Drepturile persoanelor fizice conferite de Regulamentul GDPR. Secolul XXI, denumit și secolul vitezei a adus schimbări fundamentale în societatea noastră. Dacă în trecut era de neconceput să existe telefoane fără fir și tot felul de dispozitive ce funcționează datorită inteligenței artificiale și care vin în ajutorul omului modern, azi nu doar că acest lucru este posibil, ci chiar este îmbunătățit mereu.
Evoluția tehnologiei, uimitoare de altfel, reprezintă nu doar un ajutor ci și o mare responsabilitate pentru oameni. Aceștia trebuie să găsească soluții eficace pentru a prezerva lucrurile de care se bucură în prezent și generațiilor viitoare. În fiecare zi, ne trezim și fie că vrem sau nu intrăm în contact cu tehnologia.
Cu toate acestea, nu foarte mulți indivizi observă sau își pun întrebări în legătură cu datele introduse în diverse sisteme informatice de pe calculator, telefon, tabletă etc. Să luăm un exemplu banal: dorim să ne facem abonament la internet. Care este primul pas? Alegem un furnizor de servicii care să corespundă necesităților și așteptărilor noastre.
După vom merge la sediul acestuia pentru a încheia contractul. Odată ajunși aici vom da cartea de identitate pentru introducerea datelor în contract, iar acest lucru se realizează de către operatori folosind un computer. Întrebările care perindă în mintea noastră sunt: ce se întâmplă cu datele mele personale? Sunt ele în siguranță?
Răspunsul este unul relativ simplu dar care necesită câteva nuanțări. Datele furnizate vor fi prelucrate de către acel furnizor iar acesta este obligat să asigure o bună protecție a acestora. În plus există și reglementări care garantează acest lucru. Astfel, în anul 2016 Uniunea Europeană a adoptat Regulamentul nr. 679 din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date. În cadrul acestui Regulament sunt prevăzute o serie de drepturi de care poate dispune orice persoană fizică. Care sunt aceste drepturi?
1.Dreptul la informare
Regulamentul GDPR oferă posibilitatea oricărui individ de a se informa asupra datelor sale personale. Acesta are dreptul să solicite informații privind scopul, temeiul legal pentru care datele sale personale sunt prelucrate, destinatarii acestor date, perioada de stocare, dacă sunt transferate către țări terțe, precum și datele de contact ale operatorului. Operatorul este definit de Regulamentul GDPR drept „persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism care, singur sau împreună cu altele, stabileşte scopurile şi mijloacele de prelucrare a datelor cu caracter personal.” Cu alte cuvinte, el stabilește destinația datelor dar și modul de gestionare al acestora.
Operator poate fi un furnizor de servicii și chiar în mod surprinzător un administrator al unei pagini de facebook. Astfel, în cauza C‑210/16, firma Wirtschaftsakademie oferea servicii de formare prin intermediul unei pagini pentru fani găzduite de Facebook. Aceasta a fost sancționată de ULD (autoritatea de supraveghere de pe teritoriul landului Schleswig‑Holstein) pentru că nici ea și nici Facebook nu informau vizitatorii paginii că colectau informații cu caracter personal ce ulterior erau prelucrate. Curtea de Justiție a Uniunii Europene a decis că noțiunea „operator” înglobează și administratorul unei pagini pentru fani găzduite pe o rețea socială. Beneficiază de dreptul la informare atât persoanele care au furnizat direct informațiile cât și indivizii de la care nu au fost obținute personal.
Te-ar putea interesa și: Informarea persoanei vizate. Cum facem să corespundă prevederilor GDPR?
Dreptul de acces
Persoanele a căror date sunt procesate au dreptul de a primi o confirmare din partea operatorilor de date cu caracter personal, un drept de acces la informațiile respective dar și despre modul în care vor fi prelucrate. În acest sens, operatorul va furniza informații despre scopul prelucrării, destinatarii datelor, dreptul de a depune o plângere în fața autorității competente, transferul lor către țări terțe și garanțiile oferite pentru un transfer cât mai sigur.
În plus, persoanele vizate pot obține o copie a datelor cu caracter personal. Art. 15 al. (3) din Regulamentul GDPR vine în completarea acestei prevederi legale dispunând că „pentru orice alte copii solicitate de persoana vizată, operatorul poate percepe o taxă rezonabilă, bazată pe costurile administrative.” Un exemplu destul de simplu pentru a înțelege cât mai bine mecanismul acestui drept este conferit chiar de raporturile de muncă. Între angajator și angajat se încheie un contract de muncă; ulterior salariatul poate cere oricând accesul la dosarul personal. Cu toate acestea dreptul de acces conține și anumite limite.
Te-ar putea interesa și:
Operatorul poate să refuze să răspundă unei cereri ce are caracter abuziv sau repetitiv. De asemenea, poate refuza accesul la date, motivat și informând persoanele despre termenele și posibilitatea de a contesta decizia. Așadar, fiecare dintre noi beneficiem de acest drept și trebuie să ne asigurăm că îl exercităm fără a aduce atingere drepturilor celorlalți. Astfel, în exemplu precedent cu raportul de muncă salariatul nu poate obține dosarul cu datele personale ale altui angajat.
3.Dreptul la rectificare
Acest drept poate fi exercitat în cazul în care datele sunt inexacte, incomplete, echivoce sau perimate. Persoana vizată va aduce la cunoștința operatorului aceste nereguli, iar acesta le va rectifica în cel mai scurt timp. Totodată operatorul este obligat să transmită rectificările destinatarilor datelor cu caracter personal. Mai multe despre dreptul la rectificare poți afla aici.
4.Dreptul la ştergerea datelor ( „dreptul de a fi uitat”)
Acest drept este unul fundamental deoarece dă persoanelor vizate un drept de dispoziție asupra datelor cu caracter personal. Astfel, orice persoană poate cere ștergerea datelor pentru următoarele motive:
- scopul pentru care au fost colectate sau procesate a fost atins;
- persoana vizată „îşi retrage consimţământul pe baza căruia are loc prelucrarea şi nu există niciun alt temei juridic pentru prelucrarea;”
- persoana se opune prelucrării datelor ( dreptul de opoziție prevăzut de Regulamentul GDPR în art. 21)
- datele au fost ilegal procesate;
- există o obligație legală a operatorului prevăzută de dreptul Uniunii Europene sau de dreptul intern de a șterge aceste date;
- datele cu caracter personal au fost „colectate în legătură cu oferirea de servicii ale societăţii informaţionale menţionate la articolul 8 alineatul (1).” Articolul 8 alin. 1 se referă la prelucrarea datelor copiilor cu vârsta de 16 ani ( prelucrare legală) și a celor sub 16 ani ( prelucrarea este legală dacă titularul autorității părintești își dă consimțământul, în caz contrar, este ilegală).
Operatorul într-un termen rezonabil va șterge datele cu caracter personal și va informa și destinatarii acestor date despre solicitarea făcută de persoana vizată. Acesta nu este responsabil, dacă ulterior aceste date sunt reutilizate de către alți operatori, întrucât el are doar o obligație de mijloace. Operatorul va șterge datele cu caracter personal precum și orice copii ale acestora. Deși acest drept poate fi exercitat oricând, el conține anumite limitări. Astfel, prelucrarea este necesară în următoarele cazuri:
- pentru exercitarea dreptului la liberă exprimare şi la informare;
- pentru constatarea, exercitarea sau apărarea unui drept în instanţă;
- din motive de interes public în domeniul sănătăţii publice;
- în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice;
- pentru respectarea unei obligaţii legale care prevede prelucrarea în temeiul dreptului Uniunii sau al dreptului intern care se aplică operatorului sau pentru îndeplinirea unei sarcini executate în interes public sau în cadrul exercitării unei autorităţi oficiale cu care este învestit operatorul.
Mai multe despre dreptul la ștergere poți afla aici.
5.Dreptul la restricţionarea prelucrării
Prin intermediul acestui drept o persoană poate limita modul în care un operator îi folosește datele cu caracter personal. Cu toate acestea, dreptul nu este unul discreționar, fiind exercitat în anumite circumstanțe prevăzute de articolul 18 din Regulamentul GDPR:
- persoana vizată contestă exactitatea datelor personale- este o restricționare temporară operatorul făcând toate verificările necesare
- datele au fost prelucrate ilegal, iar persoana vizată se opune ștergerii și solicită restricția în schimb;
- operatorul nu mai are nevoie de datele personale dar persoana i le solicită pentru exercitarea sau apărarea dreptului în instanță;
- persoana vizată s-a opus prelucrării datelor în conformitate cu articolul 21 alineatul (1)- operatorul va verifica dacă interesul său legitim prevalează asupra interesului personal.
Operatorul poate refuza cererea de restricționare a persoanei vizate dacă este nefondată sau are caracter repetitiv.
Mai multe despre acest drept poți afla aici.
6. Dreptul la portabilitatea datelor
Acest drept a fost introdus prin Regulamentul GDPR și oferă posibilitatea persoanelor vizate de a primi datele personale într-o manieră cât mai clară și structurată. În plus ele pot fi stocate și transmise ușor de la un operator la altul. Orice date furnizate pot face obiectul dreptului la portabilitate? Răspunsul este nu. Doar datele prelucrate pe bază de consimțământ dat în mod legal conform articolului 6 alineatul (1) litera (a) sau al articolului 9 alineatul (2) litera (a)-adică consimțământul dat pentru scopuri specifice și cel dat pentru executarea unui contract.
O graniță destul de fină în cazul acestui drept există atunci când datele altei persoane fac obiectul unei cereri de portabilitate. Un exemplu elocvent în acest caz ar fi e-mailul prin care cerem datele bancare ale unei altei persoane în scopul efectuării unui transfer bancar. Ar trebui furnizate aceste date sau nu? Răspunsul este că depinde de situație. S-a susținut că datele unei alte persoane pot fi furnizate persoanei care formulează o cerere și transmise unui alt organism dacă se face în scop strict personal iar persoana face parte din anturajul persoanei vizate.
7. Dreptul la opoziţie
Dreptul la opoziție constă din refuzul de a permite prelucrarea datelor pentru motive ce țin de „situația particulară”a oamenilor. Astfel, se va analiza fiecare caz în parte înainte de a se da curs unei cereri privind acest drept. Totodată dreptul nu este limitat în timp, persoana vizată având posibilitatea de a se opune în orice moment prelucrării. La fel se întâmplă și în cazul colectării de date în scop de marketing direct.
Dacă datele au început deja să fie prelucrate se poate solicita ștergerea lor (dreptul de a fi uitat). Operatorul are totuși o pârghie de salvare dacă dovedește că are motive legitime justifică prelucrarea şi care prevalează asupra drepturilor persoanei vizate sau dacă aceste date au ca scop constatarea, exercitarea sau apărarea unui drept în instanţă.
Regulamentul conține și anumite derogări de la aceste drepturi fundamentale prevăzute de articolul 89. Derogările privesc activitățile de cercetare ştiinţifică sau istorică, prelucrarea în scopuri de arhivare în interes public ori în scopuri statistice.
La nivel național, legiuitorul român a stabilit măsurile de punere în aplicare a RGPD prin Legea nr 190/2018. Acesta a instituit chiar și o nouă derogare de la Regulament în legătură cu prelucrarea datelor cu caracter personal în scopuri jurnalistice sau în scopul exprimării academice, artistice sau literare ( articolul 7 din lege). În plus, pentru garantarea respectării drepturilor fundamentale la viaţă privată și la protecţia datelor personale, a fost desemnată drept apărător Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal.
În contextul pandemiei cu COVID-19 este necesar să respectăm Regulamentul GDPR? DA, chiar și în contextul instituirii stării de urgență operatorul trebuie să asigure o prelucrare legală a datelor cu caracter persoanal. Acest lucru este susținut și de Andrea Jelinek, președintele European Data Protection Board „Normele de protecție a datelor (precum este GDPR) nu împiedică măsurile luate în lupta împotriva pandemiei coronavirusului. Cu toate acestea, aș dori să subliniez faptul că, chiar și în aceste momente excepționale, operatorul de date trebuie să asigure protecția datelor cu caracter personal ale persoanelor vizate.”
Articol realizat de Guță Mădălina-Gabriela Master, Universitatea „Alexandru Ioan Cuza” din Iași
Vrei să te aliniezi la GPPR? Cum te putem ajuta: