GDPR oferă persoanei fizice o serie mecanisme pentru a fi în control asupra datelor personale, iar informarea se numără printre ele. În mod corelativ, organizațiile au o serie de obligații în ceea ce privește respectarea drepturilor persoanelor fizice. Grupul de Lucru Art. 29 (actual Comitet European pentru Protecția Datelor) arată faptul că pentru a fi în control asupra modalității în care i se prelucrează datele, este necesar înțelege cum i se prelucrează datele. În sens juridic, această nevoie a primit răspunsul unui drept la informare (art. 13 și art. 14 RGPD). Cu alte cuvinte, o persoană fizică ar trebui să cunoască încă de la început la ce să se aștepte atunci când intră într-o relație de orice natură cu un operator. Va primi persoana vizată doar e-mailuri comerciale sau va fi și sunată pe mobil? Va primi reclame doar de la compania X sau și de la companiile partenere? Decizia privind recrutarea la angajare este luată de un om sau de sistem IA? Care sunt riscurile cele mai ridicate pentru persoana vizată?
Pentru respectarea dreptului la informare, organizației (operatorului de date) îi revine obligația de a informa persoana. În acest articol, vom trece în revistă șapte aspecte importante despre obligația de informare astfel încât să știi cum să informezi persoana astfel cum cere GDPR.
1. Informarea trebuie să conțină toate informațiile obligatorii enunțate la art. 13 și art. 14 GDPR
Informarea trebuie să cuprindă, printre altele, identitatea și datele de contact ale operatorului, scopurile și temeiurile juridice ale prelucrării, interesele legitime, destinatarii, drepturile. Informarea trebuie să fie realizată în mod complet deoarece omiterea oricărui element obligatoriu indicat de Regulament ar putea conduce către aplicarea unei amenzi sau a unei măsuri corective de către ANSPDCP. Mai mult, informarea trebuie să cuprindă și orice alte informații necesare și importante pentru persoana vizată (de exemplu, riscurile sau consecințele prelucrării). Modele de note de informare cu toate elementele obligatorii se regăsesc în KIT-ul nostru de implementare.
2. Informarea trebuie să fie trebuie să fie concisă, transparentă, inteligibilă și ușor accesibilă și într-un limbaj simplu și clar
Grupul de Lucru (actual CEPD) a oferit explicații suplimentare cu privire la această condiție, dintre care reamintim:
(i) nota de informare trebuie diferențiată „în mod clar de alte informații care nu se referă la confidențialitate, cum ar fi dispozițiile contractuale sau condițiile generale de utilizare”;
(ii) inteligibilitatea înseamnă că informarea ar trebui înțeleasă de către un membru de nivel mediu al publicului vizat;
(iii) copiii și grupurile vulnerabile trebuie informate într-un limbaj pe care îl pot înțelege;
(iv) o abordare creativă pentru a transmite informația în cel mai accesibil și transparent mod (pictograme, animații, benzi desenate, diagrame etc).
KIT GDPR Premium
În ceea ce privește colectarea datelor online (de exemplu prin formulare), GL29 explică faptul că link-ul către politica de confidențialitate trebuie să se regăsească pe aceeași pagină. În privința aplicațiilor, GL29 arată că politica de confidențialitate trebuie să fie ușor accesibilă atât înainte de descărcarea aplicației, cât și în interiorul aplicației după ce aceasta a fost descărcată. GL29 este de părere că informațiile privind prelucrarea datelor personale nu trebuie să se afle la o distanță mai mare de două click-uri de utilizator.
3. Informarea cu privire la utilizarea CCTV trebuie să fie adaptată la această tehnologie
Cu privire la monitorizarea video, CEPD recomandă o informare pe două niveluri. Primul nivel ar trebui să fie un mesaj de avertizare care să conțină cele mai importante informații (identitatea operatorului, punct de contact, scopurile, temeiurile, drepturile persoanei vizate, informații cu risc ridicat sau care ar putea surprinde persoana). Conform CEPD, informarea trebuie realizată într-un loc accesibil, înainte de intrarea în zona monitorizară și să permită persoanei vizate „să poată estima zona captată de o cameră de luat vederi, ca să poată evita supravegherea sau să-și adapteze comportamentul, dacă este necesar”.
4. În mod ideal, notele de informare se scriu de către juriști și avocați
În principiu, IT-ul se ocupă de securitate cibernetică, nu de redactarea documentelor juridice. Nota de informare este un document juridic care trebuie să fie scris, în mod ideal, de către juriști sau avocați.
Te-ar putea interesa și:
5. Informarea trebuie realizată în termenul legal prevăzut de RGPD
Dacă datele personale sunt colectate direct de la persoană (de exemplu, prin completarea unui formular online), informarea trebuie realizată la momentul colectării datelor. Acest lucru se realizează prin intermediul unei politici de confidențialitate (poți afla mai multe despre politica de confidențialitate pe site aici). În schimb, dacă datele provin din alte surse și nu de la persoana vizată, informarea se realizează de obicei (există și anumite excepții) într-un termen rezonabil după obținerea datelor cu caracter personal, dar nu mai mare de o lună.
6. Informarea trebuie să fie realizată din nou în măsura în care intervin modificări asupra prelucrării
Dacă te-ai hotărât să prelucrezi datele în alte scopuri, să le transmiți în afara UE sau să le transmiți altor destinatari, va trebui să informezi din nou persoana vizată.
7. Atenție la asocierile în mediul virtual
Dacă utilizezi soluții tehnice ale terților și transferi date către ei (prin pixeli, cookie-uri, formulare Google, coduri etc), trebuie să informezi persoana și cu privire la acest aspect. De exemplu, în cauza Fashion ID, Curtea de Justiție a Uniunii Europene, a stabilit că un site care integrează un buton de „like”, devine operator asociat cu Facebook. În consecință, CJUE a arătat faptul că Facebook și administratorul unui site au o responsabilitate comună privind drepturile persoanelor vizate, printre care și dreptul la informare. Acest lucru este valabil nu doar pentru Facebook ci și pentru celelalte soluții tehnice oferite de alți furnizori de soluții online dacă se transferă datele.
Dacă ai întrebări, scrie-ne aici.
Vrei să te aliniezi la GPPR? Cum te putem ajuta:
- Consultanță și implementare GDPR. Află mai multe aici.
- KIT complet de documente prin care îți faci singur implementarea, cu suportul nostru juridic. Află mai multe aici
Te-ar putea interesa și:
[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori.]