Aici descoperim
dreptul tehnologiei

template-2-1200x675.png

Cu siguranță, în calitatea ta de pasager aerian, te-ai întrebat cel puțin o dată ce se întâmplă cu multitudinea de date pe care le oferi companiilor aeriene. De ce sunt colectate atât de multe date? Cui sunt transmise? Pe ce perioadă sunt stocate? Sunt ele stocate în condiții de securitate și confidențialitate? Ce drepturi am? Parcurge articolul nostru și vei afla răspunsul la aceste întrebări. 

Azi, 2 decembrie, a intrat în vigoare Legea nr. 284/2018 privind utilizarea datelor din registrul cu numele pasagerilor din transportul aerian care transpune  Directiva (UE) 2016/681 a Parlamentului European și a Consiliului și a fost abrogată Ordonanța Guvernului nr. 13/2015 privind utilizarea unor date din registrele cu numele pasagerilor.

Cine este UNIP?

UNIP reprezintă abrevierea de la Unitatea națională de informații privind pasagerii și este o structură de specialitate, fără personalitate juridică, în cadrul Inspectoratului General al Poliției de Frontieră. UNIP, are, în principal următoarele atribuții: 

  • colectează datele pasagerilor de la transportatorii aerieni;
  • stochează datele pasagerilor pe o anumită perioadă;
  • transferă datele pasagerilor către autoritățile competente;
  • facilitează schimbul de date ale pasagerilor cu  Unitățile de informații privind pasagerii din alte state membre ale Uniunii Europene și cu EUROPOL;
  • facilitează schimbul de date ale pasagerilor cu țări terțe.

Ce date ale pasagerilor transmit companiile aeriene către UNIP?

Datele pasagerilor transmise de către companiile aeriene către UNIP sunt numite de lege Date PNR. 

a) codul de rezervare;

b) data rezervării sau a emiterii biletului;

c) data/datele programată/programate a/ale călătoriei;

d) numele și prenumele asociate rezervării;

e) adresa și informațiile de contact – număr de telefon, adresă de e-mail – asociate rezervării;

f) toate informațiile privind forma de plată, inclusiv adresa de facturare;

g) itinerarul complet de călătorie;

h) informațiile din profilul “client fidel”;

i) agenția sau agentul de turism prin care a fost făcută rezervarea sau a fost cumpărat biletul;

j) situația de călătorie a pasagerului, inclusiv confirmările, situația înregistrării pentru zbor, informații privind neprezentarea pasagerului la îmbarcare sau privind prezentarea acestuia în ultimul moment la îmbarcare fără rezervare prealabilă;

k) informațiile scindate sau divizate din registrul cu numele pasagerilor;

l) mențiunile cu caracter general, inclusiv toate informațiile disponibile despre minorii neînsoțiți cu vârsta sub 18 ani, precum numele și sexul minorului, vârsta, limba/limbile vorbită/vorbite, numele și datele de contact ale persoanei care îl însoțește la plecare și relația sa cu minorul, numele și datele de contact ale persoanei care îl așteaptă la sosire și relația sa cu minorul, agentul prezent la plecare și la sosire;

m) informațiile despre bilet, inclusiv numărul biletului, data emiterii biletului și bilete dus simplu și câmpurile aferente furnizării automate a prețului unui bilet de călătorie;

n) numărul locului și alte informații privind locul;

o) informațiile cu privire la codurile partajate;

p) toate informațiile cu privire la bagaje;

q) numărul pasagerilor înregistrați în PNR și alte nume ale acestora;

r) orice date API colectate, inclusiv tipul, numărul, țara de emitere și data expirării oricărui document de identitate, cetățenia, numele de familie, prenumele, sexul, data nașterii, compania aeriană, numărul zborului, data plecării, data sosirii, aeroportul de plecare, aeroportul de sosire, ora plecării și ora sosirii;

s) un istoric al tuturor modificărilor datelor PNR prevăzute mai sus.

În ce scopuri sunt colectate, prelucrate și transmise aceste date? 

Prelucrarea și transmiterea acestor date de la companiile aeriene către UNIP și ulterior către alte instituții abilitate de lege sunt necesare pentru prevenirea, depistarea, investigarea și urmărirea penală a infracțiunilor de terorism și a infracțiunilor grave, precum și pentru prevenirea și înlăturarea amenințărilor la adresa securității naționale și exlusiv pentru următoarele scopuri:

a) efectuarea unei evaluări a pasagerilor înainte de sosirea sau de plecarea programată a acestora în/din România, în vederea identificării persoanelor cu privire la care este necesară o examinare suplimentară de către autoritățile competente și, după caz, de către EUROPOL, având în vedere faptul că respectivele persoane pot fi implicate în săvârșirea unei infracțiuni de terorism, a unei infracțiuni grave sau într-o activitate care constituie amenințare la adresa securității naționale;

b) oferirea de răspunsuri, de la caz la caz, unei cereri temeinic justificate bazate pe motive suficiente din partea autorităților competente vizând furnizarea și prelucrarea datelor PNR, în cazuri concrete, și comunicarea rezultatelor acestei prelucrări autorităților competente sau, după caz, EUROPOL;

c) analizarea datelor PNR în vederea actualizării sau a definirii de noi criterii ce urmează a fi utilizate pentru evaluările efectuate în scopul identificării oricăror persoane care pot fi implicate în săvârșirea unei infracțiuni de terorism, a unei infracțiuni grave sau într-o activitate care constituie amenințare la adresa securității naționale.

Când se transmit datele către UNIP?

Transporatorii aerienă transmit datele PNR către UNIP cu 48 până la 24 de ore înainte de ora programată pentru plecarea zborului.

Cui transmite UNIP datele pasagerilor?

  • Autorităților competente

a) Poliția Română;

b) Poliția de Frontieră Română;

c) Direcția Generală de Protecție Internă;

d) Direcția Generală Anticorupție;

e) Serviciul Român de Informații;

f) Serviciul de Informații Externe;

g) Ministerul Apărării Naționale: Direcția generală de informații a apărării;

h) Ministerul Public;

i) Agenția Națională de Administrare Fiscală: Direcția Generală a Vămilor.

  • Unitățile de informații din alte state membre;

UNIP reprezintă punctul național de contact cu unitățile de informații privind pasagerii ale altor state membre ale Uniunii Europene și este responsabilă pentru schimbul de date PNR cu acestea.

  • EUROPOL

EUROPOL poate adresa UNIP, prin intermediul Unității Naționale Europol, o cerere în format electronic, justificată corespunzător, de transmitere a unor anumite date PNR sau a rezultatului prelucrării respectivelor date.

EUROPOL adresează această cerere doar atunci când acest lucru este strict necesar pentru sprijinirea și consolidarea acțiunii statelor membre ale Uniunii Europene în vederea prevenirii, depistării sau investigării unei anumite infracțiuni de terorism sau a unei anumite infracțiuni grave, în măsura în care infracțiunea respectivă intră în sfera de competență a EUROPOL, în temeiul legislației Uniunii Europene care stabilește organizarea și atribuțiile EUROPOL.

Cererea trebuie să conțină motive rezonabile pe baza cărora EUROPOL consideră că transmiterea datelor PNR sau a rezultatului prelucrării datelor PNR va contribui în mod substanțial la prevenirea, depistarea sau investigarea infracțiunii în cauză.

În ce condiții poate UNIP transfera date către țări terțe?

UNIP poate transfera date PNR sau rezultatul prelucrării datelor PNR către autoritățile unei țări terțe doar de la caz la caz și dacă sunt îndeplinit, printre altele, următoarele condiții:

a) sunt respectate dispozițiile art. 15 din Legea nr. 238/2009 privind reglementarea prelucrării datelor cu caracter personal de către structurile/unitățile Ministerului Afacerilor Interne în activitățile de prevenire, cercetare și combatere a infracțiunilor, precum și de menținere și asigurare a ordinii publice, republicată;

b) transferul este necesar în scopul prevenirii, depistării sau investigării unei fapte care este considerată de legea țării terțe solicitante drept infracțiune de terorism sau care este sancționată ca infracțiune de legea țării terțe solicitante cu o pedeapsă sau cu o măsură de siguranță privativă de libertate a cărei durată maximă este de cel puțin 3 ani și care este corespunzătoare uneia dintre formele de criminalitate prevăzute în anexa care face parte integrantă din prezenta lege;

c) autoritatea din țara terță comunică în scris că este de acord să transfere datele PNR unei alte țări terțe doar în cazul în care acest lucru este strict necesar în scopul prevăzut la lit. b) și doar cu autorizarea expresă a UNIP;

e) nu este afectată securitatea națională.

Pe ce perioadă sunt păstrate datele pasagerilor?

Datele pasagerilor furnizate de transportatorii aerieni se păstrează în cadrul UNIP pentru o perioadă de 5 ani de la momentul finalizării transferului de date de la companiile aeriene către UNIP. La împlinirea acestui termen, datele se șterg automat, printr-o procedură ireversibilă.

Totuși, la împlinirea a 6 luni de la momentul transferului, datele sunt depersonalizate prin marcarea următoarelor elemente:

a) numele, inclusiv numele altor pasageri, precum și numărul pasagerilor care călătoresc împreună;

b) adresa și informațiile de contact asociate rezervării;

c) toate informațiile privind forma de plată, inclusiv adresa de facturare;

d) informațiile din profilul “client fidel”;

e) mențiunile cu caracter general prevăzute la art. 14 alin. (1) lit. l);

f) orice date API care au fost colectate.

Cu toate acestea, ștergerea datelor în cadrul UNIP nu are efect asupra datelor care există deja la autoritățile competente unde acestea au fost transmise, păstrarea acestor date va respecta regimul aplicabil de păstrarea aplicabil cazului concret de prelucrare.

Cine va fi responsabil de protecția datelor? 

UNIP va avea un responsabil cu protecția datelor, numit de inspectorul general al IGPF.

Responsabil cu protecția datelor în cadrul UNIP va fi un polițist – funcționar public cu statut special cu studii superioare -, cu o experiență de minimum 2 ani în domeniul protecției datelor cu caracter personal și care a urmat cel puțin un curs de specializare în acest domeniu.

În exercitarea sarcinilor de serviciu privind respectarea legislației în materia protecției datelor cu caracter personal, responsabilul cu protecția datelor în cadrul UNIP este independent și nu poate primi instrucțiuni pe cale ierarhică.

Responsabilul cu protecția datelor UNIP va avea următoarele atribuții:

a) informarea și consilierea personalului UNIP care efectuează prelucrări de date PNR, cu privire la obligațiile care le revin în temeiul legislației privind protecția datelor cu caracter personal;

b) monitorizarea respectării de către UNIP a obligațiilor ce îi revin în conformitate cu dispozițiile legislației privind protecția datelor cu caracter personal și a politicilor UNIP în materia protecției datelor cu caracter personal, în special a alocării responsabilităților, a creșterii gradului de conștientizare a acestora în rândul personalului UNIP și a acțiunilor de formare a personalului implicat în operațiunile de prelucrare;

c) realizarea verificărilor necesare în scopul determinării nivelului de respectare a rigorilor impuse de cadrul normativ privind protecția datelor cu caracter personal;

d) furnizarea de consiliere în ceea ce privește evaluarea impactului măsurilor de protecție a datelor cu caracter personal prelucrate în cadrul Sistemului de evidență a datelor PNR și monitorizarea modului în care principiile prelucrării datelor cu caracter personal sunt implementate în cadrul operațiunilor realizate în cadrul UNIP;

e) cooperarea cu Autoritatea națională de supraveghere și îndeplinirea funcției de punct de contact pentru această instituție;

f) îndeplinirea funcției de punct unic de contact în relația cu persoanele vizate, cu privire la toate aspectele legate de prelucrarea datelor cu caracter personal în cadrul Sistemului de evidență a datelor PNR.

Atunci când în exercitarea atribuțiilor prevăzute lconstată efectuarea unei operațiuni de prelucrare a datelor cu caracter personal nu este conformă cu legislația în materia protecției datelor cu caracter personal, responsabilul cu protecția datelor în cadrul UNIP informează conducerea IGPF. În cazul în care pentru remedierea situației nu sunt suficiente măsurile adoptate la nivelul IGPF, responsabilul cu protecția datelor în cadrul UNIP notifică, de îndată, Autoritatea națională de supraveghere.

Responsabilul cu protecția datelor UNIP reprezintă punctul de contact cu persoanele fizice vizate și, în consecință, are următoarele atribuții:

  • primește și întregistrează cererile persoanelor vizate într-un registru special;
  • solicită UNIP să realizeze verificările necesare pentru soluționarea cererilor;
  • întocmește și transmite răspunsurile către persoanele fizice solicitante.

Cum pot să îmi exercit drepturile cu privire la datele mele personale?

Pentru a-și exercita drepturile prevăzute de GDPR (acces, rectificare, restricționare, opoziție, ștergere, portabilitate), pasagerul va formula și va depune o cerere la UNIP. Pentru validitatea cererii, persoana trebuie să facă dovada identității. 

Sunt datele mele prelucrate în condiții de securitate și confidențialitate?

UNIP va asigura securitatea și confidențialitatea datelor potrivit GDPR și a legislației naționale de punere în aplicare a acestuia.

Este interzisă prelucrarea datelor PNR prin intermediul persoanelor împuternicite de către operator, în sensul Regulamentului general privind protecția datelor și a legislației de punere în aplicare a acestuia.

Prelucrează UNIP date sensibile despre mine?

Nu. Potrivit legii, prelucrarea datelor pasagerilor care dezvăluie originea rasială sau etnică, opiniile politice, religia sau convingerile filozofice, apartenența la un sindicat, sănătatea, viața sexuală sau orientarea sexuală este interzisă.  În cazul în care datele PNR transmise de transportatorii aerieni cuprind informații sensibile, personalul UNIP șterge în mod ireversibil respectivele informații imediat după identificarea acestora.

Ce ar trebui să știu despre protecția datelor de către companiile aeriene?

Transportatorii aerieni rămân responsabili, în temeiul dispozițiilor legale din domeniul protecției datelor cu caracter personal aplicabile acestora, în ceea ce privește:

a) adoptarea măsurilor tehnice și organizatorice necesare pentru asigurarea protejării datelor PNR împotriva distrugerii accidentale sau ilegale, pierderii, modificării, dezvăluirii sau accesului neautorizat, precum și împotriva oricărei altei forme de prelucrare ilegală;

b) prelucrarea datelor PNR în mod legal, echitabil și transparent față de persoana vizată, inclusiv informarea pasagerilor, prealabilă colectării datelor PNR, cu privire la faptul că acestea sunt transmise către UNIP;

c) colectarea datelor PNR în scopuri determinate, explicite și legitime și abținerea de la prelucrarea ulterioară într-un mod incompatibil cu aceste scopuri;

d) colectarea de date PNR adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate;

e) prelucrarea de date PNR exacte și actualizate;

f) păstrarea datelor PNR într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate.

 

Te-ar putea interesa și:




Portabilitatea datelor

Ce reprezintă portabilitatea datelor?

Portabilitatea datelor este un drept nou oferit de către Regulament persoanelor fizice cetățeni ai unui stat membru al Uniunii Europene.

Dreptul la portabilitatea datelor reprezintă dreptul unei persoane fizice “… de a primi datele cu caracter personal care o privesc și pe care le-a furnizat operatorului într-un format structurat, utilizat în mod curent și care poate fi citit automat și … dreptul de a transmite aceste date altui operator, fără obstacole din partea operatorului căruia i-au fost furnizate datele cu caracter personal… “

Scopul acestui drept este de a susține alegerea utilizatorului și de a extinde și întări controlul  pe care acesta îl are asupra datelor sale personale.

Ce tipuri de date beneficiează de portabilitate?

Potrivit Ghidului privind dreptul la portabilitatea informațiilor , ghid adoptat de Comisia Europeană în data de 13 decembrie 2016 și revizuit în data de 5 aprilie 2017, acest drept nu este deplin ci se supune unor condiții prealabile.

Pentru a beneficia de portabilitate datele trebuie să îndeplinească în mod cumulativ următoarele condiții:

  1. Datele personale să privească utilizatorul

Se exclud astfel datele anonime sau datele care nu privesc utilizatorul.

Datele pseudonimizate care pot fi folosite pentru a identifica utilizatorul chiar dacă identificarea se face cu ajutorul acestuia fac obiectul acestui drept.

  1. Datele personale să fie furnizate operatorului de către utilizator

În acest sens avem:

Date furnizate în mod activ de către utilizator prin mijloacele tehnice puse la dispoziție de către operator, ca de exemplu: adresă de e-mail, vârstă, locație, număr de telefon, adresă poștală, nume utilizator, etc.

sau

Date rezultate din activitatea utilizatorului cum ar fi: date privind locația, pulsul, istoricul de c ăutari, paginile accesate, etc.

Datele inferate sau derivate din datele oferite operatorului de către utilizator nu beneficiează de dreptul de portabilitate.

Noțiunea de date furnizate de către utilizator trebuie interpretată și înțeleasă în mod extensiv. Aceasta cuprinde toate datele deținute de către operator cu privire la persoana utilizatorului cu excepția datelor inferate sau derivate.

  1. Dreptul la portabilitatea datelor să nu afecteze drepturile și libertățile celorlalți utilizatori

Obligațiile operatorului

  1. Să informeze utilizatorii cu privire la existența dreptului de portabilitate
  2. Să pună la dispoziția utilizatorului, la cererea acestuia, o copie a datelor furnizate de către acesta într-un format accesibil și utilizabil.
  3. Să onoreze cererea utilizatorului în cel mai scurt timp posibil însă fără să depășească o lună de la data solicitării, sau, în cazurile complexe nu mai mult trei luni cu condiția ca operatorul să informeze utilizatorul despre motivele care duc la întârzierea onorării cererii în termen de o lună.
  4. Să răspundă cererii utilizatorului chiar dacă acest răspuns este unul negativ (de refuz).

 

Operatorul poate refuza onorarea unei astfel de cereri a utilizatorului dacă aceasta este nefondata sau dacă are un caracter repetitiv.

Costul impus de onorarea unei astfel de cereri nu poate reprezenta un motiv legitim de refuz.

De asemenea, aceste cereri nu pot fi considerate ca fiind excesive dacă prin natura sa Operatorul oferă servicii de informare sau procesare automată a datelor personale.

  1. Să onoreze cererile în mod gratuit.
  2. Să ia toate măsurile de siguranță, astfel încât datele transmise să ajungă în mod sigur (de exemplu prin utilizarea encripției) la utilizatorul corect.

Aceste măsuri de siguranță nu trebuie să împiedice utilizatorii să își exercite drepturile.

Care este formatul recomandat pentru o astfel de cerere?

Regulamentul recunoaște ca format adecvat orice format electronic, structurat  și codificat într-o manieră care nu limitează procesarea automată, reutilizarea datelor și care poate fi recunoscut ușor de către aplicațiile software.

Cine oferă servicii de portare a datelor?

Instrumente de portabilitate a datelor sunt deja disponibile pe Slack, Oracle Cloud,  Spotify, Twitter, Facebook și Instagram.

În KIT-ul nostru de implementare GDPR, am inclus toate documentele necesare (registre, proceduri, politici, formulare de consimțământ, acorduri de confidentialitate, note de informare) astfel încât să îți protejezi afacerea. Urmând instrucțiunile și ghidurile explicate pe înțelesul tău, îți poți face chiar tu implementarea, evitând costurile consultanței.

Bibliografie

  1. http://eur-lex.europa.eu/legal-content/RO/TXT/PDF/?uri=CELEX:32016R0679&from=EN accesat la 2 iunie 2018
  2. https://www2.deloitte.com/nl/nl/pages/risk/articles/gdpr-top-ten-1-data-portability.html accesat la 2 iunie 2018
  3. https://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp242_en_40852.pdf accesat la 2 iunie 2018
  4. https://slack.com/gdpr#data-portability accesat la 2 iunie 2018
  5. http://www.oracle.com/us/gdpr-oracle-cloud-apps-4070546.pdf accesat la 2 iunie 2018
  6. https://support.spotify.com/ro/account_payment_help/privacy/data-rights-and-privacy-settings/ accesat la 2 iunie 2018
  7. https://techcrunch.com/2018/04/24/instagram-export/ accesat la 2 iunie 2018

 

 



Odată cu intrarea in vigoare a GDPR, orice persoană vizată, în situația în care face o solicitare în acest sens, va trebui să fie informată cu privire la datele personale pe care organizația sau compania respectivă le deține despre ea și, mai exact, de ce și în ce mod o face.

În temeiul legislaţiei CoE (Consiliul Europei), dreptul de acces la datele proprii este recunoscut în mod explicit la articolul 8 din Convenţia 108. În temeiul dreptului UE, dreptul de acces la datele proprii este recunoscut la articolul 12 din Directiva privind protecţia datelor şi, ca drept fundamental, la articolul 8 alineatul (2) din Cartă.

În conformitate cu articolul 9 din Convenţia 108 şi articolul 13 din Directiva privind protecţia datelor, obligaţia operatorilor de a răspunde la o cerere de acces din partea persoanei vizate poate fi restricţionată ca urmare a intereselor legale prioritare ale altor entităţi.

Interesele legale prioritare pot implica interese publice, precum securitatea naţională, siguranţa publică şi urmărirea penală a infracţiunilor, precum şi interese private, care sunt imperative faţă de interesele privind protecţia datelor.

Excepţiile sau restricţiile trebuie să fie necesare într-o societate democratică şi proporţionale cu scopul urmărit. În cazuri excepţionale, de exemplu, în baza unor recomandări medicale, protecţia persoanelor vizate poate necesita în sine o restricţionare a transparenţei.

 

Regulamentul prevede faptul că, persoana vizată are dreptul de a obține de la operator confirmarea dacă datele personale care o privesc sunt sau nu procesate. În acest caz, pe lângă furnizarea accesului la datele cu caracter personal, persoana vizată are dreptul să primească și următoarele informații:

  • Scopul procesării;
  • Categoriile de date care sunt procesate și datele care fac obiectul prelucrării;
  • Destinatarii sau categoriile de destinatari cărora le-au fost dezvăluite sau vor fi dezvăluite datele cu caracter personal și în special destinatarii din țări terțe sau organizații internaționale;
  • Atunci când este posibil, perioada prevăzută pentru care vor fi stocate datele cu caracter personal sau, dacă nu este posibil, criteriile utilizate pentru stabilirea acestei perioade;
  • Existența dreptului de a solicita rectificarea sau ștergerea datelor cu caracter personal sau limitarea prelucrării acestora sau chiar să se opună acestei prelucrări;
  • Dreptul de a depune o plângere la Autoritate de supraveghere;
  • În cazul în care datele cu caracter personal nu sunt colectate de la persoana vizată, orice informații disponibile cu privire la sursa acestora;
  • Existența unui proces decizional automat, inclusiv profilarea.

În practică, aceste tipuri de cereri sunt susceptibile de a constitui o sarcină administrativă substanțială pentru companii, astfel încât acestea ar trebui să ia în considerare în avans demersurile care trebuie făcute, astfel încât să fie ținute sub control astfel de solicitări.

Surse:

  • European Data Protection Law and Practice- IAPP Publicaton;
  • Manual de legislaţie europeană privind protecţia datelor- Agenţia pentru Drepturi Fundamentale a Uniunii Europene, 2014.

Mirela Niculae- Consilier juridic- Coordonator Dep. Juridic



 

În ultimele luni, industria tehnologică a început să se concentreze mai mult asupra confidențialității utilizatorilor. Recent, am avut în topul actualităților, subiecte pe tema confidențialității în rețelele sociale. În Uniunea Europeană, în curând vor intra în vigoare legi mai riguroase în privința protecției datelor cu caracter personal. Regulamentul general privind protecția datelor (GDPR) a fost adoptat în aprilie 2016 și se va aplica începând cu data de 25 mai 2018, după o perioadă de tranziție de doi ani.

 

Regulamentul general privind protecția datelor cu caracter personal prevede că societățile trebuie să permită utilizatorilor să descarce un raport cu informații despre contul lor. Instagram, care este deținut de Facebook, a lansat deja un instrument care permite utilizatorilor să-și descarce toate datele de pe conturile lor. Acum, WhatsApp, cea mai populară aplicație de mesagerie bazată pe IP din lume, se pregătește de asemenea să adauge un nou instrument pentru a exporta datele contului de utilizator în conformitate cu GDPR. Merită menționat faptul că WhatsApp are o bază de utilizatori zilnică activă de 1 miliard de utilizatori, ceea ce face ca respectarea GDPR să fie și mai importantă.

 

WABetaInfo a constatat că WhatsApp beta pentru Android versiunea 2.18.128 conține o opțiune de a crea un raport de informații și setări ale contului de WhatsApp al utilizatorilor, pe care aceștia pot să le acceseze sau să le porteze într-o altă aplicație. Compania notează că raportul nu va include mesajele utilizatorilor.

 

 

Utilizatorii pot solicita un raport pentru contul lor de WhatsApp accesând Settings> Account> Request account info, iar compania declară că raportul va fi gata în interval de 1-3 zile. Consumatorii vor avea “câteva săptămâni” să-și descarce raportul înainte de a fi șters și nu pot anula cererea decât dacă își șterg contul. Raportul conține date despre utilizatori, cum ar fi numele grupurilor, contacte, fotografii de profil etc.

 

În acest moment, opțiunea de creare a raportului este disponibilă numai în cea mai recentă versiune de WhatsApp beta pentru Android. Utilizatorii se pot aștepta ca această aplicație să iasă din versiunea beta într-o versiune stabilă în următoarele săptămâni, ceea ce va asigura totodată și faptul că această companie respectă cea mai robustă lege a Uniunii Europene privind protecția datelor.

 

Traducere din: Idrees Patel – https://www.xda-developers.com/latest-whatsapp-beta-export-data-compliance-gdpr/



Având în vedere că a mai rămas foarte puțin timp până la intrarea în vigoare a GDPR, persoanele fizice trebuie să știe că vor avea mai multe drepturi garantate în legătură cu transparența prelucrării datelor personale, cum ar fi dreptul de a fi uitat, dreptul la portabilitatea datelor sau dreptul la restrictionarea prelucrării datelor cu caracter personal.

Când poate fi solicitată restricționarea prelucrării datelor cu caracter personal?

Dreptul la restricționarea prelucării este reglementat în cadrul articolului 18 alineatul 1 din GDPR, care prevede următoarele situații în care persoana vizată poate obține restricționarea prelucrării datelor de la operator:

  1. Atunci când persoana vizată contestă exactitatea datelor, poate cere restricționarea prelucrării pentru o perioadă care îi permite operatorului să verifice exactitatea datelor;
  2. Atunci când prelucrarea este ilegală și persoana vizată se opune ștergerii datelor, solicitând restricționarea prelucrării lor
  3. Operatorul nu mai are nevoie de date în scopul prelucrării, dar persoana vizată i le solicită pentru constatarea, apărarea sau exercitarea unui drept în instanță
  4. Persoana vizată s-a opus prelucrării conform articolului 21 alineatul 1, pentru intervalul de timp în care se verifică dacă drepturile legitime ale operatorului prevalează asupra drepturilor persoanei vizate.

Ce poate face operatorul atunci când prelucrarea a fost restricționată?

Conform alineatului 2, dacă prelucrarea a fost restricționată în oricare dintre cazurile prevăzute de articolul 18, datele cu caracter personal în cauză pot fi prelucrate numai cu consimțământul persoanei vizate, cu excepția stocării, sau pentru constatarea, exercitarea sau apărarea unui drept în instanță sau pentru protecția drepturilor altei persoane fizice sau juridice ori din motive de interes public important al UE sau al unui stat membru.

De asemenea, conform alineatului 3, persoana vizată care a obținut restricționarea în temeiul alineatului 1 trebuie să fie informată din timp de către operator, înainte de ridicarea restricției de prelucrare a datelor.

Ce presupune implementarea restricționării prelucrării?

GDPR nu prevede măsuri specifice, ci doar oferă o listă de metode ce pot fi utilizate, cum ar fi mutarea datelor într-un sistem separat, pentru ca datele personale să devină temporar indisponibile sau constatarea restricționării în sistem, blocarea temporară a unui site web sau utilizarea restrictivă a datelor. Operatorul poate alege orice metodă de implementare, cu condiția respectării dreptului persoanei vizate.

 

În KIT-ul nostru de implementare GDPR, am inclus toate documentele necesare (registre, proceduri, politici, formulare de consimțământ, acorduri de confidentialitate, note de informare) astfel încât să îți protejezi afacerea. Urmând instrucțiunile și ghidurile explicate pe înțelesul tău, îți poți face chiar tu implementarea, evitând costurile consultanței.

 

Bibliografie

  1. http://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX:32016R0679
  2. https://eugdprcompliant.com/erasure-restriction-objection/


Drepturile oferite de către GDPR persoanei vizate sunt: dreptul la informare, dreptul de acces la date, dreptul la rectificare, dreptul la ștergere (dreptul de a fi uitat), dreptul la restricționarea prelucrării, dreptul la portabilitatea datelor, dreptul la opoziție, dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată. Deși operatorul de date poate să prelucreze date cu caracter personal în baza mai multor temeiuri juridice, cum ar fi cerințe legale, încheierea și executarea unui contract, interes legitim sau consimțământ – posibilitatea exercitării drepturilor nu este constrânsă de pilonul de prelucrare și deci trebuie să fie asigurată în mod uniform indiferent de temeiul juridic utilizat.

Posibilitatea exercitării drepturilor persoanei vizate trebuie să fie posibilă indiferent de temeiul juridic pe baza căruia s-a făcut prelucrarea.

În arhitectura sistemului de control al informațiilor din cadrul structurii operatorului, acesta trebuie să implementeze metode clare și sigure de identificare a datelor cu caracter personal ca să poată garanta exercitarea drepturilor persoanelor vizate.

Exercitarea acestor drepturi se bazează pe trei componente principale:

  • informarea persoanei vizate asupra modului/modurilor în care își poate exercita aceste drepturi;
  • măsurile tehnice implementate pentru realizarea acestor obiective; și
  • formularea răspunsului.

Cu alte cuvinte, operatorul urmărește trei pasi simpli: informarea, prelucrarea cererilor de exercitare a drepturilor și soluționarea acestora.

Trebuie să reținem faptul că înaintarea răspunsului către persoana vizată privind cererea depusă de aceasta reprezintă singurul mod de închidere a unei cereri.

Privind prima componentă, operatorul este informat să aducă la cunoștinta persoanei vizate o serie de informații conexe cu prelucrarea care urmează să se efectueze: identitatea operatorului, scopul prelucrării și temeiul juridic, datele de contact ale responsabilului cu protecția datelor, destinatarii sau categoriile de destinatari ai datelor cu caracter personal, perioada pentru care vor fi stocate datele sau metoda de determinare a acestei perioade, drepturile persoanei vizate și modaliatea prin care persoana își poate exercita aceste drepturi, cu mențiunea că dacă prelucrarea se face în baza unui temei legal operatorul trebuie să informeze și asupra consecințelor nerespectării acestei obligații.

În practică, nota de informare trebuie să includă modul prin care orice persoană poate să își exercite drepturile legale: contactarea responsabilului cu protecția datelor și/sau posibilitatea de a depune o cerere în atenția operatorului. Indiferent de metoda aleasă, facilitatea exercitării drepturilor persoanei vizate trebuie să se bazeze pe următorul principiu: procesul trebuie să fie transparent și ușor de realizat. Așadar, operatorul ar trebui să ofere, de exemplu, modalități de introducere a cererilor pe cale electronică, cu precădere în cazul în care informațiile sunt colectate prin mijloace electronice. Ca bună practică, este indicat ca operatorul de date cu caracter personal să realizeze un formular standard în limbaj ușor de înțeles și rapid de parcurs (eventual prin bife) care să se poată completa și trimite online sau să poată fi descărcat în mod gratuit de pe site-ul operatorului sau orice alt punct de acces din mediul online pe care îl are operatorul pentru a fi expediat în forma fizică la adresa indicată de operator.

Măsurile operaționale se referă la totalitatea metodelor (inclusiv tehnice) pe care operatorul le utilizează în identificarea datelor cu caracter personal pe care le are în sistem. Un instrument benefic pentru realizarea acestei mapări a datelor este mecanismul de certificare ISO 27001: Tehnologia informației – Tehnici de securitate – Specificații ale sistemelor de management a securității informației. Operatorul trebuie să se asigure că are proceduri implementate pentru procesele pe care le desfășoară în cadrul sistemului, respectă principiile de prelucrare impuse de către GDPR și poate identifica date cu caracter personal prin cartografierea proceselor și a datelor cu caracter personal din cadrul sistemului.

Operatorul este obligat să răspundă cererilor de exercitare a drepturilor indiferent dacă decide să se conformeze acestora sau nu. Astfel, conform GDPR, operatorul trebuie să răspundă fără întârzieri nejustificate și cel târziu în termen de o lună de la primirea cererii, însă conformarea cu cererea depusă depinde de temeiul juridic în baza căruia s-a făcut prelucrarea. Astfel, dacă operatorul respectă o obligație legală, se află în executarea unui contract sau acționează în baza unui interes legitim temeinic justificat este posibil să nu aibă posibilitatea de conformare cu cererea depusă. De exemplu, după încetarea relațiilor contractuale cu un angajator, persoana vizată nu poate exercita „dreptul de a fi uitat” deoarece Codul Muncii prevede arhivarea fișelor de personal pe o perioadă de 75 de ani de la crearea lor.

Așadar, drepturile persoanei vizate reprezintă nucleul Regulamentului privind Datele cu Caracter Personal iar implementarea metodelor de asigurare al posibilității de exercitare a acestor drepturi trebuie să fie un interes major al operatorului.

Mihaela Horga – Responsabil cu Protecția Datelor, companie privată