Aici descoperim
dreptul tehnologiei

Drepturile persoanelor fizice conferite de Regulamentul GDPR. Secolul XXI, denumit și secolul vitezei a adus schimbări fundamentale în societatea noastră. Dacă în trecut era de neconceput să existe telefoane fără fir și tot felul de dispozitive ce funcționează datorită inteligenței artificiale și care vin în ajutorul omului modern, azi nu doar că acest lucru este posibil, ci chiar este îmbunătățit mereu.

Evoluția tehnologiei, uimitoare de altfel,  reprezintă nu doar un ajutor ci și o mare responsabilitate pentru oameni. Aceștia trebuie să găsească soluții eficace pentru a prezerva lucrurile de care se bucură în prezent și generațiilor viitoare. În fiecare zi, ne  trezim și fie că vrem sau nu intrăm în contact cu tehnologia. 

Cu toate acestea, nu foarte mulți indivizi observă sau își pun întrebări în legătură cu datele introduse în diverse sisteme informatice de pe calculator, telefon, tabletă etc. Să luăm un exemplu banal: dorim să ne facem abonament la internet.  Care este primul pas? Alegem un furnizor de servicii care să corespundă necesităților și așteptărilor noastre. 

După vom merge la sediul acestuia pentru a încheia contractul. Odată ajunși aici vom da cartea de identitate pentru introducerea datelor în contract, iar acest lucru se realizează de către operatori folosind un computer. Întrebările care perindă în mintea noastră sunt: ce se întâmplă cu datele mele personale? Sunt ele în siguranță? 

Răspunsul este unul relativ simplu dar care necesită câteva nuanțări. Datele furnizate vor fi prelucrate de către acel furnizor iar acesta este obligat să asigure o bună protecție a acestora. În plus există și reglementări care garantează acest lucru. Astfel, în anul 2016 Uniunea Europeană a adoptat Regulamentul nr. 679 din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date. În cadrul acestui Regulament sunt prevăzute o serie de drepturi de care poate dispune orice persoană fizică. Care sunt aceste drepturi?

1.Dreptul la informare

Regulamentul GDPR oferă posibilitatea oricărui individ de a se informa asupra datelor sale personale. Acesta are  dreptul să solicite informații privind scopul, temeiul legal pentru care datele sale personale sunt prelucrate, destinatarii acestor date, perioada de  stocare, dacă sunt transferate către țări terțe, precum și datele de contact ale operatorului. Operatorul este definit de Regulamentul GDPR drept „persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism care, singur sau împreună cu altele, stabileşte scopurile şi mijloacele de prelucrare a datelor cu caracter personal.” Cu alte cuvinte, el stabilește destinația datelor dar și modul de gestionare al acestora. 

Operator poate fi un furnizor de servicii și chiar în mod surprinzător un administrator al unei pagini de facebook. Astfel, în cauza C‑210/16, firma Wirtschaftsakademie oferea  servicii de formare prin intermediul unei pagini pentru fani găzduite de Facebook. Aceasta a fost sancționată de ULD (autoritatea de supraveghere de pe teritoriul landului Schleswig‑Holstein) pentru că nici ea și nici Facebook nu informau vizitatorii paginii că colectau informații cu caracter personal ce ulterior erau prelucrate. Curtea de Justiție a Uniunii Europene a decis că  noțiunea „operator” înglobează și administratorul unei pagini pentru fani găzduite pe o rețea socială.  Beneficiază de dreptul la informare atât persoanele care au furnizat direct informațiile cât și indivizii de la care nu au fost obținute personal.

Te-ar putea interesa și: Informarea persoanei vizate. Cum facem să corespundă prevederilor GDPR?

2.Dreptul  de acces

Persoanele a căror date sunt procesate au dreptul de a primi o confirmare din partea operatorilor de date cu caracter personal, un drept de acces la informațiile respective dar și despre modul în care vor fi prelucrate. În acest sens, operatorul va furniza informații despre scopul prelucrării, destinatarii datelor, dreptul de a depune o plângere în fața autorității competente, transferul lor către țări terțe și garanțiile oferite pentru un transfer cât mai sigur. 

În plus, persoanele vizate pot obține o copie a datelor cu caracter personal. Art. 15 al. (3) din Regulamentul GDPR vine în completarea acestei prevederi legale dispunând că „pentru orice alte copii solicitate de persoana vizată, operatorul poate percepe o taxă rezonabilă, bazată pe costurile administrative.” Un exemplu destul de simplu pentru a înțelege cât mai bine mecanismul acestui drept este conferit chiar de raporturile de muncă. Între angajator și angajat se încheie un contract de muncă; ulterior salariatul poate cere oricând accesul la dosarul personal. Cu toate acestea dreptul de acces conține și anumite limite. 

Te-ar putea interesa și:

• Investigații GDPR. 10 Lucruri pe care trebuie să le știi despre controalele GDPR.
• Ce este GDPR? Regulament GDPR explicat în 5 minute.
• Cum se calculează amenzile pentru încălcarea GDPR?

Operatorul poate să refuze să răspundă unei cereri ce are caracter abuziv sau repetitiv. De asemenea, poate refuza accesul la date, motivat și informând persoanele despre termenele și posibilitatea de a contesta decizia. Așadar, fiecare dintre noi beneficiem de acest drept și trebuie să ne asigurăm că îl exercităm fără a aduce atingere drepturilor celorlalți. Astfel, în exemplu precedent cu raportul de muncă salariatul nu poate obține dosarul cu datele personale ale altui angajat.

3.Dreptul la rectificare 

Acest drept poate fi exercitat în cazul în care datele sunt inexacte, incomplete, echivoce sau perimate.  Persoana vizată va aduce la cunoștința operatorului aceste nereguli, iar acesta le va rectifica în cel mai scurt timp. Totodată operatorul este obligat să transmită rectificările destinatarilor datelor cu caracter personal. Mai multe despre dreptul la rectificare poți afla aici. 

4.Dreptul la ştergerea datelor ( „dreptul de a fi uitat”)

Acest drept este unul fundamental deoarece dă persoanelor vizate un drept de dispoziție asupra datelor cu caracter personal. Astfel, orice persoană poate cere ștergerea datelor pentru următoarele motive:

• scopul pentru care au fost colectate sau procesate a fost atins;
• persoana vizată „îşi retrage consimţământul pe baza căruia are loc prelucrarea  şi nu există niciun alt temei juridic pentru prelucrarea;”
• persoana se opune prelucrării datelor ( dreptul de opoziție prevăzut de Regulamentul GDPR în art. 21)
• datele au fost ilegal procesate;
• există o obligație legală a operatorului prevăzută de dreptul Uniunii Europene sau de dreptul intern de a șterge aceste date;
• datele cu caracter personal au fost „colectate în legătură cu oferirea de servicii ale societăţii informaţionale menţionate la articolul 8 alineatul (1).” Articolul 8 alin. 1 se referă la prelucrarea datelor copiilor cu vârsta de 16 ani ( prelucrare legală) și a celor sub 16 ani ( prelucrarea este legală dacă titularul autorității părintești își dă consimțământul, în caz contrar, este ilegală).

Operatorul într-un termen rezonabil va șterge datele cu caracter personal și va informa și destinatarii acestor date despre solicitarea făcută de persoana vizată. Acesta nu este responsabil, dacă ulterior aceste date sunt reutilizate de către alți operatori, întrucât el are doar o obligație de mijloace. Operatorul va șterge datele cu caracter personal precum și orice copii ale acestora. Deși acest drept poate fi exercitat oricând, el conține anumite limitări. Astfel, prelucrarea este necesară în următoarele cazuri:

• pentru exercitarea dreptului la liberă exprimare şi la informare; 
• pentru constatarea, exercitarea sau apărarea unui drept în instanţă;
• din motive de interes public în domeniul sănătăţii publice;
• în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice;
• pentru respectarea unei obligaţii legale care prevede prelucrarea în temeiul dreptului Uniunii sau al dreptului intern care se aplică operatorului sau pentru îndeplinirea unei sarcini executate în interes public sau în cadrul exercitării unei autorităţi oficiale cu care este învestit operatorul.

Mai multe despre dreptul la ștergere poți afla aici. 

KIT GDPR Premium

5.Dreptul la restricţionarea prelucrării

Prin intermediul acestui drept o persoană poate limita modul în care un operator îi folosește datele cu caracter personal. Cu toate acestea, dreptul nu este unul discreționar, fiind exercitat în anumite circumstanțe prevăzute de articolul 18 din Regulamentul GDPR:

• persoana vizată contestă exactitatea datelor personale- este o restricționare temporară operatorul făcând toate verificările necesare
• datele au fost prelucrate ilegal, iar persoana vizată se opune ștergerii și solicită restricția în schimb;
• operatorul nu mai are nevoie de datele personale dar persoana i le solicită pentru exercitarea sau apărarea dreptului în instanță;
• persoana vizată s-a opus prelucrării datelor în conformitate cu articolul 21 alineatul (1)- operatorul va verifica dacă interesul său legitim prevalează asupra interesului personal.

Operatorul poate refuza cererea de restricționare a persoanei vizate dacă este nefondată sau are caracter repetitiv. 

Mai multe despre acest drept poți afla aici. 

6. Dreptul la portabilitatea datelor

Acest drept a fost introdus prin Regulamentul GDPR și oferă posibilitatea persoanelor vizate de a primi datele personale într-o manieră cât mai clară și structurată. În plus ele pot fi stocate și transmise ușor de la un operator la altul.  Orice date furnizate pot face obiectul dreptului la portabilitate? Răspunsul este nu. Doar datele prelucrate pe bază de consimțământ dat în mod legal conform articolului 6 alineatul (1) litera (a) sau al articolului 9 alineatul (2) litera (a)-adică consimțământul dat pentru scopuri specifice și cel dat pentru executarea unui contract.

O graniță destul de fină în cazul acestui drept există atunci când datele altei persoane fac obiectul unei cereri de portabilitate. Un exemplu elocvent în acest caz ar fi e-mailul prin care cerem datele bancare ale unei altei persoane în scopul efectuării unui transfer bancar. Ar trebui furnizate aceste date sau nu? Răspunsul este că depinde de situație. S-a susținut că datele unei alte persoane pot fi furnizate persoanei care formulează o cerere și transmise unui alt organism dacă se face în scop strict personal iar persoana face parte din anturajul persoanei vizate.

7. Dreptul la opoziţie

Dreptul la opoziție constă din refuzul de a permite prelucrarea datelor pentru motive ce țin de „situația particulară”a oamenilor. Astfel, se va analiza fiecare caz în parte înainte de a se da curs unei cereri privind acest drept. Totodată dreptul nu este limitat în timp, persoana vizată având posibilitatea de a se opune în orice moment prelucrării. La fel se întâmplă și în cazul colectării de date în scop de marketing direct.

Dacă datele au început deja să fie prelucrate se poate solicita ștergerea lor (dreptul de a fi uitat). Operatorul are totuși o pârghie de salvare dacă dovedește că are motive legitime justifică prelucrarea şi care prevalează asupra drepturilor persoanei vizate sau dacă aceste date au ca scop constatarea, exercitarea sau apărarea unui drept în instanţă. 

Regulamentul conține și anumite derogări de la aceste drepturi fundamentale prevăzute de articolul 89. Derogările privesc activitățile de cercetare ştiinţifică sau istorică, prelucrarea în scopuri de arhivare în interes public ori în scopuri statistice. 

La nivel național, legiuitorul român a stabilit măsurile de punere în aplicare a RGPD prin Legea nr 190/2018. Acesta a instituit chiar și o nouă derogare de la Regulament în legătură cu prelucrarea datelor cu caracter personal în scopuri jurnalistice sau în scopul exprimării academice, artistice sau literare ( articolul 7 din lege). În plus, pentru garantarea   respectării drepturilor fundamentale la viaţă privată și la protecţia datelor personale, a fost desemnată drept apărător Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal.

În contextul pandemiei cu COVID-19 este necesar să respectăm Regulamentul GDPR? DA, chiar și în contextul instituirii stării de urgență operatorul trebuie să asigure o prelucrare legală a datelor cu caracter persoanal. Acest lucru este susținut și de Andrea Jelinek, președintele European Data Protection Board „Normele de protecție a datelor (precum este GDPR) nu împiedică măsurile luate în lupta împotriva pandemiei coronavirusului. Cu toate acestea, aș dori să subliniez faptul că, chiar și în aceste momente excepționale, operatorul de date trebuie să asigure protecția datelor cu caracter personal ale persoanelor vizate.” 

                                                                  Articol realizat de Guță Mădălina-Gabriela Master, Universitatea „Alexandru Ioan Cuza” din Iași

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

• Consultanță și implementare GDPR. Scrie-ne pe LinkedIn sau pe Facebook
• KIT complet de documente prin care îți faci singur implementarea, cu suportul nostru juridic. Află mai multe aici
• Curs GDPR online care 28 de module care acoperă integral, teoretic și practic, materia. Află mai multe aici
• Curs de securitate informatică din care înveți cum să asiguri securitatea în cadrul companiei tale și cum să preîntâmpini incidentele de securitate.

Bibliografie:

Alatis, Quels sont les nouveaux droits des personnes dont les données sont traitées?, disponibil online:http://alatis.eu/actualites/rgpd-quels-sont-les-nouveaux-droits-des-personnes-concernees-par-le-traitement-de-leurs-donnees/

Aurélien Bamdé, RGPD: le droit de rectification, disponibil online la: https://aurelienbamde.com/2018/12/23/rgpd-le-droit-de-rectification/

CNIL, Le droit à la portabilité en questions, disponibil online: https://www.cnil.fr/fr/le-droit-la-portabilite-en-questions

Hotărârea Curții de Justiție a Uniunii Europene (cauza C‑210/16) disponibilă online la: http://curia.europa.eu/juris/document/document.jsf;jsessionid=98E3B8C53A43F8D41070907AA4C48B3E?text=&docid=202543&pageIndex=0&doclang=RO&mode=lst&dir=&occ=first&part=1&cid=962998

Lege nr. 190 din 18 iulie 2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE disponibilă online la:https://www.dataprotection.ro/servlet/ViewDocument?id=1520

Prelucrarea datelor în contextul COVID-19,disponibil la: https://gdprcomplet.ro/prelucrarea-datelor-covid-19/

Regulament nr. 679 din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor) disponibil online la:https://www.dataprotection.ro/servlet/ViewDocument?id=1262

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]

„Informaţia este sufletul tuturor afacerilor publice” – Daniel Defoe.

Acest citat este edificator pentru situația actuală a informațiilor. Omenirea a fost preocupată constant de modalități de exploatare a resurselor, cele mai mari industrii din lume activând în domenii precum cel al energiei electrice sau al petrolului.

Astăzi putem spune cu certitudine că „informația” a devenit una dintre cele mai importante resurse ale omenirii. Ea poate fi cuantificată și cel mai important, ea a căpătat o valoare economică. Din aceste considerente, a fost necesar ca dobândirea și folosirea ei să capete o reglementare juridică amplă, cu titlu de exemplu în acest sens menționăm Regulamentul (UE) 679/2016 („Regulamentul General privind protecția datelor” sau „GDPR”) și Scutul de confidențialitate UE – SUA (Privacy Shield). 

Informațiile tale de la Facebook

Facebook a devenit unul dintre actorii principali ai internetului și conform Deciziei nr. 4546/2014 pronunțată de Înalta Curte de Casație și Justiție din România acesta a căpătat astfel și înțelesul de „spațiu public” . A devenit necesar ca fiecare dintre noi să poată să acceseze informațiile personale și să fie în controlul acestora. Facebook a venit cu o serie de lămuriri în acest sens și explicații pentru fiecare procedură.

În ceea ce privește Politica de utilizare a datelor, Facebook definește principalele categorii de date ce pot fi prelucrate atât de aplicație (inclusiv Messenger, Instagram) și alte produse și funcții oferite de facebook. Conform acesteia Facebook prelucrează următoarele categorii de date: „Lucruri pe care le faceți și informații pe care le furnizați dvs. și alte persoane”, „Informații despre dispozitiv” și „Informații de la parteneri”.Aceasta se poate regăsi în integralitate prin accesarea următorului link: https://www.facebook.com/privacy/explanation.

De asemenea, pentru o analiză mai atentă a informațiilor prelucrate de Facebook și a celor ce pot fi descărcate din aplicație există și o secțiune dedicată special acestora: https://www.facebook.com/help/930396167085762.

Informațiile personale pot fi descărcate prin intermediul aplicației prin folosirea instrumentului „Descarcă informațiile”. Astfel, după accesarea panoului „Setări”, se va alege opțiunea „Informațiile tale de pe Facebook”, iar în cadrul acesteia se va regăsi instrumentul „Descarcă informațiile”. Facebook oferă câteva posibilități diferite de obținere a informațiilor, în sensul că se pot obține în integralitate sau parțial, dar și sub diferite formate. Pentru mai multe detalii puteți accesa descrierea procedeului realizată de către Facebook: https://www.facebook.com/help/212802592074644?helpref=related&ref=related&source_cms_id=930396167085762.

Având în vedere contextul actual în care latura de marketing a Facebook-ului a căpătat amploare, este de o deosebită importanță să ne informăm și despre reclamele care ne sunt adresate. Facebook oferă o explicație a modului în care putem controla reclamele pe care le vedem în funcție de activitățile în afara acestuia: https://www.facebook.com/help/568137493302217?helpref=related&ref=related&source_cms_id=930396167085762.

Te-ar putea interesa și:

• Ce este GDPR? Regulament GDPR explicat în 5 minute.
• Facebook este spațiu public. Cum argumentează Înalta Curte?
• Facebook – spațiu public. Expresii jignitoare și dreptul la imagine
• Ce fel de informații colectează Facebook despre tine și cum le utilizează?
• CJUE. Admistratorul unui site poate fi operator asociat cu Facebook.

KIT GDPR Premium

Informațiile tale de la Google

Astăzi cel mai mare motor de căutare din lume, Google a fost mereu preocupat de protecția datelor utilizatorilor săi și facilitarea accesului acestora la datele prelucrate. În acest sens, în cadrul companiei activează și Google Data Liberation Front, care a dezvoltat o interfață user-friendly denumită Google Takeout, logarea în cadrul acesteia având loc prin contul personal de Google. Prin intermediul acesteia se pot descărca următoarele informații și date : contactele din agendă, fișierele din Google Drive, cercurile Google Plus, toate fotografiile din Picasa Web Albums, informațiile de profil ale contului Google Plus, toate clipurile încărcate pe YouTube, blogurile Blogger, BuzZ-urile postate, feed-urile la care ne-am abonat în Google Reader, +1 pe care le-am acordat și postările din stream-ul Google Plus și multe alte informații ce pot fi regăsite prin accesarea linkului următor: https://takeout.google.com/settings/takeout?pli=1.

De asemenea, Google oferă posibilitatea descărcării informațiilor personale și prin intermediul secțiunii următoare: https://support.google.com/accounts/answer/3024190, având de asemenea numeroase posibilități în ceea ce privește formatul în care informațiile urmează să fie puse la dispoziția utilizatorului și care dintre aceste informații urmează să fie preluate de către utilizator.

În cadrul Google Account Help utilizatorul mai poate lua și alte decizii în privința informațiilor personale, gestionarea acestora fiind facilitată prin interfața accesibilă la următorul link: https://support.google.com/accounts/answer/7660719?hl=en.

Pentru vizualizarea unui raport al modului în care informațiile personale sunt utilizate de către Google în funcție de fiecare aplicație din cadrul acesteia se pot urma pașii de la următorul link: https://support.google.com/accounts/answer/162744?hl=en.

Politica de confidențialitate Google explică ce informații poate culege acesta și din ce motiv, modul în care sunt folosite și cum pot fi examinate și actualizate de către utilizator: https://policies.google.com/?hl=ro.

Cu titlu de regulă generală, actualele prevederi legale la nivelul UE prevăd faptul că utilizatorii pot solicita acces la datele cu caracter personal pe care o companie sau o organizație le deține și aveți dreptul de a obține gratuit o copie a acestor date, într-un format accesibil. Compania sau organizația ar trebui să vă răspundă în termen de o lună și este obligată să vă transmită o copie a datelor personale și orice alte informații relevante despre modul în care au fost sau sunt utilizate datele dumneavoastră.

Te-ar putea interesa și:

• Google, amendat azi cu 50 milioane euro pentru încălcarea GDPR. Franța.

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]