CNIL – Regulamentul tip “biometrie la locul de muncă” (date biometrice)

/in , /by

Context

În urma unei consultări publice efectuate în perioada 03 – 30.09.2018, Autoritatea de supraveghere din Franța (CNIL) a adoptat Regulamentul tip “biometrie la locul de muncă”. Acest document precizează obligațiile angajatorilor care doresc să utilizeze dispozitive biometrice pentru a controla accesul la spațiile, aplicațiile și instrumentele de lucru.

Demersul a fost necesar ca urmare a adoptării în Franța a Legii nr. 2018-493 din 20 iunie 2018 cu privire la protecția datelor cu caracter personal, lege care a încredințat CNIL o misiune nouă, aceea de a stabili și publica, în consultare cu organismele publice și private, “reglementări tip care să asigure securitatea sistemelor de prelucrare a datelor cu caracter personal și să guverneze prelucrarea datelor biometrice, genetice și de sănătate”.

Scop

Scopul regulamentului tip (care poate fi accesat aici) este acela de a stabili cerințe specifice pentru prelucrarea datelor biometrice necesare controlului exercitat de angajatorii publici sau privați cu privire la accesul la locurile de muncă, cât și la aparatele și aplicațiile utilizate în cadrul sarcinilor încredințate angajaților, agenților, stagiarilor sau prestatorilor de servicii (denumiți “persoane vizate”).

Conținut

Regulamentul tip definește noțiunea de “șablon” ca fiind rezultatul prelucrării înregistrării brute (fotografie, înregistrare audio etc.) a caracteristicilor biometrice printr-un algoritm care face imposibilă reconstituirea lor. Șabloanele sunt date biometrice derivate și trebuie să se distingă de datele de la care derivă caracteristicile biometrice. În alte cuvinte, „șablonul” este o reprezentare matematică a originalului biometric.

Se precizează că utilizarea dispozitivelor biometrice care intră sub incidența acestei reglementări standard este permisă numai în următoarele scopuri:

  • controlul accesului la spațiile identificate expres de către organizație ca fiind restricționate pentru circulație;
  • controlul accesului la dispozitivele profesionale limitate și aplicațiile IT ale organizației.

Operatorii care utilizează dispozitive biometrice în scopul indicat de regulament trebuie să justifice și să demonstreze necesitatea efectuării unei astfel de prelucrări.

În cuprinsul documentului sunt enumerate și datele cu caracter personal care pot fi prelucrate prin intermediul dispozitivelor biometrice de control al accesului. Acestea pot fi:

  • Date furnizate de angajator sau de agenții săi (date de identificare);
  • Datele generate de dispozitivul folosit (date din jurnal).

Reglementarea interzice ca la locul de muncă să se utilizeze un model de autentificare biometrică ce ar necesita eșantionare biologică ( prin salivă, sânge, etc.). Astfel, este permisă doar autentificarea biometrică efectuată pe baza caracteristicilor morfologice ale persoanelor în cauză (iris, amprentă, rețeaua venoasă a mâinii etc.).

Este important de reținut că alegerea tipului (tipurilor) de biometrie trebuie să fie justificată și documentată de către angajator, inclusiv motivul utilizării unei caracteristici biometrice, și nu a alteia.

Regulamentul tip mai cuprinde referiri cu privire la:

  • Persoane îndreptățite să prelucreze datele;
  • Alegerea modalităților de păstrare a șablonului;
  • Modalitățile și durata conservării datelor;
  • Informarea persoanelor vizate;
  • Securitatea datelor;
  • Necesitatea efectuării unei DPIA.

Până când ANSPDCP hotărăște să sprijine operatorii români prin oferirea de opinii, interpretări sau regulamente de tipul celui despre care am scris, nu ne rămâne decât să folosim materialele furnizate de alte autorități mai active și mai responsabile.

Evidența activităților de prelucrare – cartografierea datelor cu caracter personal

/in , , , /by

Deși auzim des expresia ”eu nu prelucrez date cu caracter personal”, de cele mai multe ori se dovedește ca aceasta să fie eronată. Zi de zi profesioniștii prelucrează date în activitatea lor și mulți nu conștientizează cât de multe sunt în realitate.

Întrucât datele concurează strâns cu petrolul pentru titlul de ”cea mai valoroasă resursă”, operatorii ar trebui să fie conștienți de cantitatea și calitatea datelor pe care le prelucrează.

Cine trebuie să țină evidența activităților de prelucrare?

RGPD prevede la art. 30 obligația anumitor operatori de a ține evidența activităților de prelucrare aflate în responsabilitatea lor. Cerința nu este obligatorie pentru operatorii cu mai puțin de 250 angajați, cu excepția cazului în care prelucrarea pe care o efectuează este susceptibilă să genereze un risc pentru drepturile și libertățile persoanelor vizate, prelucrarea nu este ocazională sau prelucrarea include categorii speciale de date sau date cu caracter personal referitoare la condamnări penale și infracțiuni.

Așadar, simplul fapt că prelucrarea efectuată nu este ocazională obligă operatorii să țină evidența, deși aceștia au mai puțin de 250 angajați. De cele mai multe ori prelucrările de date nu sunt ocazionale, mai ales dacă există și angajați ale căror date sunt prelucrate constant în exercitarea relațiilor de serviciu și a contractului de muncă.

Totodată, dacă prelucrarea poate genera un risc, nu neapărat un risc ridicat, ea trebuie documentată într-un registru. De exemplu, prelucrarea datelor clienților persoane fizice prin intermediul unui terț (prestator de servicii) poate prezenta un risc, întrucât transferul datelor în sine este riscant.

Prin urmare, operatorii cu mai puțin de 250 angajați trebuie să își analizeze atent activitățile și să le identifice pe cele care presupun prelucrări de date ce sunt susceptibile  să genereze un risc pentru drepturile și libertățile persoanelor vizate, care nu sunt ocazionale sau care includ categorii speciale de date sau date cu caracter personal referitoare la condamnări penale și infracțiuni.

Ce este Registrul de cartografiere a datelor

Activitățile de prelucrare menționate anterior trebuie evidențiate într-un registru, denumit în general ”Registru de cartografiere”.

Acesta va cuprinde informațiile prevăzute la art. 30 alin. 1 din RGPD, printre care enumerăm: datele de contact ale operatorului, categoriile de date prelucrate, categoriile de persoane vizate, scopurile prelucrării etc.

Registrul trebuie revizuit și actualizat periodic, iar fiecare nouă activitate de prelucrare va trebui documentată în acesta.

Cum arată un Registru de cartografiere

Pentru a veni în ajutorul operatorilor, am pregătit un model de registru de cartografiere ce cuprinde informațiile minime necesare conform RGPD, pe care îl puteți găsi aici: registru de cartografiere Start Lawyers.

 

Pentru mai multe informații, nu ezitați să ne contactați aici.

Consimțământul și prelucrarea datelor angajaților

/in /by

Orice angajator prelucrează date cu caracter personal

Prelucrarea datelor cu caracter personal ale angajaților este una dintre principalele activități de prelucrare pe care orice operator cu cel puțin un angajat o efectuează.

Această prelucrare poate presupune mai multe tipuri de date, cum ar fi: date de identificare, date bancare, date medicale, date privind parcursul profesional, date familiale, date privind locația și prezența la locul de muncă etc.

De asemenea, prelucrarea acestor date se poate face pentru mai multe scopuri, respectiv: încheierea contractului individual de muncă, îndeplinirea obligațiilor legale ale angajatorului, evaluarea profesională, oferirea de beneficii, plata salariului, decontarea cheltuielilor efectuate în interes de serviciu, protejarea anumitor bunuri sau spații împotriva evenimentelor de genul furt, distrugere, efracție etc.

Principala provocare a operatorilor este identificarea temeiului potrivit pentru aceste prelucrări

Nicio prelucrare de date cu caracter personal nu se poate efectua fără un temei legal.

În practică s-a constatat o tendință de a utiliza excesiv consimțământul ca temei de prelucrare, deși acesta nu poate fi folosit decât în anumite condiții și doar dacă nu este aplicabil un alt temei dintre cele prevăzute de art. 6 alin. 1 din RGPD (obligație legală, încheierea și executarea contractului, interes legitim, protecția intereselor vitale ale persoanei vizate, interes public).

Potrivit Considerentului 32 din RGPD, consimțământul trebuie să fie liber exprimat, iar potrivit art. 7 alin. 4 atunci când se evaluează dacă consimțământul este dat în mod liber, se ține seama cât mai mult de faptul că, printre altele, executarea unui contract […] este condiționată sau nu de consimțământul cu privire la prelucrarea datelor cu caracter personal care nu este necesară pentru executarea acestui contract. Cu alte cuvinte, consimțământul angajatului pentru prelucrarea datelor sale familiale în vederea efectuării de statistici la nivel intern nu va fi liber exprimat dacă el este condiționat de păstrarea locului de muncă sau a nivelului salariului.

În cazul angajaților, este de reținut că relația angajator-angajat nu este una de egalitate, având în vedere că angajatorul este cel care de cele mai multe ori dictează atât condițiile contractuale dintre aceștia, cât și modalitatea de desfășurare a relației de serviciu, având chiar dreptul de a sancționa disciplinar angajatul, conform legii.

Consimțământul angajaților nu poate fi utilizat ca temei decât în mod excepțional

Pentru aceste motive, Grupul de lucru art. 29, devenit Comitetul European pentru Protecția Datelor, a opinat faptul că este foarte puțin probabil ca angajații să își poată exprima consimțământul pentru prelucrare într-un mod liber și neviciat, fără ca aceștia să se teamă de eventualele repercusiuni pe care le-ar putea suferi în caz de refuz de acordare a consimțământului. Ca atare, utilizarea de către operatori a consimțământului angajaților poate fi efectuată doar în situații extreme și numai dacă nu există în mod real consecințe negative pentru angajat în cazul în care acesta refuză să îl acorde.

Așadar, consimțământul nu poate fi folosit decât în mod excepțional ca temei pentru prelucrarea datelor cu caracter personal ale angajaților, de cele mai multe ori existând alte temeiuri de prelucrare dintre cele enumerate mai sus.

Subliniem faptul că informarea angajaților cu privire la prelucrarea datelor acestora este obligatorie indiferent de temeiul utilizat.

Dacă aveți întrebări cu privire la acest subiect, nu ezitați să ne contactați aici.

DPIA – Beneficiile evaluării de impact

/in , , /by

Scriam într-un articol precedent faptul că și în situațiile în care unii operatori nu sunt obligați să efectueze evaluarea de impact, Grupul de Lucru „Articolul 29” recomandă efectuarea acesteia. Motivul acestei recomandări este acela că DPIA este un instrument util operatorilor de date pentru respectarea legislației privind protecția datelor.

Principalele beneficii ale întocmirii DPIA (Data Protection Impact Assessment)

  • ajută organizația să implementeze toate măsurile necesare pentru a asigura respectarea RGPD;
  • reprezintă un mijloc eficient de dovedire a respectării prevederilor RGPD atunci când Autoritatea de supraveghere solicită informații în aceste sens;
  • contribuie la îmbunătățirea transparenței în activitatea de prelucrare a datelor cu caracter personal;
  • se va îmbunătăți modul în care organizația va folosi informațiile confidențiale;
  • în cazul în care DPIA  se va publica, va ajuta organizația să-și consolideze poziția de operator de încredere;
  • prin identificarea din timp a eventualelor probleme, poate aduce avantaje financiare deoarece rezolvarea unei probleme descoperite din timp este mai puțin costisitoare;
  • întocmirea DPIA ajută la creșterea conștientizării organizației asupra importanței confidențialității și a protejării datelor cu caracter personal.

Dacă doriți să aflați mai multe despre RGPD puteți accesa articolele postate pe pagina dedicată protecției datelor sau, dacă aveți întrebări, ni le puteți adresa folosind pagina de contact.

Evaluarea de impact – Recomandări

/in , , /by

Chiar dacă reglementarea evaluării de impact nu este detaliată în RGPD, așa cum scriam într-un articol anterior, Grupul de lucru „Articolul 29” explică reglementarea sumară în scopul unei mai bune aplicări a Regulamentului. Pe lângă explicații, mai oferă și recomandări menite a ajuta operatorii să aplice noua reglementare. În cele ce urmează vom sumariza unele dintre recomandările referitoare la evaluarea de impact (DPIA).

Necesitatea revizuirii DPIA

Deși Regulamentul nu prevede expres, Grupul de lucru „Articolul 29” recomandă ca bună practică revizuirea continuă și reevaluarea regulată a DPIA.

Monitorizarea activităților de prelucrare

Se recomandă ca, în practică, operatorii să evalueze continuu riscurile create de activitățile lor de prelucrare pentru a identifica momentul în care un tip de prelucrare „ar putea duce la un risc ridicat pentru drepturile și libertățile persoanelor fizice”.

Utilitatea DPIA

Chiar dacă unii operatori nu se încadrează în situațiile în care obligativitatea întocmirii DPIA este evidentă, Grupul de Lucru „Articolul 29” recomandă efectuarea acesteia. Motivul acestei recomandări este acela că DPIA este un instrument util operatorilor de date pentru respectarea legislației privind protecția datelor.

Publicitatea DPIA

Printre bunele practici recomandate de Grupul de lucru „Articolul 29” se numără și publicarea DPIA de către operator atunci când membrii publicului sunt afectați de operațiunea de prelucrare, mai ales în cazul în care operatorul este o autoritate publică.

DPIA – Evaluarea impactului asupra protecției datelor: Q & A

/in , , /by

În rândurile următoare vă prezentăm răspunsurile la unele dintre cele mai întâlnite întrebări referitoare la evaluarea impactului asupra protecției datelor (DPIA).

Q: Ce este DPIA?

A: DPIA este un proces destinat să:

  • descrie prelucrarea de date cu caracter personal;

  • evalueze necesitatea și proporționalitatea prelucrării;

  • contribuie la gestionarea riscurilor la adresa drepturilor și libertăților persoanelor vizate (prin evaluarea riscurilor și stabilirea de măsuri pentru atenuarea lor).

Q: DPIA pentru o singură operațiune de prelucrare sau pentru toate operațiunile?

A: DPIA se poate întocmi doar pentru o singură operațiune de prelucrare sau pentru multiple operațiuni de prelucrare similare și care prezintă riscuri ridicate similare. În general, DPIA se întocmește atunci când operatorul decide să desfășoare un nou proiect sau când intervine o modificare a tehnologiilor folosite în activitatea de prelucrare.

Q: DPIA este obligatorie?

A: În principiu, da. Cu excepția cazului în care operațiunea de prelucrare se încadrează într-o excepție dintre cele de mai jos, trebuie să se efectueze o DPIA în cazul în care o operațiune de prelucrare este „susceptibilă să genereze un risc ridicat”.

Q: Care sunt excepțiile de la întocmirea DPIA?

A: DPIA nu este obligatorie atunci când:

  • prelucrarea nu este „susceptibilă să genereze un risc ridicat”;

  • există DPIA similară sau când prelucrarea a fost autorizată de autoritatea de supraveghere anterior lunii mai 2018;

  • există un temei legal al prelucrării și s-a efectuat deja o DPIA pentru aceasta.

Q: Ce se înțelege prin „ risc ridicat”

A: O operațiune de prelucrare este susceptibilă să genereze „riscuri ridicate” atunci când:

  • presupune o evaluare sistematică și cuprinzătoare a aspectelor personale referitoare la persoane fizice, care se bazează pe prelucrarea automată, inclusiv crearea de profiluri, și care stă la baza unor decizii care produc efecte juridice privind persoana fizică sau care o afectează în mod similar într-o măsură semnificativă;

  • se face o prelucrare pe scară largă a unor categorii speciale de date sau a unor date cu caracter personal privind condamnări penale și infracțiuni;

  • se face o monitorizare sistematică pe scară largă a unei zone accesibile publicului.

În practică, Grupul de lucru Articolul 29 recomandă ca operatorii să evalueze în mod continuu riscurile create de activităților lor de prelucrare pentru a identifica momentul în care un tip de prelucrare „ar putea duce la un risc ridicat pentru drepturile și libertățile persoanelor fizice”.

Q: Când se efectuează DPIA?

A: DPIA trebuie realizată „anterior prelucrării” întrucât este un instrument destinat să ajute la luarea deciziilor cu privire la prelucrare.

Q: Pentru operațiunile de prelucrare existente mai este necesară?

A: Doar în situația în care operațiunile de prelucrare existente pot conduce la un risc ridicat pentru drepturile și libertățile persoanelor fizice, și pentru care s-a produs o schimbare a riscurilor, luând în considerare natura, obiectivul, contextul și scopurile prelucrării.

Q: Care sunt caracteristicile minime ale DPIA?

A: DPIA trebuie să conțină informații cu privire la:

  • Descrierea prelucrării preconizate (tipul de operațiuni și scopul prelucrării);

  • Evaluarea necesității și proporționalității;

  • Evaluarea riscurilor pentru drepturile și libertățile persoanelor vizate;

  • Măsurile preconizate pentru abordarea riscurilor;

  • Documentare;

  • Monitorizare și revizuire.

Dacă aveți alte întrebări sau dacă aveți nevoie de lămuriri, vă rugăm să folosiți pagina noastră de contact.

RGPD și certificarea în conformitate cu ISO27001

/in , , /by

Ce este ISO / IEC 27001?

Standardul ISO/IEC 27001:2013 este un standard internațional de securitate a informației și constă într-o specificație pentru sistemul de management al securității informației (SMSI).

Structura standardului include:

  1. Domeniul de aplicare a standardului,

  2. Modalitatea în care se efectuează referințe în documente,

  3. Reutilizarea termenilor și definițiilor din ISO/IEC 27000,

  4. Context organizațional și părțile interesate,

  5. Sprijin la nivelul cel mai înalt al conducerii pentru securitatea informației și politica organizației,

  6. Planificarea unui sistem de management al securității informației; evaluarea riscurilor; tratarea riscului,

  7. Sprijinirea unui sistem de management al securității informației,

  8. Realizarea unui sistem de management al securității informației operaționale,

  9. Revizuirea performanței sistemului,

  10. Acțiune corectivă.

Prin ce poate ajuta certificarea ISO27001

Elementele relevante ale standardului ISO27001 care pot ajuta companiile să faciliteze implementarea RGPD sunt următoarele:

  • evaluarea riscurilor;

  • conformitatea;

  • înștiințarea privind încălcarea protecției datelor;

  • managementul datelor cu caracter personal;

  • abordarea privacy by design;

  • protejarea datelor personale în relația cu furnizorii.

Certificarea în conformitate cu ISO / IEC 27001 nu este suficientă

Cu toate că ISO27001 ajută la implementarea RGPD, există unele cerințe ale regulamentului care nu sunt acoperite în mod direct de acest standard, cum ar fi dreptul persoanelor vizate:

  • de a fi informate asupra colectării;

  • la ștergerea datelor;

  • la portabilitatea datelor.

Prin urmare, chiar dacă un operator deține certificarea în conformitate cu ISO / IEC 27001, aceasta nu înseamnă că activitatea sau organizarea acestuia este în conformitate cu prevederile RGPD.

RGPD și notificarea activităților de prelucrare

/in /by

Mai este sau nu necesară notificarea activităților de prelucrare a datelor la autoritățile locale de protecție a datelor?

Deși această problemă nu ar fi trebuit să existe, am auzit destul de multe opinii conform cărora după intrarea în vigoare a RGPD va continua să existe obligația de notificare a prelucrării datelor cu caracter personal de către operatori.

Este de notorietate faptul că unul dintre avantajele aduse de RGPD este eliminarea procedurii de notificare a activităților de prelucrare a datelor la autoritățile locale de supraveghere.

Cu toate acestea, așa cum arătam mai sus, în cadrul unor conferințe având ca temă aplicarea RGPD s-a afirmat că notificarea autorității nu este eliminată. Am auzit păreri și mai uimitoare cum ar fi aceea că această notificare ar fi cu atât mai necesară cu cât se prevede clar în RGPD obligația de a notifica autoritatea în anumite cazuri, cum ar fi notificarea în caz de încălcare a securității datelor.

Obligația de notificare în considerentele RGPD.

În cuprinsul considerentelor 89 și 90 din RGPD se propune abrogarea obligației generale de notificare și înlocuirea acesteia cu proceduri și mecanisme eficace care să pună accentul pe acele tipuri de operațiuni de prelucrare susceptibile să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice. Prin urmare, se arată că ar fi mai bine ca operatorul să efectueze, înainte de prelucrare, o evaluare a impactului asupra protecției datelor. Această evaluare ar trebui să includă, în special, măsurile, garanțiile și mecanismele avute în vedere pentru atenuarea riscului respectiv, pentru asigurarea protecției datelor cu caracter personal și pentru demonstrarea conformității cu RGPD.

Înlocuirea obligației de notificare cu evaluarea de impact și păstrarea evidenței interne.

Prevederile de mai sus au fost concretizate în RGPD la art. 35 unde se menționează în mod expres faptul că mai înainte de prelucrare este nevoie să se facă o evaluare a impactului operațiunilor de prelucrare prevăzute asupra protecției datelor cu caracter personal. De asemenea, eliminarea notificării a dus la reglementarea obligației operatorului de a păstra o evidență a activităților de prelucrare desfășurate sub responsabilitatea acestuia, obligație prevăzută de art. 30 din RGPD.

Având în vedere prevederile invocate, putem concluziona că notificarea activităților de prelucrare a datelor personale la autoritățile locale din domeniu  nu mai este necesară după intrarea în vigoare a RGPD.

DPO – Independență. Conflict de interese

/in , , /by

Am scris pe acest blog despre nivelul de expertiză și calitățile profesionale ale responsabilului cu protecția datelor. Pe lângă aceste aspecte, este foarte important de știut că responsabilul cu protecția datelor trebuie să fie independent și să nu se afle în conflict de interese.

Prevederile legale din RGPD

Astfel, în cuprinsul considerentului nr. 97 se prevede că „Acești responsabili cu protecția datelor, indiferent dacă sunt sau nu angajați ai operatorului, ar trebui să fie în măsură să își îndeplinească atribuțiile și sarcinile în mod independent.”

În ceea ce privește conflictul de interese, articolul nr. 38 alin. (6) precizează că atribuțiile responsabilului cu protecția datelor trebuie să nu genereze un conflict de interese în situația în care acesta îndeplinește și alte sarcini și atribuții în cadrul organizației.

Având în vedere aceste prevederi, se pune următoarea întrebare: cum ne putem da seama că responsabilul cu protecția datelor este independent și deci, nu se află în conflict de interese?

Lămuriri ale Grupului de lucru „Articolul 29”

Regulamentul nu oferă astfel de exemple. Pentru astfel de situații, șa cum ne-am obișnuit, Grupul de lucru „Articolul 29” ne oferă unele indicii precizând că nu sunt candidați potriviți pentru poziția de DPO persoanele cu funcții de conducere superioare, cum ar fi director executiv, director operațional, director financiar, șeful serviciului medical, șeful departamentului de marketing, șef departamentului de resurse umane sau șeful departamentului IT), dar, în același timp, și alte funcții inferioare dacă acestea conduc la posibilitatea de a stabili scopurile și mijloacelor de prelucrare.

Mai mult, se arată că un conflict de interese poate apărea de exemplu, în situația în care un DPO extern este rugat să reprezinte operatorul sau persoana împuternicită de operator în instanță, în cazurile care implică probleme de protecție a datelor.

Practica Autorității pentru Protecția Datelor din Bavaria pentru sectorul privat

Deși ne oferă unele indicii despre cum să procedăm la numirea responsabilului cu protecția datelor, opinia Grupului de lucru „Articolul 29” este orientativă, autoritățile de supraveghere putând avea o opinie mai restrictivă. De exemplu, Autoritatea pentru Protecția Datelor din Bavaria pentru sectorul privat a precizat într-un raport de activitate că membrii departamentului juridic pot, în anumite cazuri, să fie în conflict de interese care să îi descalifice să acționeze ca DPO. Conform celor menționate în raport, în cazul în care consilierul juridic poate reprezenta societatea într-o procedură legală (în special în ceea ce privește acțiunile în justiție împotriva angajaților sau a clienților, care pot include aspecte legate de protecția datelor personale), consilierul juridic este supus unui conflict de interese și, prin urmare, nu este independent.

În practică se pot întâlni o multitudine de situații care pot fi asimilate ca situații de incompatibilitate sau conflict de interese. Rămâne să vedem și punctul de vedere al ANSPDCP atunci când va fi exprimat.

RGPD. Informarea persoanei vizate – principalele puncte de atins

/in , , /by

Ca și în legislația actuală din materia protecției datelor personale, prin RGPD s-a prevăzut obligația informării persoanei vizate la momentul preluării consimțământului său cu privire la numeroase aspecte. Însă spre deosebire de prezent, RGPD subliniază o importanță crescută a acestei informări și instituie informații suplimentare de comunicat către cei cărora operatorii le prelucrează datele.

1. Informații despre prelucrarea datelor: scop, temei, perioadă, transfer

Operatorii trebuie să ofere persoanelor vizate detalii cu privire la scopul prelucrării și temeiul prelucrării (dacă acesta nu este consimțământul, dar este de exemplu un contract). Dacă operatorul dorește să folosească datele în alt scop decât cel inițial, el trebuie să informeze persoana vizată și să îi ceară consimțământul, dacă este necesar.

De asemenea, trebuie comunicate informații cu privire la perioada prelucrării și ce se întâmplă cu datele la finalul acesteia, dar și cu privire la logica de prelucrare automată a datelor.

În situația în care datele sunt transferate și unei alte persoane, această informație trebuie adusă la cunoștința persoanei vizate, împreună cu motivul transferului și identitatea destinatarului lor.

2. Drepturile persoanei vizate

Este foarte important ca persoanei vizate să i se comunice drepturile pe care le are conform legislației, iar dintre acestea amintim: dreptul de acces la date, de rectificare a lor, de ștergere a acestora, de a se opune prelucrării, de portabilitate a datelor, de a fi informată cu privire la încălcări ale legii.

Mai multe despre drepturile persoanei vizate vom scrie într-un articol ulterior, dată fiind importanța lor semnificativă,

3. Dreptul de a se opune prelucrării în scop de marketing direct

Regulamentul dă o importanță sporită prelucrării datelor în scop de marketing direct și creării de profiluri legate de marketingul direct, instituind obligația de a informa separat și în mod expres persoana vizată că are dreptul de a se opune la o astfel de prelucrare și creare de profiluri.

Totodată, trebuie informate persoanele vizate despre consecințele prelucrării, în special dacă prelucrarea se bazează pe crearea de profiluri.

4. Dreptul de a formula plângeri și cereri. Datele de identificare ale operatorului și autorității naționale

Persoana vizată trebuie să știe că are dreptul de a formula plângere împotriva modului în care i se prelucrează datele ori împotriva oricărei acțiuni ce încalcă RGPD. Plângerea se poate înainta atât operatorului, cât și autorității naționale.

De asemenea, persoana vizată are dreptul de a formula cereri în exercitarea drepturilor sale prevăzute la punctul 2.

Operatorul trebuie să răspundă oricărei cereri sau plângeri primite de la persoana vizată în maximum o lună, conform RGPD.

Operatorul trebuie să informeze persoana vizată cu privire la datele sale de identificare și de contact, dar și cu privire la datele de identificare și de contact ale autorității naționale – în cazul nostru Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal.

Excepții de la obligativitatea informării

RGPD prevede și excepții de la obligativitatea informării persoanelor vizate cu privire la cele de mai sus în următoarele cazuri:

  1. persoanele vizate dețin deja informațiile respective;
  2. înregistrarea sau divulgarea datelor e prevăzută în mod expres de lege;
  3. informarea persoanelor vizate se dovedește imposibilă;
  4. informarea persoanelor vizate ar implica eforturi disproporționate.

Nu lăsați pe ultima sută de metri implementarea măsurilor prevăzute de RGPD, așa că ne puteți contacta aici pentru mai multe detalii.