni. Tocmai ați câștigat un proces în justiție, iar revendicarea de către acesta a chiriei pe trei luni a fost respinsă ca fiind nefondată. Puteți cere biroului de credite să corecteze datele pe care le deține în legătură cu dvs., astfel încât să nu fiți dezavantajat(ă) în viitor, la prelucrarea unor cereri de credit.
Referințe
- Articolele 12, 16, 19 și 23 și considerentul (65) al RGPD
Dacă o societate prelucrează datele dvs. cu caracter personal pe baza consimțământului dvs. sau a unui contract, puteți cere societății respective să vă transfere datele dvs. cu caracter personal.
De asemenea, puteți solicita ca datele dvs. cu caracter personal să fie transferate direct la o altă societate ale cărei servicii ați dori să le utilizați, dacă acest lucru este fezabil din punct de vedere tehnic.
Exemplu
Sunteți membru (membră) a(l) unei rețele sociale online. Decideți că o nouă rețea socială concurentă este mai potrivită pentru obiectivele și grupa dvs. de vârstă. Puteți solicita rețelei sociale online pe care o utilizați în prezent să transfere datele dvs. cu caracter personal, inclusiv fotografiile dvs., la noua rețea socială.
Referințe
- Articolul 20 și considerentul (68) al RGPD
- Orientările Grupului de lucru al articolului 29 privind dreptul la portabilitatea datelor, adoptate în data de 13 decembrie 2016, revizuite și adoptate cel mai recent la 5 aprilie 2017 (WP 242 rev.01)
Aveți dreptul de a vă opune prelucrării datelor dvs. cu caracter personal și de a cere unei societăți/organizații să nu le mai prelucreze în cazul datele dvs. cu caracter personal sunt prelucrate:
- în scopuri de marketing direct;
- pentru cercetare științifică/istorică și realizarea de statistici;
- în propriul său interes legitim sau în cadrul îndeplinirii unei sarcini în interes public/pentru o autoritate oficială.
Dacă vă opuneți marketingului direct, societatea trebuie să înceteze a mai utiliza datele dvs. cu caracter personal și să vă respecte cererea fără a percepe nicio taxă.
Cu toate acestea, o societate/organizație poate continua să prelucreze datele dvs. cu caracter personal în pofida obiecțiilor dvs. dacă:
- în cazul prelucrării în scopuri de cercetare științifică/istorică și în scopuri statistice, prelucrarea este necesară pentru îndeplinirea unei sarcini executate în interes public;
- în cazul prelucrării bazate pe interese legitime sau pe îndeplinirea unei sarcini în interes public/exercitarea autorității oficiale, societatea poate demonstra că are motive legitime și imperioase care prevalează asupra intereselor, a drepturilor și a libertăților dvs. Prin urmare, este necesar un exercițiu de asigurare a echilibrului.
Când vă contactează pentru prima dată, societatea ar trebui să vă informeze cu privire la dreptul dvs. de a vă opune.
Exemplu
Ați cumpărat două bilete la un concert al formației dvs. preferate prin intermediul unei societăți de vânzări de bilete online. După aceea sunteți bombardat(ă) cu reclame la concerte și evenimente care nu vă interesează. Informați compania de vânzări de bilete că nu doriți să mai primiți material publicitar. Compania ar trebui să înceteze a mai prelucra datele dvs. cu caracter personal pentru marketing direct și, în scurt timp, ar trebui să nu mai primiți e-mailuri de la aceasta. Societatea nu ar trebui să perceapă nicio taxă în acest scop.
Referințe
- Articolele 7, 12 și 21 și considerentele (69) și (70) ale RGPD
Da, puteți solicita ștergerea datelor dvs. cu caracter personal, de exemplu, atunci când datele pe care le deține societatea cu privire la dvs. nu mai sunt necesare sau dacă datele dvs. au fost utilizate ilegal. Datele cu caracter personal furnizate când erați copil pot fi șterse în orice moment.
Acest drept se aplică și online și este denumit adesea „dreptul de a fi uitat(ă)”. În anumite situații, puteți cere societăților care au pus la dispoziție online datele dvs. cu caracter personal să le șteargă. Acele societăți au și obligația de a lua măsuri rezonabile pentru a informa alte societăți (alți operatori) care prelucrează datele cu caracter personal că subiectul datelor a cerut ștergerea oricăror linkuri către datele respective sau a oricăror copii sau reproduceri ale acelor date cu caracter personal.
Este demn de reținut faptul că acest drept nu este unul absolut, ceea ce înseamnă că sunt protejate și alte drepturi, cum ar fi libertatea de exprimare și cercetarea științifică.
Exemple
Datele ar trebui șterse
V-ați înscris pe un site de rețele sociale. După o perioadă, decideți să părăsiți site-ul. Aveți dreptul de a-i cere societății să șteargă datele cu caracter personal care vă aparțin.
Datele nu pot fi șterse imediat
O bancă nouă oferă credite ipotecare avantajoase. Vă cumpărați o casă nouă și decideți să treceți la noua bancă. Solicitați „vechii” bănci să vă închidă toate conturile și să șteargă toate datele dvs. cu caracter personal. Vechea bancă trebuie să respecte însă o lege care obligă băncile să păstreze timp de 10 ani toate datele clienților. Vechea bancă nu poate șterge pur și simplu datele dvs. cu caracter personal. În acest caz, ați putea cere restricționarea prelucrării datelor dvs. cu caracter personal. În acest caz, banca va putea păstra datele numai pentru perioada de timp impusă de lege și nu poate efectua nicio altă operație de prelucrare asupra lor.
Datele ar trebui șterse
Faceți o căutare online folosind numele și prenumele dvs., iar printre rezultate apare un link la un articol de ziar. Informațiile din ziar sunt de acum câțiva ani și se referă la o chestiune – o licitație imobiliară legată de niște proceduri de recuperare a unei datorii – rezolvată cu mult timp în urmă, în prezent irelevantă. Dacă nu sunteți o personalitate publică, iar interesul dvs. privind ștergerea articolului primează în fața interesului publicului general privind accesul la informație, motorul de căutare este obligat să șteargă din rezultate linkurile la paginile web care conțin numele și prenumele dvs.
Referințe
- Articolele 12, 17 și 23 și considerentele (65) și (66) ale RGPD
- Orientările Grupului de lucru al articolului 29 privind punerea în aplicare a Hotărârii Curții de Justiție din 13 mai 2014, Google Spania și Google, C-131/121, ECLI:EU:C:2014:3171 (WP 225)
1 Un sumar al hotărârii a fost publicat în JO C 212, 7.7.2014, p. 4.
În general, în cazurile în care nu este clar dacă și când vor trebui șterse datele cu caracter personal, vă puteți exercita dreptul la restricționarea prelucrării. Acest drept poate fi exercitat când:
- este contestată exactitatea datelor în cauză;
- nu doriți să fie șterse datele;
- datele nu mai sunt necesare în scopul inițial, dar nu pot fi șterse încă din motive juridice;
- se așteaptă o decizie cu privire la obiecția dvs.
„Restricționare” înseamnă că – exceptând stocarea – datele dvs. cu caracter personal pot fi prelucrate numai cu consimțământul dvs. pentru constatarea, exercitarea sau apărarea unui drept în justiție, pentru protecția drepturilor altei persoane fizice sau juridice sau din motive de interes public al UE sau al unui stat membru al UE. Trebuie să fiți informat(ă) înainte de ridicarea restricției.
Exemplu
O bancă nouă pe piața internă oferă credite ipotecare avantajoase. Vă cumpărați o casă nouă și decideți să schimbați banca. Solicitați „vechii” bănci să vă închidă toate conturile și să șteargă toate datele dvs. cu caracter personal. Vechea bancă trebuie să respecte însă o lege care obligă băncile să păstreze timp de 10 ani toate datele clienților. Vechea bancă are obligația juridică de a păstra datele dvs., dar puteți totuși solicita restricționarea datelor, pentru a vă asigura că acestea nu sunt utilizate în mod „accidental” în scopuri nedorite.
Referințe
- Articolul 18 și considerentul (73) al RGPD
Crearea de profiluri are loc atunci când se evaluează aspectele dvs. personale pentru a face previziuni în legătură cu dvs., chiar dacă nu se ia nicio decizie. De exemplu, dacă o companie sau organizație vă evaluează caracteristicile (cum ar fi vârsta, sexul, înălțimea) sau vă încadrează într-o categorie, acest lucru înseamnă că vi se creează un profil.
Procesul decizional exclusiv automatizat are loc atunci când se iau decizii în privința dvs. prin mijloace tehnologice și fără nicio implicare umană: aceste decizii se pot lua chiar și fără crearea de profiluri.
Legea privind protecția datelor stabilește că aveți dreptul de a nu face obiectul unei decizii bazate exclusiv pe mijloace automatizate dacă decizia produce efecte juridice care vă privesc sau afectează în mod similar într-o măsură semnificativă. O decizie produce efecte juridice atunci când are un impact asupra drepturilor dvs. juridice (cum ar fi dreptul de vot). În plus, prelucrarea vă poate afecta într-o măsură semnificativă dacă vă influențează circumstanțele, comportamentul sau alegerile. De exemplu, prelucrarea automatizată poate duce la refuzul unei cereri de credit online.
Crearea de profiluri și procesul decizional automatizat sunt practici obișnuite în diferite sectoare, cum ar fi sectorul bancar și cel financiar, sectorul fiscal și al sănătății. Aceste practici pot fi mai eficiente, dar și mai puțin transparente și vă pot restricționa alegerea.
Deși, de regulă, nu puteți face obiectul unei decizii bazate exclusiv pe prelucrare automată, acest tip de proces decizional poate fi permis, în mod excepțional, dacă legea permite utilizarea algoritmilor și prevede garanții adecvate.
Deciziile bazate exclusiv pe mijloace automatizate sunt permise, de asemenea:
- dacă decizia este necesară (mai precis, trebuie să nu existe nicio altă modalitate de a atinge același obiectiv) pentru încheierea sau derularea unui contract cu dvs.;
- dacă v-ați dat consimțământul explicit.
În ambele situații, decizia luată trebuie să vă protejeze drepturile și libertățile prin punerea în aplicare a unor garanții adecvate. Compania sau organizația trebuie cel puțin să vă informeze cu privire la dreptul dvs. de a obține intervenție umană și de a face demersurile procedurale necesare; în plus, compania sau organizația ar trebui să vă permită să vă exprimați punctul de vedere și să vă informeze că puteți contesta decizia.
Deciziile bazate pe algoritmi nu pot utiliza categorii speciale de date decât dacă v-ați dat consimțământul sau dacă prelucrarea este permisă de dreptul UE sau de dreptul național (a se vedea mai sus).
Exemplu
Apelați la o bancă online pentru un împrumut. Vi se cere să vă introduceți datele, iar algoritmul băncii vă spune dacă banca vă va acorda sau nu împrumutul și vă prezintă rata dobânzii propusă. Trebuie să fiți informat(ă) că puteți: să vă exprimați opinia, să contestați decizia și să solicitați ca decizia luată pe baza algoritmului să fie verificată de o persoană.
Referințe
- Articolele 21 și 22 și considerentele (71) și (72) ale RGPD
- Orientările Grupului de lucru al articolului 29 privind procesul decizional individual automatizat și crearea de profiluri în scopurile stabilite de Regulamentul (UE) 2016/679 (WP 251)
Căi de atac
În cazul în care credeți că v-au fost încălcate drepturile privind protecția datelor, aveți trei opțiuni:
- depunerea unei plângeri la autoritatea de protecție a datelor(APD) din țara dvs.
Autoritatea efectuează investigații și vă informează cu privire la progresele sau la soluționarea plângerii dvs. în termen de trei luni. - acționarea în justiție a APD
În cazul în care considerați că APD nu a tratat corect plângerea dvs. sau dacă nu sunteți mulțumit(ă) de răspunsul acesteia ori dacă aceasta nu vă informează cu privire la progresele sau la soluționarea plângerii în termen de trei luni de la data depunerii puteți introduce direct o acțiune în justiție împotriva APD. - acționarea în justiție a unei societăți/organizații
Introduceți direct o acțiune în justiție împotriva unei companii în cazul în care considerați că aceasta v-a încălcat drepturile privind protecția datelor. Acest lucru nu vă împiedică să depuneți o plângere la APD dacă doriți.
Uneori, compania împotriva căreia a fost depusă plângerea prelucrează date în diferite state membre ale UE. În acest caz, APD competentă tratează plângerea în cooperare cu APD-urile din celelalte state membre ale UE. Acest sistem, denumit „mecanismul ghișeului unic”, asigură tratarea mai eficientă a plângerilor. De exemplu, vă poate ajuta să puneți în legătură plângerea dvs. cu plângeri similare depuse în alte state membre ale UE. APD la care ați depus plângerea este principalul dvs. punct de contact.
Exemplu
Vă place să alergați. Ați cumpărat un ceas care vă calculează pulsul și viteza per kilometru, vă înregistrează ruta și culege alte date relevante. Încărcați toate datele dvs. pe site-ul web. Vă dați seama că datele dvs. au fost amestecate cu ale altcuiva. Puteți depune o plângere împotriva site-ului la APD din țara dvs.
Referințe
- Articolele 60 și 77-80 și considerentele (141), (143) și (145) ale RGPD
APD sunt autorități publice independente care monitorizează și supraveghează, prin competențe de investigare și competențe corective, aplicarea legii privind protecția datelor. Acestea oferă consultanță de specialitate privind problemele legate de protecția datelor și tratează plângerile referitoare la posibile încălcări ale legii.
Contactați autoritatea națională de protecție a datelor
Referințe
- Referințe: Articolele 55, 57 și 58 din RGPD
Aveți dreptul de a mandata un ONG să depună o plângere în numele dvs. dacă sunt întrunite următoarele condiții:
- ONG-ul este constituit în conformitate cu legislația;
- ONG-ul urmărește un obiectiv de interes public (de exemplu, îmbunătățirea vieții cetățenilor în aspectele care țin de consum);
- ONG-ul este activ în domeniul protecției datelor.
Plângerea se poate depune atât la autoritatea de protecție a datelor relevantă, cât și la o autoritate judiciară, dacă este cazul. În anumite state membre ale UE, legislația națională permite unui ONG să depună o cerere fără ca dvs. să îl mandatați în acest scop.
Referințe
- Articolul 80 și considerentul (142) al RGPD
Puteți pretinde despăgubiri dacă o societate sau o organizație nu a respectat legea privind protecția datelor, iar dvs. ați suferit prejudicii materiale (de exemplu, pierderi financiare) sau prejudicii morale (de exemplu, stres sau compromitere a reputației). Vă puteți apăra drepturile adresându-vă companiei sau organizației în cauză ori instanțelor naționale. Puteți pretinde despăgubire adresându-vă instanțelor din statul membru al UE în care își are un sediu operatorul sau persoana împuternicită de operator. Ca alternativă, acțiunile de acest tip pot fi aduse în fața instanțelor din țara UE în care aveți reședința obișnuită.
Exemplu
Plasați o comandă pe un site web. Site-ul suferă un atac cibernetic pentru că nu este securizat în mod adecvat. Datele cardului dvs. de credit au fost introduse pe un alt site web și folosite pentru cumpărarea unor produse pe care nu le-ați comandat dvs. Puteți solicita despăgubiri de la site-ul web pentru prejudiciul financiar, deoarece site-ul a încălcat legea privind protecția datelor prin neasigurarea unui nivel adecvat de securitate la prelucrarea datelor.
Referințe
- Articolul 82 și considerentele (146) și (147) ale RGPD
Aplicarea regulamentului
RGDP se aplică în cazul:
- unei societăți sau unei entități care prelucrează date cu caracter personal ca parte a activităților uneia dintre sucursalele sale cu sediul în UE, indiferent unde are loc prelucrarea datelor; sau
- unei societăți care are sediul în afara UE și oferă bunuri/servicii (contra cost sau gratuit) sau monitorizează comportamentul unor persoane fizice din UE.
În cazul în care societatea dvs. este o întreprindere mică sau mijlocie (IMM) care prelucrează date conform descrierii de mai sus, trebuie să respectați RGDP. Cu toate acestea, dacă prelucrarea datelor cu caracter personal nu constituie o parte esențială a derulării activităților comerciale, iar activitatea dvs. nu creează riscuri pentru persoanele fizice, atunci nu vi se aplică unele obligații din RGPD [de exemplu, numirea unui responsabil cu protecția datelor (RPD)]. Rețineți că „activitățile principale” ar trebui să includă activități în cadrul cărora prelucrarea de date reprezintă o parte inseparabilă a activității operatorului sau a persoanei împuternicite de operator.
Exemple
Când se aplică RGPD
Societatea dvs. este o societate mică din domeniul învățământului superior, cu activitate online și sediu în afara UE. Aceasta vizează în principal universitățile de limbă spaniolă și portugheză din UE. Ea oferă consultanță gratuită cu privire la mai multe cursuri universitare, iar studenții au nevoie de un nume de utilizator și o parolă pentru a accesa materialele dvs. online. Societatea alocă numele de utilizator și parola după ce studenții completează un formular de înscriere.
Când nu se aplică RGPD
Societatea dvs. este un furnizor de servicii cu sediul în afara UE. Ea oferă servicii unor clienți din afara UE. Clienții dvs. pot utiliza aceste servicii când călătoresc în alte țări, inclusiv pe teritoriul UE. Atât timp cât serviciile prestate de societatea dvs. nu se adresează în mod specific persoanelor fizice din UE, societatea nu face obiectul normelor RGPD.
Da, aplicarea regulamentului privind protecția datelor nu depinde de mărimea societății/organizației dvs., ci de natura activităților pe care le desfășurați. Activitățile care prezintă riscuri ridicate pentru drepturile și libertățile persoanelor fizice, indiferent dacă sunt desfășurate de către un IMM sau de către o corporație, atrag aplicarea unor norme mai stringente. Cu toate acestea, unele obligații prevăzute de RGPD nu li se aplică tuturor IMM-urilor.
De exemplu, societățile cu mai puțin de 250 de angajați nu au obligația să păstreze evidențe ale activităților lor de prelucrare decât dacă prelucrarea datelor cu caracter personal este o activitate regulată, reprezintă o amenințare la adresa drepturilor și a libertăților persoanelor fizice sau se referă la date sensibile ori la caziere judiciare.
Tot astfel, IMM-urile au obligația de a numi un responsabil cu protecția datelor numai dacă prelucrarea reprezintă activitatea lor principală și dacă aceasta implică anumite amenințări la adresa drepturilor și a libertăților persoanelor fizice (cum ar fi monitorizarea persoanelor fizice sau prelucrarea unor date sensibile ori a unor caziere judiciare), în special pentru că se desfășoară la scară largă.
Nu, normele se aplică numai datelor cu caracter personal privind persoanele fizice și nu reglementează datele referitoare la societăți sau la alte entități juridice. Cu toate acestea, informațiile legate de societăți alcătuite dintr-o singură persoană pot constitui date cu caracter personal dacă permit identificarea unei persoane fizice. Normele se aplică, de asemenea, tuturor datelor cu caracter personal referitoare la persoane fizice în cadrul unei activități profesionale, cum ar fi angajații unei societăți/organizații, precum adresele de e-mail de afaceri ca „prenume.nume@societate.eu” sau numerele de telefon ale angajaților.
Referințe
- Articolele 1, 2 și 3 și considerentele (13), (14), (15), (18), (19) și (21) ale RGPD
- A se vedea Hotărârea Curții de Justiție din 9 martie 2017, Manni, C-398/15, ECLI:EU:C:2017:197*
* Un sumar al hotărârii a fost publicat în JO C 144, 08.05.2017, p.6.
Principiile RGPD
Tipul și cantitatea de date cu caracter personal pe care societatea/organizația are dreptul să le prelucreze depind de motivul pentru care sunt prelucrate (temeiul juridic în cauză) și de scopul în care sunt prelucrare. Societatea/organizația trebuie să respecte mai multe norme-cheie, inclusiv următoarele:
- datele cu caracter personal trebuie prelucrate într-un mod legal și transparent, garantând echitatea în ceea ce privește persoanele fizice ale căror date cu caracter personal sunt prelucrate („legalitate, echitate și transparență”);
- trebuie să existe scopuri specifice ale prelucrării datelor și societatea/organizația trebuie să informeze persoanele fizice în legătură cu scopurile respective atunci când le colectează date cu caracter personal. Societatea/organizația nu poate colecta pur și simplu date cu caracter personal în scopuri nedefinite („limitări legate de scop”);
- societatea/organizația trebuie să colecteze și să prelucreze numai acele date cu caracter personal care sunt necesare pentru îndeplinirea scopului respectiv („reducerea la minimum a datelor”);
- societatea/organizația trebuie să se asigure că datele cu caracter personal sunt exacte și actualizate, având în vedere scopurile pentru care sunt prelucrate, și să fie corectate în caz contrar („exactitate”);
- societatea/organizația nu are dreptul să utilizeze datele cu caracter personal în alte scopuri care nu sunt compatibile cu scopul inițial;
- societatea/organizația trebuie să se asigure că datele cu caracter personal nu sunt stocate mai mult timp decât este necesar pentru scopurile în care au fost colectate („limitări legate de stocare”);
- societatea/organizația trebuie să prevadă garanții tehnice și organizaționale adecvate care să asigure securitatea datelor cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnologice adecvate („integritate și confidențialitate”).
Exemplu
Societatea/organizația dvs. administrează o agenție de turism. Când obțineți date cu caracter personal ale clienților dvs., ar trebui să le explicați într-un limbaj clar și simplu de ce aveți nevoie de datele respective, cum le veți utiliza și cât timp intenționați să le păstrați. Prelucrarea ar trebui adaptată la principiile-cheie de protecție a datelor.
Referințe
- Articolul 5 alineatul (1) și considerentul (39) al RGPD
- Avizul 03/2013 al Grupului de lucru al articolului 29 privind limitările legate de scop (WP 203)
Pot fi prelucrate datele în orice scop?
Nu. Scopul în care sunt prelucrate datele cu caracter personal trebuie cunoscut, iar persoanele fizice ale căror date le prelucrați trebuie informate. Nu puteți menționa pur și simplu că se vor colecta și prelucra date cu caracter personal. Acesta este principiul „limitărilor legate de scop”.
Referințe
- Avizul 03/2013 al Grupului de lucru al articolului 29 privind limitările legate de scop (WP 203)
Putem folosi date în alt scop?
Da, dar numai în unele cazuri. Dacă societatea/organizația dvs. a colectat date în baza unui interes legitim, a unui contract sau a unor interese vitale, le puteți folosi în alt scop, dar numai după ce vă asigurați că noul scop este compatibil cu scopul inițial.
Trebuie luate în considerare următoarele aspecte:
- legătura dintre scopul inițial și scopul nou/viitor;
- contextul în care au fost colectate datele (care este relația dintre societatea/organizația dvs. și persoana fizică în cauză?);
- tipul și natura datelor (sunt acestea sensibile?);
- posibilele consecințe ale prelucrării ulterioare preconizate (cum vor influența acestea persoana fizică în cauză?);
- existența unor garanții adecvate (cum ar fi criptarea sau pseudonimizarea).
Dacă societatea/organizația dvs. dorește să utilizeze datele pentru statistici sau pentru cercetare, nu este obligatoriu să testeze compatibilitatea.
Dacă societatea/organizația dvs. a colectat date în temeiul unui consimțământ sau al unei cerințe legislative, nu este posibilă nicio prelucrare ulterioară care depășește domeniile acoperite de consimțământul inițial sau de dispoziția legislativă. Prelucrarea ulterioară ar necesita obținerea unui nou consimțământ sau un nou temei juridic.
Exemple
Este posibilă prelucrarea ulterioară
O bancă are un contract cu un client pentru a-i oferi clientului un cont bancar și un împrumut de nevoi personale. La sfârșitul primului an, banca utilizează datele cu caracter personal ale clientului pentru a verifica dacă acesta este eligibil pentru un tip de împrumut mai avantajos și pentru un sistem de economii. Banca informează clientul. Banca poate prelucra din nou datele clientului, deoarece noile scopuri sunt compatibile cu scopul inițial.
Nu este posibilă prelucrarea ulterioară
Aceeași bancă dorește să transmită datele clientului unor firme de asigurări, în temeiul aceluiași contract pentru constituirea unui cont bancar și acordarea unui împrumut de nevoi personale. Această prelucrare nu este permisă fără consimțământul explicit al clientului, deoarece scopul nu este compatibil cu scopul inițial în care au fost prelucrate datele.
Referințe
- Articolul 5 alineatul (1) litera (b), articolul 6 alineatul (4) și articolul 89 alineatul (1); considerentele (39) și (50) ale RGPD
- Avizul 03/2013 al Grupului de lucru al articolului 29 privind limitările legate de scop, 2 aprilie 2013 (WP 203)
Datele cu caracter personal ar trebui prelucrate numai atunci când nu este posibilă în mod rezonabil efectuarea prelucrării în alt mod. Dacă este posibil, este preferabil să se utilizeze date anonime. În cazul în care sunt necesare date cu caracter personal, acestea ar trebui să fie adecvate, relevante și limitate la ceea ce este necesar în scopul respectiv („reducerea la minimum a datelor”). În calitate de operator, societății/organizației dvs. îi revine responsabilitatea de a evalua ce volum de date este necesar și de a se asigura că nu se colectează date irelevante.
Exemplu
Societatea/organizația dvs. oferă persoanelor fizice servicii de partajare a autoturismelor. Pentru aceste servicii poate avea nevoie de numele, adresa și numărul cardului de credit al clienților și, poate, chiar de informații privind o eventuală dizabilitate de care suferă persoana în cauză (așadar, date privind sănătatea), dar nu și de originea rasială a clienților.
Referințe
- Articolul 5 alineatul (1) litera (c) și considerentul (39) al RGPD
Trebuie să stocați datele pentru o perioadă cât mai scurtă posibil. Perioada ar trebui să țină seama de motivele pentru care societatea/organizația dvs. trebuie să prelucreze datele, precum și de eventuale obligații juridice de a păstra datele o perioadă fixă de timp (de exemplu, legile privind ocuparea forței de muncă, legile fiscale sau legile antifraudă naționale care vă impun păstrarea datelor cu caracter personal despre angajații dvs. pentru o perioadă determinată, durata garanției produselor etc.).
Societatea/organizația dvs. ar trebui să stabilească termene pentru ștergerea sau revizuirea datelor stocate.
Ca excepție, datele cu caracter personal pot fi păstrate o perioadă mai îndelungată în scopuri de arhivare în interes public ori în scopuri de cercetare științifică sau istorică, cu condiția să fie puse în aplicare măsuri de ordin tehnic și organizatoric adecvate (precum anonimizare, criptare etc.).
De asemenea, societatea/organizația dvs. trebuie să se asigure că datele pe care le deține sunt exacte și să le actualizeze.
Exemplu
Date păstrate prea mult timp fără actualizare
Societatea/organizația dvs. administrează un birou de recrutări și, în acest scop, colectează CV-uri ale unor persoane dornice de angajare, care, în schimbul serviciilor dvs. de intermediere, vă plătesc o taxă. Intenționați să păstrați datele timp de 20 de ani și nu aveți măsuri de actualizare a CV-urilor. Perioada de stocare nu pare proporțională cu scopul de a găsi un loc de muncă pentru o persoană pe termen scurt până la mediu. Mai mult, faptul că nu cereți actualizări ale CV-urilor la intervale regulate face ca unele căutări să fie inutile pentru persoana care caută un loc de muncă după o anumită perioadă de timp (de exemplu, pentru că persoana respectivă a dobândit calificări noi).
Referințe
- Articolul 5 alineatul (1) litera (e) și considerentul (39) al RGPD
În momentul în care colectați datele, persoanele trebuie clar informate cel puțin despre:
- cine este societatea/organizația dvs. (datele de contact ale dvs. și ale eventualului RPD al dvs., dacă este cazul);
- la ce va folosi societatea/organizația dvs. datele cu caracter personal ale acestora (scopurile);
- categoriile de date cu caracter personal în cauză;
- justificarea juridică a prelucrării datelor;
- cât timp vor fi păstrate datele;
- cine altcineva le-ar putea primi;
- dacă datele cu caracter personal ale acestor oameni vor fi transferate către un destinatar din afara UE;
- că aceștia au dreptul la o copie a datelor (dreptul de a accesa datele cu caracter personal) și alte drepturi de bază în domeniul protecției datelor ;
- dreptul de a depune o plângere în fața unei autorități de protecție a datelor (APD);
- dreptul de a-și retrage consimțământul în orice moment;
- eventuala existență a unui proces decizional automatizat și logica utilizată, inclusiv consecințele acestui fapt.
Aceste informații trebuie furnizate în scris, oral la solicitarea persoanei vizate, dacă identitatea acesteia a fost dovedită prin alte mijloace, sau prin mijloace electronice atunci când este oportun. Societatea/organizația dvs. trebuie să furnizeze informațiile într-un mod concis, transparent, inteligibil și ușor accesibil, într-un limbaj clar și simplu și în mod gratuit.
Când datele sunt obținute de la o altă societate/organizație, societatea/organizația dvs. ar trebui să îi furnizeze persoanei informațiile menționate mai sus în termen de o lună de la momentul la care societatea/organizația dvs. a obținut datele cu caracter personal; sau, în cazul în care societatea/organizația dvs. comunică cu persoana fizică, în momentul în care datele sunt utilizate pentru comunicarea cu aceasta; sau, dacă se intenționează divulgarea datelor către o altă societate, la data la care datele cu caracter personal au fost divulgate pentru prima oară.
De asemenea, societatea/organizația dvs. are obligația de a informa persoana fizică în legătură cu categoriile de date și cu sursa din care a obținut datele, inclusiv dacă au fost obținute din surse disponibile public. În anumite situații enumerate la articolul 13 alineatul (4) și la articolul 14 alineatul (5) din RGPD, societatea/organizația dvs. poate fi scutită de obligația de a informa persoana fizică. Vă rugăm să verificați dacă această excepție se aplică societății/organizației dvs.
Referințe
- Articolul 12 alineatele (1), (5) și (7), articolele 13 și 14 și considerentele (58)-(62) ale RGPD
- Orientările Grupului de lucru al articolului 29 privind transparența
Administrațiile publice și protecția datelor
O administrație publică face obiectul normelor RGPD atunci când prelucrează date cu caracter personal referitoare la o persoană fizică. Este responsabilitatea administrațiilor naționale să sprijine administrația regională și locală în pregătirea pentru aplicarea RGPD.
Cele mai multe date cu caracter personal deținute de administrațiile publice sunt prelucrate în mod obișnuit în temeiul unei obligații legale sau în măsura în care acest lucru este necesar pentru îndeplinirea unor atribuții de interes public sau în exercitarea autorității publice cu care este învestită organismul.
Când prelucrează date cu caracter personal, o administrație publică trebuie să respecte principii-cheie cum sunt:
- o prelucrare echitabilă și legală;
- limitarea scopului;
- reducerea la minimum a datelor și păstrarea datelor.
În cazul prelucrării în temeiul legii, această lege ar trebui să asigure deja respectarea acestor principii (spre exemplu, tipuri de date, perioada de stocare și măsuri de protecție corespunzătoare).
Înainte de a prelucra date cu caracter personal, persoanele fizice trebuie informate cu privire la prelucrare, cum ar fi scopurile acesteia, tipurile de date colectate, destinatarii și drepturile care le revin în ceea ce privește protecția datelor.
O administrație publică trebuie să numească un responsabil cu protecția datelor (RPD), cu toate acestea un responsabil cu protecția datelor poate fi numit pentru mai multe organisme publice și prin urmare acesta să fie comun, sau există posibilitatea externalizării acestei activități unui RPD extern De asemenea, trebuie să se asigure că a pus în aplicare măsuri tehnice și organizatorice adecvate pentru a securiza datele cu caracter personal. Dacă se externalizează unele părți ale prelucrării către o organizație externă (o așa-numită „persoană împuternicită de operator”), trebuie să existe un contract sau un alt act juridic care să garanteze faptul că persoana împuternicită de operator oferă garanții suficiente pentru punerea în aplicare a unor măsuri tehnice și organizatorice adecvate care întrunesc standardele RGPD.
În cazurile în care datele cu caracter personal deținute sunt dezvăluite în mod accidental sau ilegal către destinatari neautorizați sau sunt indisponibile temporar ori suferă modificări, autoritatea de protecție a datelor (APD) trebuie înștiințată cu privire la încălcare fără întârzieri nejustificate, în termen de cel mult 72 de ore de la momentul la care ați luat cunoștință de încălcare. Poate fi necesar ca administrația publică să informeze și persoanele fizice cu privire la încălcare.
Puteți găsi mai multe informații despre obligațiile administrațiilor publice în temeiul RGPD în secțiunea „Norme pentru companii și organizații”.
Referințe
- Capitolele II și IV din RGPD
Persoanele fizice pot contacta o administrație publică pentru a-și exercita drepturile conferite de RGPD (dreptul de acces, de rectificare, de ștergere, de restricționare, de opoziție, dreptul de a nu face obiectul unui proces decizional automat).
Rețineți că persoanele fizice au dreptul de a se opune prelucrării datelor cu caracter personal de către o administrație publică pe motive de interes public. Persoanele respective trebuie să prezinte administrației publice motive referitoare la situația lor particulară. Administrația publică poate continua să prelucreze datele și deci poate respinge solicitarea dacă demonstrează motive legitime și imperioase care justifică prelucrarea și care prevalează asupra intereselor și a drepturilor persoanei fizice sau dacă datele respective sunt necesare pentru constatarea, exercitarea sau apărarea unui drept în instanță.
Persoanele fizice nu au drepturi asupra transmiterii acelor date referitoare la ele care sunt necesare pentru îndeplinirea unei sarcini executate în interes public sau în cadrul exercitării unei autorități oficiale cu care este învestit operatorul.
O administrație publică trebuie să răspundă solicitărilor primite din partea persoanelor fizice fără întârzieri nejustificate, în principiu, în termen de o lună de la primirea solicitării. Aceasta poate cere persoanelor care efectuează solicitarea informații suplimentare pentru a le confirma identitatea. Dacă solicitarea este respinsă, persoanele în cauză trebuie informate cu privire la motivele respingerii și la dreptul acestora de a depune o plângere la APD, precum și la dreptul acestora la o cale de atac.
Puteți găsi mai multe informații despre obligațiile care vă revin în temeiul RGPD în secțiunea „Norme pentru companii și organizații”.
Referință
- Capitolul III din RGPD
Autoritățile de protecție a datelor au la dispoziție diferite instrumente în caz de încălcare. În cazul unei posibile încălcări se poate emite un avertisment. În cazul unei încălcări, printre posibilități se numără: o mustrare sau interzicerea temporară sau definitivă a prelucrării. În unele țări, organismele publice pot face obiectul unor amenzi administrative. O administrație publică trebuie să verifice legea privind protecția datelor din țara dvs.
Persoanele fizice pot cere despăgubiri în cazul în care un organism public a încălcat RGPD, iar ele au suferit prejudicii materiale (de exemplu, pierderi financiare) sau morale (de exemplu, compromiterea reputației sau stres psihologic). RGPD asigură faptul că aceste persoane vor primi despăgubiri indiferent de numărul organizațiilor implicate în prelucrarea datelor lor. Cererea de despăgubire poate fi adresată direct organismului public sau poate fi adusă în fața instanțelor naționale competente din statul membru vizat.
Referințe
- Articolele 58, 82, 83 și 84 și considerentele (129), (146), (147), (148), (150) și (151) din RGPD
Temeiul juridic al prelucrării datelor – Motivele prelucrării
Societatea/organizația dvs. poate prelucra date cu caracter personal numai în situațiile următoare:
- cu consimțământul persoanelor fizice în cauză;
- când există o obligație contractuală (un contract între societatea/organizația dvs. și un client);
- pentru a respecta o obligație legală (prevăzută în legislația UE sau în legislația națională);
- când prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public (prevăzute în legislația UE sau în legislația națională);
- pentru a proteja interesele vitale ale unei persoane fizice;
- în scopul intereselor legitime ale organizației dvs., dar numai după ce v-ați asigurat că acest lucru nu are un impact grav asupra drepturilor și a libertăților fundamentale ale persoanei ale cărei date le prelucrați. Dacă drepturile persoanei respective prevalează în raport cu interesele dvs., prelucrarea nu poate fi efectuată în temeiul unui interes legitim. Stabilirea aspectului dacă societatea/organizația dvs. are interese legitime privind prelucrarea în raport cu cele ale persoanelor în cauză depinde de circumstanțele individuale.
Exemple
Consimțământul
Societatea/organizația dvs. oferă o aplicație de muzică și solicitați consimțământul cetățenilor pentru a le prelucra preferințele muzicale, cu scopul de a le oferi sugestii personalizate privind melodiile și eventuale concerte.
Obligație contractuală
Societatea/organizația dvs. vinde produse online. Aceasta poate prelucra datele care sunt necesare pentru a parcurge etapele premergătoare încheierii contractului la solicitarea persoanei respective și pentru executarea contractului. Așadar, puteți prelucra numele, adresa de livrare, numărul cardului de credit (dacă plata se efectuează cu cardul) etc.
Obligație legală
Sunteți proprietarul unei societăți cu angajați. Pentru a obține acoperire în materie de securitate socială, legea vă obligă să furnizați autorității relevante date cu caracter personal (de exemplu, venitul săptămânal al angajaților dvs.).
Interes public
Exemplu: o asociație profesională, cum ar fi o asociație de tip barou sau o cameră a profesioniștilor din domeniul medical învestită cu o autoritate oficială în acest scop, poate efectua proceduri disciplinare împotriva unor membri ai săi.
Interesele vitale ale unei persoane
Un spital tratează un pacient după un accident rutier grav; spitalul nu are nevoie de consimțământul acestuia pentru a-i căuta actul de identitate și a verifica dacă persoana respectivă se află în baza sa de date, pentru a-i găsi fișa medicală sau a-i contacta rudele cele mai apropiate.
Interesele legitime ale organizației dvs.
Societatea/organizația dvs. asigură securitatea rețelei sale, monitorizează utilizarea dispozitivelor de TI ale angajaților săi. Societatea/organizația dvs. poate prelucra în mod legitim date cu caracter personal în acest scop numai dacă alegeți metoda cel mai puțin intruzivă în ceea ce privește drepturile angajaților dvs. la protejarea confidențialității și a datelor, de exemplu, limitând accesibilitatea anumitor site-uri (Rețineți că acest lucru nu este posibil în statele membre UE în care legislația națională stabilește norme mai stricte pentru prelucrarea în contextul legat de forța de muncă.)
Referințe
- Articolul 6 și considerentele (40)-(49) ale RGPD
- Avizul 06/2014 al Grupului de lucru al articolului 29 privind noțiunea de interese legitime ale operatorului de date în temeiul articolului 7 din Directiva 95/46/CE
În calitate de societate/organizație, aveți adesea nevoie să prelucrați date cu caracter personal pentru a îndeplini sarcini legate de activitățile dvs. de afaceri. Prelucrarea datelor cu caracter personal în acest context poate să nu fie neapărat justificată de o obligație legală sau de obligația de executare a termenelor unui contract cu o persoană fizică. Prin urmare, în astfel de cazuri prelucrarea datelor poate fi justificată pe „interese legitime”.
Societatea/organizația dvs. trebuie să informeze persoanele în cauză cu privire la prelucrare în momentul în care sunt colectate datele lor cu caracter personal.
De asemenea, societatea/organizația dvs. trebuie să se asigure că, urmărindu-și interesele legitime, nu afectează în mod grav drepturile și libertățile persoanelor fizice în cauză; în caz contrar, societatea/organizația dvs.nu se poate baza pe interese legitime ca justificare a prelucrării datelor și trebuie găsit un alt temei juridic.
Exemplu
Societatea/organizația dvs. are un interes legitim când prelucrarea are loc în cadrul relației cu un client, când prelucrează date cu caracter personal în scopuri de marketing direct, pentru a preveni frauda sau pentru a asigura securitatea rețelei și a informațiilor în sistemele dvs. informatice.
Referințe
- Articolul 6 și considerentele (47), (48) și (49) ale RGPD
- Avizul 06/2014 al Grupului de lucru al articolului 29 privind noțiunea de interese legitime ale operatorului de date în temeiul articolului 7 din Directiva 95/46/CE
Când este necesar consimțământul pentru prelucrarea datelor cu caracter personal, trebuie întrunite mai multe condiții pentru ca acest consimțământ să fie valabil:
- acesta trebuie să fie liber exprimat;
- trebuie să fie acordat în cunoștință de cauză;
- trebuie acordat pentru un scop specific;
- toate motivele prelucrării trebuie precizate clar;
- trebuie să fie explicit și acordat printr-un act pozitiv (de exemplu, o căsuță pe care persoana fizică trebuie să o bifeze explicit online sau o semnătură pe un formular);
- trebuie să folosească un limbaj clar și simplu și să fie clar vizibil;
- consimțământul poate fi retras, iar acest lucru trebuie să fie explicat (de exemplu, un link pentru dezabonare la sfârșitul unui e-mail care conține un buletin informativ electronic).
Pentru a fi acordat în mod liber consimțământul, persoana fizică trebuie să aibă libertatea de a alege și trebuie să poată să refuze sau să își retragă consimțământul fără a fi pusă în dezavantaj. Consimțământul nu este acordat în mod liber, de exemplu, dacă există un dezechilibru clar între persoana fizică și societate/organizație (de exemplu, relația angajator-angajat) sau atunci când o societate/organizație le solicită persoanelor fizice să aprobe prelucrarea unor date cu caracter personal care nu sunt necesare ca o condiție pentru executarea unui contract sau a unui serviciu.
Pentru ca o persoană să își dea consimțământul în cunoștință de cauză, acesteia trebuie să i se ofere cel puțin următoarele informații:
- informații privind identitatea organizației care prelucrează datele;
- informații privind scopurile în care sunt prelucrate datele;
- informații privind tipul de date care se va prelucra;
- posibilitatea de retragere a consimțământului dat (exemplu: un link pentru dezabonare la sfârșitul unui e-mail);
- dacă este cazul, informații privind faptul că datele vor fi utilizate pentru luarea de decizii bazate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri;
- în cazul în care consimțământul se referă la un transfer internațional, informații privind riscurile posibile ale transferurilor de date în țări terțe care nu fac obiectul unei decizii a Comisiei privind caracterul adecvat și nu există garanții adecvate.
Rețineți: în cazul în care cineva își dă consimțământul privind prelucrarea datelor sale cu caracter personal, puteți prelucra datele numai în scopurile pentru care a fost dat consimțământul.
Exemplu
Consimțământ liber exprimat
Sunteți o companie aeriană, iar anunțul dvs. referitor la confidențialitate precizează că datele cu caracter personal ale clienților pot fi prelucrate pentru un concurs organizat de compania aeriană, care oferă ca premiu un bilet gratuit. Clienții care au bifat căsuța pentru a-și exprima acordul privind participarea la concurs au semnalat în mod clar dorința ca datele cu caracter personal să fie prelucrate în scopul concursului. Există astfel un consimțământ pentru prelucrarea datelor în scopul concursului, dar nu în alte scopuri.
Consimțământ care nu este liber exprimat
Societatea/organizația dvs. oferă servicii de filme online. Când colectați datele necesare pentru acest contract, solicitați și date suplimentare, cum ar fi orientarea sexuală sau convingerile politice ale unei persoane. Persoana respectivă poate să creadă că trebuie să își dea consimțământul privind prelucrarea datelor de acest tip pentru a putea accesa filmele pe care le solicită. În acest caz, consimțământul nu este liber, ci este un „consimțământ constrâns”.
Referințe
- Articolul 4 punctul 11și articolul 7 și considerentele (32), (42) și (43) ale RGPD
- Avizul Grupului de lucru al articolului 29 privind consimțământul, adoptat în 28 noiembrie 2017
În cazul în care consimțământul acordat de către o persoană anterior Regulamentului general privind protecția datelor (RGPD) întrunește condițiile RGPD, nu este necesar să solicitați din nou consimțământul persoanei fizice. Societatea/organizația dvs. trebuie să se asigure că acel consimțământ acordat înainte de aplicarea RGPD întrunește condițiile stabilite în RGPD.
Exemple
Nu este necesar un consimțământ nou
RGPD va începe să se aplice la 25 mai 2018. Societatea/organizația dvs. și-a revizuit de curând politica privind confidențialitatea. Ați verificat dacă consimțământul a fost obținut în scris în cadrul organizației dvs. și dacă a respectat toate cerințele RGPD. În acest caz, nu este nevoie să solicitați din nou consimțământul clienților dvs. în mai 2018.
Este necesară obținerea unui nou consimțământ
Societatea/organizația dvs. a obținut consimțământul clienților cu câțiva ani în urmă, folosind un sistem de căsuțe bifate în prealabil online. Acum este clar că acest mod de a obține consimțământul nu va fi valabil începând cu data de 25 mai 2018. Societatea/organizația dvs. va trebui să obțină din nou consimțământul dacă dorește să prelucreze în continuare datele.
Referințe
- Articolul 4 punctul 11 și articolul 7 și considerentul (171) al RGPD
- Avizul Grupului de lucru al articolului 29 privind consimțământul, adoptat în 28 noiembrie 2017
Retragerea consimțământului ar trebui să se poată realiza la fel de ușor ca și acordarea acestuia. Dacă se retrage consimțământul, societatea/organizația dvs. nu mai poate prelucra datele. Odată retras consimțământul, societatea/organizația dvs.trebuie să se asigure că datele sunt șterse, dacă nu există un alt temei juridic al prelucrării (de exemplu, cerințe privind stocarea sau faptul că prelucrarea este necesară pentru îndeplinirea contractului).
Dacă datele se prelucrau în mai multe scopuri, societatea/organizația dvs. nu mai poate utiliza datele cu caracter personal pentru acea parte a prelucrării pentru care a fost retras consimțământul și nici pentru vreun alt scop, în funcție de natura retragerii consimțământului.
Exemplu
Furnizați un buletin informativ online. Clientul dvs. își dă consimțământul pentru a se abona la buletinul informativ online, permițându-vă să prelucrați toate datele în interesul său pentru a construi un profil al tipurilor de articole pe care le consultă. Un an mai târziu, clientul vă informează că nu mai dorește să primească buletinul informativ online. Trebuie să ștergeți din baza dvs. de date toate datele cu caracter personal referitoare la persoana respectivă culese în contextul abonării la buletinul informativ, inclusiv profilul (profilurile) referitoare la persoana respectivă.
Referințe
- Articolul 7 și considerentele (32), (33), (42), (43) și (58) ale RGPD
- Avizul 15/2011 al Grupului de lucru al articolului 29 privind definiția consimțământului (de actualizat prin avizul adoptat în data de 28 noiembrie 2017)
Este permisă o oarecare flexibilitate în ceea ce privește gradul de specificație și granularitatea consimțământului în contextul cercetărilor științifice. Când colectează date cu caracter personal, este posibil ca cercetătorii să nu poată identifica pe deplin scopurile prelucrării acestora. În aceste cazuri, ei le pot solicita persoanelor fizice să își dea consimțământul pentru anumite domenii de cercetare științifică sau pentru anumite părți ale proiectelor de cercetare. Consimțământul trebuie să își păstreze în orice caz elementele de bază: să fie liber exprimat, în cunoștință de cauză, solicitat printr-o acțiune fără echivoc și să fie specific măsurii permise de cercetarea în cauză. Cercetătorii trebuie să se asigure că respectă, de asemenea, standardele etice și metodologice impuse în domeniul lor.
Exemplu
Un grup de cercetători dorește să studieze o anumită formă de cancer, dar sunt conștienți de posibilele implicații pentru alte forme de cancer. În acest caz, aceștia pot solicita consimțământul unei persoane pentru prelucrarea datelor în legătură cu cercetarea în domeniul cancerului.
Referință
- Considerentul (33) al RGPD
Societatea/organizația dvs. poate prelucra datele cu caracter personal ale unui copil pe baza consimțământului numai dacă aveți consimțământul explicit al părintelui sau al tutorelui acestuia, până la o anumită vârstă. Limita de vârstă pentru obținerea consimțământului părinților variază între 13 și 16 ani, în funcție de vârsta stabilită în fiecare stat membru al UE. Consultați autoritatea națională de protecție a datelor.
Trebuie să depuneți eforturi rezonabile, ținând seama de tehnologiile disponibile, pentru a vă asigura că respectivul consimțământ a fost într-adevăr acordat în conformitate cu prevederile legii. Cu alte cuvinte, societatea/organizația dvs. trebuie să pună în aplicare măsuri de verificare a vârstei (de exemplu, întrebări de control, acțiuni efectuate pe site-ul web).
Trebuie obținut consimțământul părintelui sau al tutorelui dacă lucrați la site-uri de rețele sociale care pun la dispoziție jocuri gratuite pentru copii sau asigurări pentru familii, de exemplu.
Dacă sunteți o organizație care vizează copiii, trebuie să vă asigurați că orice informații și comunicări adresate unui copil sunt ușor accesibile și sunt exprimate într-un limbaj simplu și clar, astfel încât copilul să îl poată înțelege cu ușurință.
Serviciile de prevenire sau de consiliere oferite direct unui copil nu necesită autorizare din partea unui părinte, deoarece ele urmăresc protejarea intereselor copiilor.
Referințe
- Articolele 8 și 12 și considerentele (38) și (58) ale RGPD
Înainte de a dobândi de la o altă organizație o listă de date de contact sau o bază de date cu datele de contact ale unor persoane fizice, organizația respectivă trebuie să poată demonstra că datele au fost obținute în conformitate cu Regulamentul general privind protecția datelor și că are dreptul de a le utiliza în scopuri publicitare. De exemplu, dacă organizația le-a dobândit pe baza unui consimțământ, consimțământul trebuia să includă posibilitatea de transmitere a datelor către alți destinatari pentru marketingul direct al acestora.
În plus, societatea/organizația dvs. trebuie să se asigure că lista sau baza de date este actualizată și că nu trimiteți reclame unor persoane fizice care s-au opus prelucrării datelor lor cu caracter personal în scopuri de marketing direct. De asemenea, societatea/organizația dvs. trebuie să se asigure că, dacă sunt folosite mijloace de comunicare precum e-mailul în scopuri de marketing direct, sunt respectate normele stabilite în Directiva privind confidențialitatea în mediul electronic(Directiva 2002/58/CE*).
Asemenea liste vor fi prelucrate în temeiul intereselor dvs. legitime, iar persoanele fizice vor avea dreptul de a se opune prelucrării de acest tip. În plus, societatea/organizația dvs. trebuie să informeze persoanele fizice, cel târziu în momentul primei comunicări cu acestea, că le-a colectat datele cu caracter personal și că le va prelucra pentru a le trimite reclame.
* Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupra confidențialității și comunicațiilor electronice) (OJ L 201, 31.07.2002 p.37, Ediție specială, 13/vol. 36, p. 63).
Exemplu
Doi prieteni, dna A și dl B, au o sală de sport, respectiv o librărie. Fiecare dintre ei colectează date de la clienții săi. Librăria dlui B nu merge bine. Baza sa de date cu clienți are foarte puține înregistrări, iar în magazinul său nu intră mulți oameni. El îi povestește dnei A că are o nouă biografie a unui atlet renumit și întreabă dacă clienții dnei A ar fi interesați să primească o reclamă despre carte. Termenele din notificarea dnei A privind confidențialitatea au informat clienții acesteia că ea ar putea partaja datele cu parteneri care oferă produse în domeniul sănătății și al fitnessului. În măsura în care s-a acordat consimțământul specific în scopul transmiterii datelor către alți destinatari în scopul marketingului direct al acestora, dna A îi poate trimite dlui B lista clienților. Nu pot fi trimise date despre o persoană vizată care s-a opus prelucrării datelor sale cu caracter personal.
Referințe
- Articolul 4 punctul 10 și articolele 5, 6, 14 și 21
- Avizul Grupului de lucru al articolului 29 privind transparența
- Normele privind marketingul direct stabilite în Directiva 2002/58/CE privind confidențialitatea în mediul electronic, în special în articolul 13
Date sensibile
Următoarele date cu caracter personal sunt considerate „sensibile” și fac obiectul unor condiții de prelucrare speciale:
- date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice;
- apartenența la sindicate;
- date genetice, datele biometrice prelucrate doar pentru identificare a unei ființe umane;
- date privind sănătatea;
- date privind viața sexuală sau orientarea sexuală a unei persoane.
Referințe
- Articolul 4 punctele 13, 14 și 15 și articolul 9 și considerentele (51)-(56) ale RGPD
Societatea/organizația dvs. poate prelucra date sensibile numai dacă sunt îndeplinite una dintre condițiile de mai jos:
- a fost obținut consimțământul explicit al persoanei fizice (în anumite cazuri, o lege poate elimina această opțiune);
- dreptul UE sau dreptul național ori un acord colectiv impune societății/organizației dvs. să prelucreze datele pentru a îndeplini obligațiile și drepturile sale, precum și cele ale persoanelor fizice, în domeniul ocupării forței de muncă, al securității sociale și al legislației privind protecția socială;
- sunt în joc interesele vitale ale persoanei respective sau ale unei persoane care se află în incapacitate fizică sau juridică de a-și da consimțământul;
- sunteți o fundație, o asociație sau un alt organism fără scop lucrativ și cu specific politic, filozofic, religios sau sindical și prelucrați date referitoare la membrii dvs. sau la persoane care au contacte permanente cu organizația dvs.;
- datele cu caracter personal au fost făcute publice în mod manifestde către persoana fizică în cauză;
- datele sunt necesare pentru constatarea, exercitarea sau apărarea unui drept în instanță;
- datele sunt prelucrate din motive de interes public major în baza dreptului UE sau a dreptului intern;
- datele sunt prelucrate în scopuri legate de: medicina preventivă sau a muncii; evaluarea capacității de muncă a angajatului; stabilirea unui diagnostic medical; furnizarea de asistență medicală sau socială sau a unui tratament medical ori gestionarea sistemelor și serviciilor de sănătate sau de asistență socială, în temeiul dreptului UE sau al dreptului național sau în temeiul unui contract încheiat cu un cadru medical;
- datele sunt prelucrate din motive de interes public în domeniul sănătății publice în temeiul dreptului UE sau al dreptului național;
- datele sunt prelucrate în scopuri de arhivare sau de cercetare științifică ori istorică sau în scopuri statistice, în baza dreptului UE sau a dreptului național.
Dreptul intern poate impune și alte condiții privind prelucrarea datelor genetice, a datelor biometrice sau a datelor privind sănătatea. Consultați autoritatea națională de protecție a datelor.
Exemplu
Puteți prelucra date sensibile
Un medic consultă mai mulți pacienți la clinica sa. Acesta înregistrează consultația într-o bază de date care include câmpuri precum prenumele/numele de familie al pacientului, descrierea simptomelor și medicamentele prescrise. Acestea sunt considerate date sensibile. Prelucrarea de către clinică a datelor privind sănătatea este permisă în temeiul legii privind protecția datelor, deoarece este necesară pentru a trata persoana și este efectuată sub responsabilitatea unui medic, care face obiectul unei obligații de secret profesional.
Nu puteți prelucra date sensibile
Sunteți o societate care vinde rochii online. Pentru a adapta serviciile la interesele specifice ale clienților dvs., le solicitați să vă furnizeze informații privind mărimile, culoarea preferată, modalitatea de plată, numele și adresa, în vederea livrării produsului. În plus, societatea dvs. solicită informații privind opiniile politice ale clienților dvs. Aveți nevoie de majoritatea informațiilor pentru a vă îndeplini partea dvs. de contract. Opiniile politice ale clienților dvs. nu sunt însă necesare pentru producerea și livrarea rochiilor. Societatea dvs. nu poate solicita aceste informații în temeiul acestui contract.
Referințe
- Articolul 9 și considerentele (51)-(56) ale RGPD
Obligațiile companiilor și a organizațiilor
Operatorul de date stabilește scopurile și mijloacele prelucrării datelor cu caracter personal. Așadar, dacă societatea/organizația dvs. decide „de ce” și „cum” ar trebui prelucrate datele cu caracter personal, aceasta este operatorul de date. Angajații care prelucrează date cu caracter personal în cadrul organizației dvs. fac acest lucru pentru a îndeplini sarcinile dvs. în calitate de operator de date.
Societatea/organizația dvs. este operator asociat în cazul în care, împreună cu una sau mai multe organizații, stabilește în comun „de ce” și „cum” ar trebui prelucrate datele cu caracter personal. Operatorii asociați trebuie să încheie un acord care să stabilească responsabilitățile fiecăruia în ceea ce privește îndeplinirea normelor cuprinse în RGPD. Principalele aspecte ale acordului trebuie comunicate persoanelor fizice ale căror date se prelucrează.
Persoana împuternicită de operator prelucrează date cu caracter personal numai în numele operatorului. De obicei, persoana împuternicită de operator este un terț din afara societății. Cu toate acestea, în cazul grupurilor de întreprinderi, o întreprindere poate îndeplini rolul de persoană împuternicită de operator pentru o altă întreprindere.
Atribuțiile persoanei împuternicite de operator în raport cu operatorul trebuie precizate într-un contract sau într-un alt act juridic. De exemplu, contractul trebuie să precizeze ce se întâmplă cu datele cu caracter personal în momentul încetării contractului. O activitate tipică a persoanelor împuternicite de operatori este furnizarea de soluții informatice, inclusiv de stocare în cloud. Persoana împuternicită de operator poate subcontracta o parte a sarcinii sale la o altă persoană împuternicită de operator sau poate numi o persoană asociată împuternicită de operator numai dacă a primit în prealabil o autorizație scrisă din partea operatorului de date.
Există situații în care o entitate poate fi operator de date, persoană împuternicită de operator sau ambele.
Exemple
Operator și persoană împuternicită de operator
O fabrică de bere are numeroși angajați. Aceasta semnează un contract cu o societate de administrare a statelor de plată, pentru efectuarea plății salariilor angajaților. Fabrica de bere îi spune societății de administrare a statelor de plată când trebuie plătite salariile, când un angajat părăsește fabrica sau primește o mărire de salariu și îi furnizează toate celelalte date pentru fluturașul de salariu și pentru plată. Societatea de administrare a statelor de plată furnizează sistemul informatic și stochează datele angajaților. Fabrica de bere este operatorul de date, iar societatea de administrare a statelor de plată este persoana împuternicită de operator.
Operatori asociați
Societatea/organizația dvs. oferă servicii de babysitting printr-o platformă online. În același timp, societatea/organizația dvs. are un contract cu o altă societate, care vă permite să oferiți servicii cu valoare adăugată. Aceste servicii includ posibilitatea ca părinții nu doar să aleagă ce babysitter doresc, ci și să închirieze jocuri și DVD-uri pe care să le aducă babysitterul. Ambele societăți sunt implicate în organizarea tehnică a site-ului. În acest caz, cele două societăți au decis să utilizeze platforma în ambele scopuri (servicii de babysitting și închirierea de DVD-uri/jocuri) și vor partaja foarte frecvent numele clienților. Prin urmare, cele două societăți sunt operatori asociați, pentru că ele nu doar că au convenit să ofere posibilitatea unor „servicii combinate”, ci și proiectează și utilizează o platformă comună.
Referințe
- Articolul 4 punctele 7 și 8, articolele 24, 26, 28 și 29 și considerentele (74), (79) și (81) ale RGPD
- Avizul 1/2010 al Grupului de lucru al articolului 29 privind conceptele de „operator” și „persoană împuternicită de operator” (WP 169)
Altcineva (o persoană fizică sau juridică ori un alt organism) poate să prelucreze date cu caracter personal în numele dvs. cu condiția să existe un contract sau un alt act juridic. Este important ca persoana împuternicită de operator pe care o numiți să ofere suficiente garanții de aplicare a unor măsuri tehnice și organizaționale adecvate pentru a se asigura că prelucrarea va întruni standardele Regulamentului general privind protecția datelor (RGPD) și pentru a garanta protecția drepturilor persoanelor fizice.
Persoana împuternicită de operator nu poate numi în continuare o altă persoană împuternicită de operator fără a primi în prealabil o autorizație scrisă, specifică sau generală, din partea dvs. Contractul sau actul juridic dintre societatea/organizația dvs. și persoana împuternicită de operator ar trebui să includă următoarele elemente:
- posibilitatea de a efectua prelucrarea numai pe baza unor instrucțiuni documentate din partea operatorului;
- asigurarea de către persoana împuternicită de operator a faptului că persoanele autorizate să prelucreze datele cu caracter personal s-au angajat să respecte confidențialitatea sau au o obligație statutară adecvată de confidențialitate;
- obligația persoanei împuternicite de operator de a oferi un nivel de securitate minim definit de către operator;
- obligația persoanei împuternicite de operator de a vă ajuta să asigurați respectarea RGPD.
Exemple
O firmă de construcții folosește serviciile unui subcontractant pentru anumite lucrări de construcții și îi furnizează acestuia datele de contact ale clienților la care trebuie desfășurate lucrările de construcții. Subcontractantul utilizează mai departe datele pentru a le trimite clienților materiale de marketing. În acest caz, subcontractantul nu este considerat doar „persoană împuternicită de operator” în temeiul RGPD, deoarece subcontractantul nu numai că prelucrează date cu caracter personal în numele firmei de construcții, ci și prelucrează mai departe datele respective în scopuri proprii. Prin urmare, subcontractantul acționează ca „operator de date”.
Sunteți o societate de vânzări cu amănuntul și decideți să stocați pe un server din cloud o versiune de rezervă a bazei de date cu clienții dvs. În acest scop, încheiați un contract cu un furnizor de servicii de cloud cunoscut pentru standardele sale de protecție a datelor și care deține, de asemenea, un sistem certificat de criptare a datelor. Furnizorul de servicii de cloud este persoana împuternicită de dvs. ca operator, deoarece, stocând datele cu caracter personal ale clienților dvs. pe serverele sale, va prelucra în numele dvs. date cu caracter personal.
Referințe
- Articolul 28 și considerentul (81) al RGPD
Regulamentul general privind protecția datelor (RGPD) se întemeiază pe abordarea bazată pe riscuri; cu alte cuvinte, societățile/organizațiile care prelucrează date cu caracter personal sunt încurajate să pună în aplicare măsuri de protecție corespunzătoare nivelului de risc al activităților lor de prelucrare de date. Prin urmare, obligațiile unei societăți care prelucrează date numeroase sunt mai oneroase decât obligațiile unei societăți care prelucrează date foarte puține.
De exemplu, probabilitatea angajării unui responsabil cu protecția datelor este mai ridicată în cazul unei societăți/organizații care prelucrează date numeroase decât în cazul unei societăți care prelucrează date foarte puține (în acest caz există o legătură cu noțiunea de prelucrare a datelor cu caracter personal „la scară largă”). În același timp, natura datelor cu caracter personal și impactul prelucrării avute în vedere joacă și ele un rol. Prelucrarea unor date foarte puține, dar care sunt de natură sensibilă (de exemplu, date referitoare la sănătate) ar necesita punerea în aplicare a unor măsuri mai stringente pentru a respecta RGPD.
În toate cazurile, va trebui să respectați principiile de protecție a datelor și să le permiteți persoanelor fizice să își exercite drepturile.
Referință
- Capitolul IV din RGPD
Societățile/organizațiile sunt încurajate să pună în aplicare măsuri tehnice și organizatorice încă din primele etape ale proiectării operațiilor de prelucrare, astfel încât să garanteze principiul confidențialității și al protecției datelor chiar de la început („protecția datelor începând cu momentul conceperii”). În mod implicit, societățile/organizațiile ar trebui să se asigure că datele cu caracter personal sunt prelucrate cu cel mai ridicat nivel de protecție (adică numai datele necesare, perioadă scurtă de stocare, accesibilitate limitată), astfel încât, în mod implicit, datele cu caracter personal să nu poată fi accesate de un număr nelimitat de persoane („protecția datelor în mod implicit”).
Exemple
Protecția datelor începând cu momentul conceperii
Utilizarea pseudonimizării (înlocuirea materialului identificabil personal cu identificatori artificiali) și a criptării (codificarea mesajelor astfel încât numai persoanele autorizate să le poată citi).
Protecția datelor în mod implicit
O platformă de rețele sociale ar trebui încurajată să stabilească setările de profil ale utilizatorilor în modul cel mai favorabil confidențialității, de exemplu, limitând de la început accesibilitatea profilului utilizatorilor, astfel încât acesta să nu poată fi accesat în mod implicit de un număr nelimitat de persoane.
Referințe
- Articolul 25 și considerentul (78) al RGPD
O încălcare a securității datelor se produce atunci când datele pentru care societatea/organizația dvs. este responsabilă suferă un incident de securitate care duce la compromiterea confidențialității, a disponibilității sau a integrității. Dacă se întâmplă acest lucru și există probabilitatea ca încălcarea să prezinte un risc pentru drepturile și libertățile unei persoane fizice, societatea/organizația dvs. trebuie să înștiințeze autoritatea de supraveghere fără întârzieri nejustificate, în termen de cel mult 72 de ore de la momentul la care ați luat cunoștință de încălcare. Dacă societatea/organizația dvs. este persoana împuternicită de operator, trebuie să înștiințați operatorul cu privire la fiecare încălcare a securității datelor.
Dacă încălcarea securității datelor prezintă un risc ridicat pentru persoanele fizice afectate, atunci trebuie să fie informate și toate aceste persoane (cu excepția cazului în care s-au aplicat măsuri de protecție tehnice și organizatorice eficace sau alte măsuri care asigură faptul că riscul nu mai este susceptibil să se materializeze).
Ca organizație, este vital să puneți în aplicare măsuri tehnice și organizatorice adecvate pentru a evita posibile încălcări ale securității datelor.
Exemple
Organizația trebuie să înștiințeze APD și persoanele fizice
Datele angajaților unei fabrici de textile au fost dezvăluite. Datele includeau adresele personale, componența familiei, salariul lunar și cererile medicale ale fiecărui angajat. În acest caz, fabrica de textile trebuie să informeze autoritatea de supraveghere cu privire la încălcarea securității datelor. Deoarece datele cu caracter personal includ date sensibile, cum sunt cele referitoare la sănătate, fabrica trebuie să înștiințeze și angajații.
Un angajat al unui spital decide să copieze datele pacienților pe un CD și le publică online. Spitalul află câteva zile mai târziu. Din momentul în care află, spitalul are la dispoziție 72 de ore pentru a informa autoritatea de supraveghere și, pentru că datele cu caracter personal conțin informații sensibile, cum ar fi dacă un pacient are cancer, dacă o pacientă este însărcinată etc., acesta trebuie să informeze și pacienții. În acest caz, este puțin probabil ca spitalul să fi pus în aplicare măsuri de protecție tehnice și organizatorice – dacă ar fi pus în aplicare măsuri de protecție adecvate (de exemplu, criptarea datelor), riscul nu ar fi susceptibil să se materializeze, iar spitalul ar putea fi scutit de la înștiințarea pacienților.
Societatea trebuie să înștiințeze clienții, iar aceștia pot avea obligația de a înștiința apoi APD și persoanele fizice
Un serviciu de cloud pierde mai multe hard diskuri care conțin date cu caracter personal ale mai multor clienți ai săi. Societatea trebuie să înștiințeze clienții respectivi de îndată ce ia cunoștință de încălcarea securității. Clienții săi trebuie să anunțe APD și persoanele fizice, în funcție de natura datelor pe care le prelucra persoana împuternicită de operator.
Referințe
- Orientările Grupului de lucru al articolului 29 privind notificarea încălcării securității datelor în temeiul Regulamentului 2016/679, 3 octombrie 2017 (WP 250)
- Articolul 4 punctul 12, articolele 33 și 34 și considerentele (85), (86), (87) și (88) ale RGPD
O EIPD este necesară ori de câte ori prelucrarea este susceptibilă de a genera un risc ridicat pentru drepturile și libertățile persoanelor fizice. Este necesară o EIPD cel puțin în următoarele cazuri:
- o evaluare sistematică și cuprinzătoare a aspectelor personale referitoare la o persoană fizică, inclusiv crearea de profiluri;
- prelucrarea pe scară largă a unor date sensibile;
- monitorizarea sistematică pe scară largă a unor zone accesibile publicului.
Autoritățile naționale de protecție a datelor, acționând în coordonare cu Comitetul european pentru protecția datelor, pot furniza liste cu situațiile în care ar fi necesară o EIPD. EIPD ar trebui efectuată înainte de prelucrare și ar trebui considerată un instrument viu, nu doar un exercițiu izolat. În cazul în care există riscuri reziduale care nu pot fi atenuate prin măsurile puse în aplicare, este necesară consultarea APD înainte de începerea prelucrării.
Exemple
Este necesară EIPD
O bancă își selectează clienții dintr-o bază de date cu informații privind creditele; un spital este pe punctul să implementeze o nouă bază de date cu informații despre sănătate, care conține date privind sănătatea pacienților; un operator de autobuz urmează să instaleze camere la bord pentru a monitoriza comportamentul șoferilor și al călătorilor.
Nu este necesară o EIPD
Medicul unei comunități prelucrează date cu caracter personal ale pacienților săi. În acest caz nu este necesară o EIPD, deoarece prelucrarea de către medicul comunității nu se face la scară largă în cazurile în care numărul de pacienți este limitat.
Referințe
- Orientările Grupului de lucru al articolului 29 privind evaluarea impactului asupra protecției datelor (EIPD) și determinarea susceptibilității ca prelucrarea „să genereze un risc ridicat” în sensul Regulamentului (UE) 2016/679, 4 aprilie 2017
- Articolele 35 și 36 și considerentele (89)-(96) ale RGPD
Societatea/organizația dvs. trebuie să numească un RPD, indiferent dacă este operator de date sau persoană împuternicită de operator, dacă activitățile sale principale implică prelucrarea de date sensibilepe scară largă sau implică o monitorizare regulată și sistematică pe scară largă a persoanelor fizice. În acest sens, monitorizarea comportamentului persoanelor vizate include toate formele de urmărire și de creare de profiluri pe internet, inclusiv în scopuri de publicitate comportamentală.
Administrațiile publice au mereu obligația de a numi un RPD (cu excepția instanțelor care acționează în exercițiul funcției lor jurisdicționale).
RPD poate fi un membru al personalului organizației dvs. sau poate fi o persoană din exterior angajată pe baza unui contract de servicii. RPD poate fi o persoană fizică sau o organizație.
Exemple
RPD obligatoriu
Este obligatoriu să existe un RPD, de exemplu, atunci când societatea/organizația este:
- un spital care prelucrează seturi mari de date sensibile;
- o societate de securitate responsabilă cu monitorizarea unor centre comerciale și spații publice;
- o mică firmă de recrutare care creează profiluri ale unor persoane fizice.
RPD neobligatoriu
Nu este obligatoriu să existe un RPD dacă:
- sunteți un medic al unei comunități locale și prelucrați date cu caracter personal ale pacienților dvs.;
- aveți o mică firmă de avocatură și prelucrați date cu caracter personal ale clienților dvs.
Referințe
- Orientările Grupului de lucru al articolului 29 privind responsabilii cu protecția datelor, 5 aprilie 2017 (WP 243)
- Articolele 37, 38 și 39 și considerentul (97) al RGPD
RPD oferă asistență operatorului sau persoanei împuternicite de operator la toate aspectele care au legătură cu protecția datelor cu caracter personal. În special, RPD trebuie:
- să informeze și să consilieze operatorul sau persoana împuternicită de operator, precum și angajații acestora, cu privire la obligațiile care le revin în temeiul legii privind protecția datelor;
- să monitorizeze respectarea de către organizație a tuturor legilor referitoare la protecția datelor, inclusiv prin audituri, prin activități de sensibilizare și prin formarea personalului implicat în operațiunile de prelucrare;
- să furnizeze consiliere în cazul în care s-a efectuat o EIPD și să monitorizeze funcționarea acesteia;
- să își asume rolul de punct de contact pentru solicitările din partea persoanelor fizice privind prelucrarea datelor acestora cu caracter personal și exercitarea drepturilor acestora;
- să coopereze cu APD-urile și să își asume rolul de punct de contact pentru APD pentru aspecte referitoare la prelucrare.
RPD trebuie să fie implicat de organizație în mod corespunzător și în timp util. RPD nu trebuie să primească niciun fel de instrucțiuni din partea operatorului de date sau a persoanei împuternicite de operator în ceea ce privește îndeplinirea sarcinilor sale. RPD răspunde direct în fața celui mai înalt nivel al conducerii organizației.
Referință
- Articolele 37, 38 și 39 și considerentul (97) al RGPD
În lumea globalizată actuală, se transferă în plan transfrontalier cantități mari de date cu caracter personal, care sunt stocate uneori pe servere aflate în țări diferite. Protecția conferită de Regulamentul general privind protecția datelor (RGPD) însoțește datele în călătoria lor, ceea ce înseamnă că normele care protejează datele continuă să se aplice indiferent unde ajung aceste date. Acest lucru este valabil și când datele se transferă într-o țară care nu este membră a UE (denumită în continuare „țară terță”).
RGPD pune la dispoziție diferite instrumente pentru încadrarea transferurilor de date din UE într-o țară terță:
- uneori, o țară terță poate fi declarată ca oferind un nivel adecvat de protecție printr-o decizie a Comisiei Europene („decizie privind caracterul adecvat al nivelului de protecție”), ceea ce înseamnă că se pot transfera date cu o altă societate în acea țară terță fără ca exportatorul datelor să aibă obligația de a asigura garanții suplimentare sau să fie supus unor condiții suplimentare. Cu alte cuvinte, transferurile într-o țară terță cu „un caracter adecvat al nivelului de protecție” va fi asimilată unei transmiteri de date în interiorul UE.
- în absența unei decizii privind caracterul adecvat al nivelului de protecție, transferul se poate face prin asigurarea unor garanții adecvate și cu condiția ca persoanele fizice să beneficieze de drepturi opozabile și de căi de atac eficace. Printre asemenea garanții adecvate se numără:
- în cazul unui grup de întreprinderi sau de societăți implicat într-o activitate economică comună, societățile pot transfera datele cu caracter personal pe baza unor reguli corporatiste obligatorii;
- acorduri contractuale cu destinatarul datelor cu caracter personal, folosind, de exemplu, clauzele contractuale standard aprobate de Comisia Europeană;
- aderarea la un cod de conduită sau la un mecanism de certificare, precum și obținerea unor angajamente obligatorii și executorii din partea destinatarului de a aplica garanții adecvate pentru protecția datelor transferate.
- în sfârșit, dacă se are în vedere un transfer de date cu caracter personal într-o țară terță care nu face obiectul unei decizii privind caracterul adecvat al nivelului de protecție și dacă lipsesc garanțiile adecvate, transferul se poate realiza pe baza mai multor derogări pentru situații specifice, de exemplu, în cazul în care o persoană fizică și-a exprimat în mod explicit acordul cu privire la transferul propus după ce a primit toate informațiile necesare privind riscurile asociate transferului.
Exemplu
Sunteți o societate franceză care intenționează să își extindă serviciile în America de Sud, în special în Argentina, Uruguay și Brazilia. Primul pas ar fi să verificați dacă țările terțe respective fac obiectul unei decizii privind caracterul adecvat al nivelului de protecție. În acest caz, atât Argentina, cât și Uruguay au fost declarate ca având un caracter adecvat. Ați putea transfera date cu caracter personal în aceste două țări terțe fără nicio garanție suplimentară, dar pentru transferurile în Brazilia, în privința căreia nu s-a emis o decizie privind caracterul adecvat, va trebui să vă încadrați transferurile asigurând garanții adecvate.
Referințe
- Capitolul V, articolele 44-50 și considerentele (101)-(116) ale RGPD
- Cele mai recente documente de lucru ale Grupului de lucru al articolului 29 privind transferurile internaționale
- Document de lucru privind etalonul caracterului adecvat al nivelului de protecție a datelor (actualizare a capitolului I din WP 12), WP 254
- Document de lucru de întocmire a unui tabel cu elementele și principiile care trebuie să se regăsească în regulile corporatiste obligatorii, WP 256
- Document de lucru de întocmire a unui tabel cu elementele și principiile care trebuie să se regăsească în regulile corporatiste obligatorii pentru persoanele împuternicite de operator, WP 257
- Ca referință, consultați și Comunicarea Comisiei Europene privind schimbul de date cu caracter personal și protecția acestora într-o lume globalizată*, din 10 ianuarie 2017.* COM(2017)7 final.
Principiul responsabilității reprezintă o piatră de temelie a Regulamentului general privind protecția datelor (RGPD). Potrivit RGPD, o societate/organizație are responsabilitatea de a respecta toate principiile privind protecția datelor, precum și de a demonstra această respectare. RGPD pune la dispoziția societăților/organizațiilor un set de instrumente care să le ajute să demonstreze responsabilitatea, unele dintre acestea fiind obligatorii.
De exemplu, în anumite cazuri poate fi obligatorie numirea unui RPD sau efectuarea unor evaluări a impactului asupra protecției datelor (EIPD). Operatorii de date pot alege să utilizeze alte instrumente, cum ar fi coduri de conduită și mecanisme de certificare, pentru a demonstra conformitatea cu principiile de protecție a datelor.
Puteți adera la un cod de conduită întocmit de o asociație de afaceri aprobată de o APD. Un cod de conduită poate fi declarat valid în întreaga UE printr-un act de punere în aplicare al Comisiei.
Puteți adera la un mecanism de certificare operat de către unul dintre organismele de certificare ce a primit o acreditare din partea unei APD sau a unui organism național de acreditare sau din partea amândurora, după cum se stabilește în legislația fiecărui stat membru al UE.
Atât codurile de conduită, cât și certificarea sunt instrumente opționale, deci societatea/organizația dvs. poate decide dacă să aderă la un anumit cod de conduită sau solicită certificarea. Cu toate că societatea/organizația dvs. are în continuare obligația de a respecta și de a vă conforma la RGPD, aderarea la asemenea instrumente ar putea fi luată în considerare în cazul unei măsuri de aplicare a legii luate împotriva dvs. pentru o încălcare a RGPD.
Exemplu
Organismul general de asigurări din statul membru al UE al societății/organizației dvs. a primit aprobarea unui cod de conduită din partea unei autorități de supraveghere. Mai multe firme de asigurări rivale au aderat la cod. Deși aderarea la cod este voluntară, aceasta vă ajută să demonstrați conformitatea cu RGPD.
Referințe
- Articolele 24, 40-43 și 83 și considerentele (98), (99), (100), (148), (150) și (151) ale RGPD
Relațiile între organizații și persoanele fizice
Persoanele fizice pot contacta societatea/organizația dvs. pentru a-și exercita drepturile conferite de RGPD (dreptul de acces, de rectificare, de ștergere, dreptul la portabilitate etc.). În cazul în care datele cu caracter personal sunt prelucrate prin mijloace electronice, societatea/organizația dvs. trebuie să facă posibilă formularea solicitărilor pe cale electronică. Societatea/organizația dvs. trebuie să răspundă solicitărilor acestora fără întârzieri nejustificate, în principiu, în termen de o lună de la primirea solicitării.
Persoanei care efectuează solicitarea i se pot cere informații suplimentare pentru a-i confirma identitatea.
Dacă societatea/organizația dvs. respinge solicitarea, persoana vizată trebuie informată cu privire la motivele respingerii și la dreptul său de a depune o plângere la autoritatea de protecție a datelor, precum și la dreptul acesteia la o cale de atac.
Tratarea solicitărilor persoanelor fizice ar trebui efectuată gratuit. În cazul în care solicitările sunt vădit nefondate sau excesive, în special din cauza caracterului lor repetitiv, puteți percepe o taxă rezonabilă sau puteți refuza să le dați curs.
Exemplu
O persoană care și-a accesat toate datele cu caracter personal cu o lună în urmă depune din nou aceeași solicitare de accesare a acelorași date cu caracter personal. Puteți lua în calcul fie să o informați că îi respingeți solicitarea, fie să percepeți o taxă rezonabilă.
Referințe
- Articolele 12 și 15-22 și considerentele (59) și (63)-(71) ale RGPD
Când o persoană solicită acces la datele sale cu caracter personal, societatea/organizația dvs. trebuie:
- să confirme dacă prelucrează sau nu date cu caracter personal care vizează persoana în cauză;
- să îi furnizeze o copie a datelor cu caracter personal pe care le deține în legătură cu aceasta;
- să furnizeze informații privind prelucrarea (cum ar fi scopurile, categoriile de date cu caracter personal, destinatarii etc.).
Societatea/organizația dvs. trebuie să îi furnizeze persoanei fizice în cauză o copie a datelor sale cu caracter personal în mod gratuit. Pentru orice copii suplimentare poate percepe însă o taxă rezonabilă.
Exercitarea dreptului de acces este strâns legată de exercitarea dreptului la portabilitatea datelor – posibilitatea persoanei fizice de a-și transmite datele către o altă organizație.
Este important ca, în anunțul societății/organizației dvs. privind confidențialitatea, să existe o distincție clară între cele două drepturi. Prin urmare, ambele drepturi trebuie menționate pe scurt în mod separat.
Exemplu
Societatea/organizația dvs. furnizează un serviciu de rețele sociale online, prin care persoanele fizice pot face schimb de mesaje și de fotografii. Un utilizator solicită accesul la datele sale cu caracter personal și să verifice ce date cu caracter personal care îl vizează sunt prelucrate de societatea/organizația dvs. Societatea/organizația dvs. trebuie să confirme că prelucrează date cu caracter personal care îl vizează și să îi furnizeze o copie (cum ar fi numele, datele de contact, mesajele și fotografiile transmise). De asemenea, societatea/organizația dvs. trebuie să îi furnizeze informații privind prelucrarea – de obicei, acestea sunt cuprinse în anunțul referitor la confidențialitate al serviciului dvs.
Referințe
- Articolul 15 și considerentele (63) și (64) ale RGPD
Regulamentul general privind protecția datelor (RGPD) le acordă persoanelor fizice dreptul de a solicita ștergerea datelor proprii, iar organizațiile au obligația de a da curs solicitării, cu excepțiaurmătoarelor cazuri:
- datele cu caracter personal pe care societatea/organizația dvs. le deține sunt necesare pentru exercitarea dreptului la libertatea de exprimare;
- există o obligație legală care vă impune să păstrați datele;
- din motive de interes public (de exemplu, sănătate publică, scopuri de cercetare științifică, statistică sau istorică).
Dacă societatea/organizația dvs. a prelucrat date în mod ilegal, trebuie șterse. În cazul unei solicitări a unei persoane fizice, datele colectate când persoana era încă minoră trebuie șterse.
În ceea ce privește dreptul de a fi uitat online, organizațiile au obligația de a lua măsuri rezonabile (de exemplu, măsuri tehnice) pentru a informa alte site-uri că o anumită persoană a solicitat ștergerea datelor sale cu caracter personal.
De asemenea, datele pot fi păstrate dacă au fost supuse unui proces adecvat de anonimizare.
Exemple
Nu este obligatorie ștergerea datelor
Societatea/organizația dvs. administrează un ziar online. Unul dintre jurnaliștii săi publică un articol despre faptul că un politician a spălat bani în bănci off-shore. Politicianul solicită ștergerea articolului pentru că se prelucrează datele sale cu caracter personal. Având în vedere că utilizați datele cu caracter personal pentru a vă exercita dreptul la liberă exprimare, în principiu, societatea/organizația dvs. nu are obligația de a șterge datele respective. În practică însă, obligația depinde de legislația națională în vigoare.
Este obligatorie ștergerea datelor
Societatea/organizația dvs. administrează o platformă de rețele sociale. Un minor încarcă fotografii; câțiva ani mai târziu însă, el decide că fotografiile respective i-ar putea afecta negativ perspectivele de carieră. Pentru că persoana era minoră la momentul încărcării fotografiilor, societatea/organizația dvs. avea obligația de a le șterge. Mai mult, dacă fotografiile au fost prelucrate și pe alte site-uri, societatea/organizația dvs. trebuie să ia măsuri rezonabile pentru a le informa că s-a depus o cerere de ștergere a fotografiilor.
Referințe
- Articolul 17 și considerentele (65) și (66) ale RGPD
- Orientările Grupului de lucru al articolului 29 privind punerea în aplicare a Hotărârii Curții de Justiție din 13 mai 2014, Google Spania și Google, C-131/121, ECLI:EU:C:2014:3171
1 Un sumar al hotărârii a fost publicat în JO C 212, 7.7.2014, p. 4.
Persoanele fizice au dreptul de a se opune prelucrării datelor cu caracter personal pentru motive concrete. Existența unei asemenea situații specifice trebuie examinată de la caz la caz.
Persoana în cauză poate obiecta numai în cazurile în care o administrație publică prelucrează datele în contextul atribuțiilor sale publice sau în cazul în care o societate prelucrează datele în temeiul intereselor sale legitime. În asemenea cazuri, societatea/organizația dvs. nu mai are dreptul de a prelucra datele decât dacă demonstrează că trebuie să fie prelucrate din motive care prevalează asupra drepturilor și a libertăților persoanei în cauză sau dacă are nevoie de date pentru constatarea, exercitarea sau apărarea unui drept în instanță.
De asemenea, persoanele fizice au dreptul de a se opune în orice moment prelucrării datelor lor cu caracter personal în scopuri de marketing direct. În contextul Regulamentului general privind protecția datelor, marketingul direct este înțeles ca fiind orice acțiune întreprinsă de o societate pentru a comunica material publicitar sau de marketing și adresată anumitor persoane fizice. Societatea/organizația dvs. trebuie să informeze persoanele fizice, în anunțul său privind confidențialitatea sau cel târziu în momentul primei comunicări cu persoanele respective, că le va folosi datele cu caracter personal pentru marketing direct și că au dreptul de a se opune gratuit. Dacă o persoană se opune prelucrării în scopuri de marketing direct, societatea/organizația dvs. nu mai poate prelucra datele acesteia în scopurile respective.
Exemplu
În sectorul asigurărilor sunt necesare foarte frecvent date cu caracter personal pentru apărarea unui drept în instanță în cazul măsurilor antifraudă sau al măsurilor de combatere a spălării banilor. În acele cazuri, societățile de asigurări pot refuza să dea curs cererii unei persoane fizice de a obiecta în temeiul unor motive care prevalează asupra intereselor și a libertăților persoanei respective.
Referințe
- Articolul 21 și considerentele (69) și (70) ale RGPD
- Avizul 06/2014 al Grupului de lucru al articolului 29 privind noțiunea de interese legitime ale operatorului de date în temeiul articolului 7 din Directiva 95/46/CE
Da, persoanele fizice au dreptul la portabilitatea datelor, și anume de a primi de la societatea/organizația dvs. datele cu caracter personal furnizate într-un format structurat, care să poată fi citit automat, și de a dispune transmiterea acestor date la o altă societate/organizație. Dreptul poate fi exercitat numai dacă datele cu caracter personal au fost colectate în contextul unui contract sau în temeiul consimțământului, iar datele respective sunt prelucrate prin mijloace automate.
Exemplu
Un pacient al unei clinici private din Belgia se mută la o altă clinică din Germania. Persoana fizică solicită clinicii belgiene, care deține înregistrări electronice în privința sa, să îi furnizeze datele cu caracter personal într-un format structurat, care să poată fi citit automat, pentru a putea transmite datele către personalul medical relevant din Germania. Clinica belgiană ar trebui să îi ofere datele cu caracter personal într-un format deschis utilizat în mod frecvent (de exemplu, XML, JSON, CSV etc.). Când selectează formatul pentru date, organizația ar trebui să ia în considerare modul în care acest format ar putea influența sau îngreuna dreptul persoanei fizice de a reutiliza datele. De exemplu, dacă îi furnizează persoanei versiuni PDF ale înregistrărilor sale, s-ar putea ca acest lucru să nu fie suficient pentru a asigura posibilitatea reutilizării cu ușurință a datelor cu caracter personal.
Referințe
- Articolul 20 și considerentul (68) al RGPD
- Orientările Grupului de lucru al articolului 29 privind portabilitatea datelor
Da, persoanele fizice nu ar trebui să facă obiectul unei decizii bazate exclusiv pe prelucrare automată (cum sunt algoritmii) dacă decizia este obligatorie din punct de vedere juridic sau o afectează într-o măsură semnificativă.
Se poate considera că o decizie produce efecte juridice atunci când aceasta influențează drepturile juridice ale persoanei fizice sau statutul său juridic (de exemplu, dreptul la vot). În plus, prelucrarea poate afecta semnificativ o persoană fizică dacă influențează circumstanțele personale, comportamentul sau alegerile sale (de exemplu, o prelucrare automată poate duce la refuzul unei cereri de credit online).
Utilizarea prelucrării automate pentru luarea deciziilor este autorizată numai în următoarele cazuri:
- dacă decizia bazată pe un algoritm este necesară (adică trebuie să nu existe nicio altă modalitate de a atinge același obiectiv) pentru încheierea sau derularea unui contract cu persoana fizică ale cărei date societatea/organizația dvs. le-a prelucrat prin intermediul algoritmului (de exemplu, o cere de credit online);
- dacă o anumită lege (o lege europeană sau națională) permite utilizarea algoritmilor și prevede garanții adecvate pentru a proteja drepturile, libertățile și interesele legitime ale persoanei fizice (de exemplu, regulamentele de combatere a evaziunii fiscale);
- dacă persoana fizică și-a dat în mod explicit consimțământul pentru o decizie bazată pe algoritm.
Cu toate acestea, decizia luată trebuie să protejeze drepturile, libertățile și interesele legitime ale persoanei fizice prin punerea în aplicare a unor garanții adecvate. Cu excepția cazului în care procesul decizional respectiv este bazat pe o lege, persoana fizică trebuie cel puțin informată în legătură cu (i) logica utilizată în procesul decizional, (ii) dreptul său de a obține o intervenție umană, (iii) consecințele potențiale ale prelucrării și (iv) dreptul său de a contesta decizia. Prin urmare, societatea/organizația dvs. trebuie să facă demersurile procedurale necesare pentru a-i permite persoanei să își exprime punctul de vedere și să conteste decizia.
În sfârșit, e nevoie de atenție deosebită dacă algoritmul utilizează categorii speciale de date cu caracter personal: procesul decizional automat este permis în următoarele condiții:
- dacă persoana fizică și-a dat consimțământul explicit sau
- dacă prelucrarea este necesară din motive de interes public major, în temeiul dreptului UE sau național.
În plus, dacă persoana fizică în cauză este copil, ar trebui evitată luarea unor decizii, bazate exclusiv pe procesare automată, care produc efecte juridice sau efecte semnificative similare asupra sa, deoarece copiii reprezintă un grup mai vulnerabil al societății.
Exemplu
Societatea/organizația dvs. este o bancă online care oferă credite. Clienții își introduc datele, iar un algorit produce rezultate care vă spun dacă ar trebui să îi fie oferit sau nu un credit clientului și propune o dobândă. Societatea/organizația dvs. ar trebui să revizuiască decizia respectivă înainte de a fi comunicată clientului respectiv și să îl informeze că își poate exprima opinia și, eventual, contesta decizia, având în vedere că persoana fizică are dreptul de a nu face obiectul unei decizii bazate pe algoritmi.
Referințe
- Articolul 4 punctul 4 și articolul 22 și considerentele (71) și (72) ale RGPD Orientările Grupului de lucru al articolului 29 privind procesul decizional individual și crearea de profiluri în ceea ce privește Regulamentul (UE) 2016/679 (WP 251)
Aplicarea legii și sancțiuni
Unul dintre rolurile APD este de a publica recomandări de specialitate cu privire la aspecte legate de protecția datelor. Aceasta informează publicul larg cu privire la drepturile și obligațiile referitoare la protecția datelor și, în special, la Regulamentul general privind protecția datelor (RGPD). Un exemplu relevant este obligația impusă APD-urilor de a întocmi și a publica o listă de operațiuni de prelucrare ce necesită o evaluare a impactului asupra protecției datelor. Unele APD-uri au creat deja manuale și alte instrumente pentru a ajuta societățile să își înțeleagă obligațiile care le revin în temeiul RGPD și pentru a ajuta persoanele fizice să își înțeleagă drepturile. În plus, Grupul de lucru al articolului 29, care este grupul APD-urilor europene naționale (și care va fi înlocuit de Comitetul european pentru protecția datelor), a realizat mai multe documente de interpretare a prevederilor legii privind protecția datelor. Cu toate acestea, APD nu poate oferi recomandări în cazuri individuale și nu poate înlocui un avocat competent.
Societatea/organizația dvs. nu trebuie să înștiințeze APD că prelucrează date. Cu toate acestea, este necesară consultarea prealabilă a APD în cazul în care o EIPD indică faptul că prelucrarea datelor ar genera un risc ridicat și că există în continuare riscuri reziduale în pofida punerii în aplicare a mai multor garanții. De asemenea, ar trebui să contactați APD în cazul unei încălcări a securității datelor. Pentru prelucrarea anumitor tipuri de date, este posibil ca legile naționale să vă impună totuși obținerea unei autorizații de la APD.
Exemplu
Aveți un magazin care vinde produse pentru gospodărie. Prelucrați date ale clienților, cum ar fi adresele de livrare și datele de facturare necesare prin natura activității dvs. În acest caz nu este obligatoriu să înștiințați APD.
Referințe
- Capitolul IV și capitolul VI din RGPD
- Recomandările WP 29 privind RGPD, în special orientările privind EIPD și orientările privind înștiințările în caz de încălcare a protecției datelor
CEPD este un organism al UE însărcinat cu aplicarea Regulamentului general privind protecția datelor (RGPD) începând cu data de 25 mai 2018. Acesta are în componență șefii fiecărei APD și șeful Autorității Europene pentru Protecția Datelor (AEPD) sau reprezentanții acestora. Comisia Europeană participă la reuniunile CEPD fără a avea drept de vot. Secretariatul CEPD este asigurat de AEPD.
CEPD va fi în centrul noului sistem de protecție a datelor în UE. Acesta va contribui la asigurarea aplicării consecvente a legii privind protecția datelor în întreaga UE și va depune eforturi pentru a asigura cooperarea eficace între APD-uri. Comitetul nu numai că va publica orientări privind interpretarea conceptelor principale ale RGPD, dar va fi solicitat și să ia decizii obligatorii în cazul unor litigii privind prelucrarea transfrontalieră, asigurând astfel o aplicare uniformă a normelor UE pentru a evita tratarea diferită a aceluiași caz în diferite jurisdicții.
Referințe
- Articolele 63-76 și considerentele (135)-(140) ale RGPD
Regulamentul general privind protecția datelor (RGPD) se aplică în întreaga UE – același set de norme privind protecția datelor pentru toate statele membre ale UE. Astfel, societatea/organizația dvs. nu este nevoită să se familiarizeze cu mai multe legi diferite. În unele domenii, statele membre UE pot adăuga precizări privind aplicarea normelor RGPD (de exemplu, norme privind ocuparea forței de muncă; sectorul sănătății publice; norme privind reconcilierea dintre libertatea de exprimare și protecția datelor). De asemenea, RGPD introduce așa-numitul mecanism al „ghișeului unic”, care asigură cooperarea între autoritățile de protecție a datelor (APD) în cazul prelucrării transfrontaliere.
Dacă societatea/organizația dvs. prelucrează date în diferite țări, APD competentă – care va fi autoritatea principală în relațiile sale cu alte APD-uri din UE – este APD din statele membre ale UE în care are sediul principal. Aceasta este identificată drept administrația centrală în UE a societății/organizației dvs., dacă deciziile privind scopurile și mijloacele de prelucrare a datelor cu caracter personal nu se iau în alt sediu, iar acel sediu are puterea de a pune în aplicare aceste decizii.
Dacă societatea/organizația dvs. prelucrează date pentru a îndeplini o obligație în temeiul dreptului național al unui stat membru al UE, APD din respectivul stat membru al UE are competență unică.
Exemplu
Sediul principal (adică sediul central) al unei fabrici de textile este în Italia. Aceasta are magazine-satelit în țări învecinate, cum ar fi Malta, Grecia, Franța și Austria. În aceste țări învecinate, magazinele sale satelit creează baze de date care prelucrează date cu caracter personal ale clienților în scopuri de marketing. Cu toate acestea, deciziile privind „cum” trebuie contactați clienții respectivi, „când” și „de ce” se iau la sediul central din Italia. Astfel, în acest caz, se consideră că decizia privind prelucrarea datelor cu caracter personal în scopuri de marketing se ia în Italia. APD din Italia este autoritatea principală pentru societatea/organizația dvs.
Referințe
- Orientările Grupului de lucru al articolului 29 privind autoritatea de supraveghere principală și anexa la acestea („Întrebări frecvente”), 5 aprilie 2017
- Articolul 4 punctul 23 și articolele 55, 56 și 60-70 și considerentele (124)-(140) ale RGPD
Regulamentul general privind protecția datelor (RGPD) pune la dispoziția autorităților de protecție a datelor diferite instrumente în caz de nerespectare a normelor de protecție a datelor :
- posibilă încălcare – se poate emite un avertisment;
- încălcare: printre posibilități se numără o mustrare, interzicerea temporară sau definitivă a prelucrării și o amendă de până la 20 de milioane EUR sau 4 % din totalul global al cifrei de afaceri anuale a societății.
Trebuie menționat că, în cazul unei încălcări, APD poate impune o amendă pecuniară în locul sau în completarea mustrării și/sau a interzicerii prelucrării.
Autoritatea trebuie să se asigure că amenzile impuse în fiecare caz individual sunt eficace, proporționale și disuasive. Aceasta va lua în considerare mai mulți factori, cum ar fi natura, gravitatea și durata încălcării, dacă încălcarea a fost comisă intenționat sau din neglijență, precum și orice acțiuni întreprinse pentru a reduce prejudiciul suferit de către persoanele fizice, gradul de cooperare cu organizația etc.
Exemplu
O societate vinde online produse pentru gospodărie. Prin intermediul site-ului său, consumatorii pot cumpăra aparatură de bucătărie, mese, scaune și alte produse de uz casnic, introducându-și datele bancare. Site-ul a suferit un atac cibernetic în urma căruia atacatorul a intrat în posesia unor date cu caracter personal. În acest caz, lipsa unor măsuri tehnice adecvate luate de societate pare să fi fost cauza pierderii datelor.
În această situație, autoritatea de supraveghere va lua în considerare diverși factori înainte de a decide ce instrument corectiv să aplice. Factori precum: cât de gravă a fost deficiența din sistemul informatic? Cât timp a fost expusă infrastructura informatică la un asemenea risc? S-au efectuat în trecut teste pentru prevenirea unui astfel de atac? Datele câtor clienți au fost furate/dezvăluite? Ce tip de date cu caracter personal a fost afectat – au existat și date sensibile? Toate aceste considerente și altele vor fi luate în calcul de către autoritatea de supraveghere.
Referințe
- Articolele 58, 60, 83 și 84 și considerentele (129), (148), (150) și (151) ale RGPD
- Orientările Grupului de lucru al articolului 29 privind aplicarea și stabilirea amenzilor administrative în scopul Regulamentului 2016/679, 3 octombrie 2017
Persoanele fizice pot cere despăgubiri dacă o societate sau organizație a încălcat Regulamentul general privind protecția datelor (RGPD), iar persoanele respective au suferit prejudicii materiale (de exemplu, pierderi financiare) sau morale (de exemplu, compromiterea reputației sau stres psihologic). RGPD asigură faptul că aceste persoane vor primi despăgubiri indiferent de numărul organizațiilor implicate în prelucrarea datelor lor. Cererea de despăgubire poate fi adresată direct organizației sau poate fi adusă în fața instanțelor naționale competente. Acțiunile sunt aduse în fața instanțelor din statul membru al UE în care este stabilit operatorul sau persoana împuternicită de operator sau în care locuiește (reședința obișnuită) cetățeanul care cere despăgubiri.
Referință
- Articolul 82 și considerentele (146) și (147) ale RGPD
Informațiile și îndrumările din cuprinsul acestor pagini web sunt menite să contribuie la o mai bună înțelegere a normelor UE privind protecția datelor.
Instrumentul acesta are un rol pur orientativ – numai textul Regulamentului general privind protecția datelor (RGPD) are efect juridic. În consecință, numai RGPD poate crea drepturi și obligații pentru persoanele fizice. Acest ghid nu creează niciun drept și nicio așteptare care să se poată pune în aplicare.
Competența privind interpretarea cu caracter obligatoriu a legislației UE îi revine exclusiv Curții de Justiție a Uniunii Europene. Opiniile exprimate în acest ghid nu pot aduce atingere poziției pe care ar putea-o adopta Comisia în fața Curții de Justiție.
Nici Comisia Europeană, nici vreo persoană care acționează în numele Comisiei Europene nu este responsabilă pentru posibila utilizare a informațiilor următoare.
Având în vedere că acest ghid reflectă situația actuală la momentul redactării, el trebuie privit ca „instrument viu”, deschis la perfecționare, iar conținutul său poate fi modificat fără nicio notificare.
Sursa: https://ec.europa.eu/info/law/law-topic/data-protection