Posts

RGPD. Informarea persoanei vizate – principalele puncte de atins

/in , , /by

Ca și în legislația actuală din materia protecției datelor personale, prin RGPD s-a prevăzut obligația informării persoanei vizate la momentul preluării consimțământului său cu privire la numeroase aspecte. Însă spre deosebire de prezent, RGPD subliniază o importanță crescută a acestei informări și instituie informații suplimentare de comunicat către cei cărora operatorii le prelucrează datele.

1. Informații despre prelucrarea datelor: scop, temei, perioadă, transfer

Operatorii trebuie să ofere persoanelor vizate detalii cu privire la scopul prelucrării și temeiul prelucrării (dacă acesta nu este consimțământul, dar este de exemplu un contract). Dacă operatorul dorește să folosească datele în alt scop decât cel inițial, el trebuie să informeze persoana vizată și să îi ceară consimțământul, dacă este necesar.

De asemenea, trebuie comunicate informații cu privire la perioada prelucrării și ce se întâmplă cu datele la finalul acesteia, dar și cu privire la logica de prelucrare automată a datelor.

În situația în care datele sunt transferate și unei alte persoane, această informație trebuie adusă la cunoștința persoanei vizate, împreună cu motivul transferului și identitatea destinatarului lor.

2. Drepturile persoanei vizate

Este foarte important ca persoanei vizate să i se comunice drepturile pe care le are conform legislației, iar dintre acestea amintim: dreptul de acces la date, de rectificare a lor, de ștergere a acestora, de a se opune prelucrării, de portabilitate a datelor, de a fi informată cu privire la încălcări ale legii.

Mai multe despre drepturile persoanei vizate vom scrie într-un articol ulterior, dată fiind importanța lor semnificativă,

3. Dreptul de a se opune prelucrării în scop de marketing direct

Regulamentul dă o importanță sporită prelucrării datelor în scop de marketing direct și creării de profiluri legate de marketingul direct, instituind obligația de a informa separat și în mod expres persoana vizată că are dreptul de a se opune la o astfel de prelucrare și creare de profiluri.

Totodată, trebuie informate persoanele vizate despre consecințele prelucrării, în special dacă prelucrarea se bazează pe crearea de profiluri.

4. Dreptul de a formula plângeri și cereri. Datele de identificare ale operatorului și autorității naționale

Persoana vizată trebuie să știe că are dreptul de a formula plângere împotriva modului în care i se prelucrează datele ori împotriva oricărei acțiuni ce încalcă RGPD. Plângerea se poate înainta atât operatorului, cât și autorității naționale.

De asemenea, persoana vizată are dreptul de a formula cereri în exercitarea drepturilor sale prevăzute la punctul 2.

Operatorul trebuie să răspundă oricărei cereri sau plângeri primite de la persoana vizată în maximum o lună, conform RGPD.

Operatorul trebuie să informeze persoana vizată cu privire la datele sale de identificare și de contact, dar și cu privire la datele de identificare și de contact ale autorității naționale – în cazul nostru Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal.

Excepții de la obligativitatea informării

RGPD prevede și excepții de la obligativitatea informării persoanelor vizate cu privire la cele de mai sus în următoarele cazuri:

  1. persoanele vizate dețin deja informațiile respective;
  2. înregistrarea sau divulgarea datelor e prevăzută în mod expres de lege;
  3. informarea persoanelor vizate se dovedește imposibilă;
  4. informarea persoanelor vizate ar implica eforturi disproporționate.

Nu lăsați pe ultima sută de metri implementarea măsurilor prevăzute de RGPD, așa că ne puteți contacta aici pentru mai multe detalii.

RGPD – Cine trebuie să desemneze un responsabil cu protecția datelor? (IV – Prelucrare date pe scară largă)

/in /by

Analizăm astăzi o nouă noțiune dintre noțiunile cheie ale RGPD în stabilirea operatorilor obligați să desemneze un responsabil cu protecția datelor, respectiv aceea de prelucrare date ”pe scară largă”.

Prelucrare date „pe scară largă”

RGPD nu definește această noțiune, însă Grupul de lucru „Articolul 29” recomandă ca atunci când se stabilește dacă prelucrarea este efectuată pe o scară largă, să fie avute în vedere următoarele criterii:

  • numărul persoanelor vizate – ori un număr exact ori un procent din populația relevantă;
  • volumul datelor și/sau gama de elemente diferite de date în curs de prelucrare;
  • durata sau permanența activității de prelucrare a datelor;
  • suprafața geografică a activității de prelucrare.

Aceleași criterii sunt preluate și de către A.N.S.P.D.C.P., ceea ce înseamnă că se vor regăsi și în legislația națională și se vor aplica și în practica noastră.

În cuprinsul considerentului nr. 91 al RGPD pot fi identificate unele orientări, oferind exemple care sunt la extreme:

  • operațiuni de prelucrare date la scară largă sunt acelea care au drept obiectiv prelucrarea unui volum considerabil de date cu caracter personal la nivel regional, național sau supranațional;
  • operațiuni care nu reprezintă o prelucrare la scară largă – operațiuni de prelucrare de date cu caracter personal de la pacienți sau clienți de către un anumit medic, un alt profesionist în domeniul sănătății sau un avocat (caz în care nu este necesară desemnarea unui responsabil cu protecția datelor).

Practic, orice prelucrare făcută între aceste două extreme poate fi interpretată ca prelucrare pentru care este necesară numirea unui responsabil cu protecția datelor, cu excepția prelucrării datelor pacientului de către un medic sau a datelor personale referitoare la condamnările penale și infracțiuni de către un avocat.

Studiu de caz

Aplicând aceste explicații la cazul practic enunțat în articolele anterioare privitor la magazinul online, dacă acesta are un număr relativ mare de clienți cu conturi pe site dintr-o anumită arie geografică, raportat la populația existentă în acea arie geografică, atunci prelucrarea pe care societatea proprietară a magazinului o face are nevoie de un responsabil cu protecția datelor.

Puteți citi articolele anterioare pe subiectul responsabilului cu protecția datelor personale aici, aici și aici