Drepturile oferite de către GDPR persoanei vizate sunt: dreptul la informare, dreptul de acces la date, dreptul la rectificare, dreptul la ștergere (dreptul de a fi uitat), dreptul la restricționarea prelucrării, dreptul la portabilitatea datelor, dreptul la opoziție, dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată. Deși operatorul de date poate să prelucreze date cu caracter personal în baza mai multor temeiuri juridice, cum ar fi cerințe legale, încheierea și executarea unui contract, interes legitim sau consimțământ – posibilitatea exercitării drepturilor nu este constrânsă de pilonul de prelucrare și deci trebuie să fie asigurată în mod uniform indiferent de temeiul juridic utilizat.
Posibilitatea exercitării drepturilor persoanei vizate trebuie să fie posibilă indiferent de temeiul juridic pe baza căruia s-a făcut prelucrarea.
În arhitectura sistemului de control al informațiilor din cadrul structurii operatorului, acesta trebuie să implementeze metode clare și sigure de identificare a datelor cu caracter personal ca să poată garanta exercitarea drepturilor persoanelor vizate.
Exercitarea acestor drepturi se bazează pe trei componente principale:
- informarea persoanei vizate asupra modului/modurilor în care își poate exercita aceste drepturi;
- măsurile tehnice implementate pentru realizarea acestor obiective; și
- formularea răspunsului.
Cu alte cuvinte, operatorul urmărește trei pasi simpli: informarea, prelucrarea cererilor de exercitare a drepturilor și soluționarea acestora.
Trebuie să reținem faptul că înaintarea răspunsului către persoana vizată privind cererea depusă de aceasta reprezintă singurul mod de închidere a unei cereri.
Privind prima componentă, operatorul este informat să aducă la cunoștinta persoanei vizate o serie de informații conexe cu prelucrarea care urmează să se efectueze: identitatea operatorului, scopul prelucrării și temeiul juridic, datele de contact ale responsabilului cu protecția datelor, destinatarii sau categoriile de destinatari ai datelor cu caracter personal, perioada pentru care vor fi stocate datele sau metoda de determinare a acestei perioade, drepturile persoanei vizate și modaliatea prin care persoana își poate exercita aceste drepturi, cu mențiunea că dacă prelucrarea se face în baza unui temei legal operatorul trebuie să informeze și asupra consecințelor nerespectării acestei obligații.
În practică, nota de informare trebuie să includă modul prin care orice persoană poate să își exercite drepturile legale: contactarea responsabilului cu protecția datelor și/sau posibilitatea de a depune o cerere în atenția operatorului. Indiferent de metoda aleasă, facilitatea exercitării drepturilor persoanei vizate trebuie să se bazeze pe următorul principiu: procesul trebuie să fie transparent și ușor de realizat. Așadar, operatorul ar trebui să ofere, de exemplu, modalități de introducere a cererilor pe cale electronică, cu precădere în cazul în care informațiile sunt colectate prin mijloace electronice. Ca bună practică, este indicat ca operatorul de date cu caracter personal să realizeze un formular standard în limbaj ușor de înțeles și rapid de parcurs (eventual prin bife) care să se poată completa și trimite online sau să poată fi descărcat în mod gratuit de pe site-ul operatorului sau orice alt punct de acces din mediul online pe care îl are operatorul pentru a fi expediat în forma fizică la adresa indicată de operator.
Măsurile operaționale se referă la totalitatea metodelor (inclusiv tehnice) pe care operatorul le utilizează în identificarea datelor cu caracter personal pe care le are în sistem. Un instrument benefic pentru realizarea acestei mapări a datelor este mecanismul de certificare ISO 27001: Tehnologia informației – Tehnici de securitate – Specificații ale sistemelor de management a securității informației. Operatorul trebuie să se asigure că are proceduri implementate pentru procesele pe care le desfășoară în cadrul sistemului, respectă principiile de prelucrare impuse de către GDPR și poate identifica date cu caracter personal prin cartografierea proceselor și a datelor cu caracter personal din cadrul sistemului.
Operatorul este obligat să răspundă cererilor de exercitare a drepturilor indiferent dacă decide să se conformeze acestora sau nu. Astfel, conform GDPR, operatorul trebuie să răspundă fără întârzieri nejustificate și cel târziu în termen de o lună de la primirea cererii, însă conformarea cu cererea depusă depinde de temeiul juridic în baza căruia s-a făcut prelucrarea. Astfel, dacă operatorul respectă o obligație legală, se află în executarea unui contract sau acționează în baza unui interes legitim temeinic justificat este posibil să nu aibă posibilitatea de conformare cu cererea depusă. De exemplu, după încetarea relațiilor contractuale cu un angajator, persoana vizată nu poate exercita „dreptul de a fi uitat” deoarece Codul Muncii prevede arhivarea fișelor de personal pe o perioadă de 75 de ani de la crearea lor.
Așadar, drepturile persoanei vizate reprezintă nucleul Regulamentului privind Datele cu Caracter Personal iar implementarea metodelor de asigurare al posibilității de exercitare a acestor drepturi trebuie să fie un interes major al operatorului.
Mihaela Horga – Responsabil cu Protecția Datelor, companie privată
