Informarea persoanei vizate. Cum facem să corespundă cerințelor GDPR?

Cu ocazia întâlnirii din luna noiembrie 2017, Grupul de lucru Articolul 29 a adoptat două ghiduri (cu privire la „Transparență” și „Consimțământ”) în vederea asigurării unei aplicări armonizate a Regulamentului General privind Protecția Datelor începând cu data de 25 mai 2018. Acestea au fost lansate în vederea consultării publice până la data de 23 ianuarie 2018.

În prezentul articol, vom rezuma aspectele relevante cuprinse în Ghidul Grupului de Lucru Articolul 29 cu privire la transparență.

Noțiunea de transparență

Deși transparența nu este definită în GDPR, totuși Considerentul 39 din Preambul este informativ cu privire la principiul transparenței: Ar trebui să fie transparent pentru persoanele fizice că sunt colectate, utilizate, consultate sau prelucrate în alt mod datele cu caracter personal care le privesc și în ce măsură datele cu caracter personal sunt sau vor fi prelucrate. Principiul transparenței prevede că orice informații și comunicări referitoare la prelucrarea respectivelor date cu caracter personal sunt ușor accesibile și ușor de înțeles și că se utilizează un limbaj simplu și clar. Acest principiu se referă în special la informarea persoanelor vizate privind identitatea operatorului și scopurile prelucrării, precum și la oferirea de informații suplimentare, pentru a asigura o prelucrare echitabilă și transparentă în ceea ce privește persoanele fizice vizate și dreptul acestora de a li se confirma și comunica datele cu caracter personal care le privesc care sunt prelucrate.

Art. 12 din RGPD prevede că operatorul trebuie să realizeze informarea persoanei vizate astfel:




  • într-o formă concisă, transparentă, inteligibilă și usor accesibilă;
  • utilizând un simplar clar și simplu;
  • în scris sau prin alte mijloace, inclusiv, atunci când este oportun, în format electronic;
  • la solicitarea personei vizate, informațiile pot fi prezentate oral;
  • informarea trebuie să fie gratuită.

I. Forma concisă, transparentă, inteligibilă și usor accesibilă

Grupul de Lucru recomandă ca informațiile să fie prezentate succinct și să se diferențieze în mod clar de alte informații, ca de exemplu, dispozițiile contractuale. Cerința ca informația să fie „inteligibilă” înseamnă că ar trebui înțeleasă de un membru mediu al publicului vizat. Cerința „ușor accesibilă” înseamnă că persoana vizată nu ar trebui să caute ea însăși informațiile, ci să îi fie gata oferite de către operator. Grupul de lucru recomandă ca pentru accesarea notei de informare să nu se folosească mai mult de două clickuri și că funcția de meniu utilizată în aplicații ar trebui să includă întotdeauna o secțiune pentru protecția datelor.

II. Limbaj simplu și clar

Informațiile prezentate trebuie incluse într-un limbaj simplu, clar și definitiv. Potrivit Grupului de Lucru, exemplele de limbaj neclar includ: „putem folosi datele tale cu caracter personal pentru a dezvolta noi servicii(deoarece nu este clar care este serviciul), „putem folosi datele tale cu caracter personal în scopuri de cercetare” (întrucât nu este clar despre ce fel de  cercetare este vorba).

III. în scris sau prin alte mijloace, inclusiv, atunci când este oportun, în format electronic

Grupul de Lucru constată că „alte mijloace” pot include declarații/notificări de confidențialitate stratificate, ferestre pop-up, notificări 3D etc.

  • la solicitarea personei vizate, informațiile pot fi prezentate oral

Grupul constată că acest lucru nu înseamnă neapărat informații orale furnizate personal sau prin telefon. Informațiile orale automate pot fi furnizate în plus față de mijloacele scrise, cum ar fi în contextul persoanelor cu deficiențe de vedere atunci când interacționează cu furnizorii de servicii ale societății informaționale. În cazul în care informațiile sunt furnizate oral, operatorul ar trebui să permită persoanei vizate să asculte din nou mesajele preînregistrate.

  • informarea trebuie să fie gratuită

Un operator nu poate solicita o taxă pentru informarea persoanei vizate.

 


Te-ar putea interesa și:

 

Notificările existente ar putea avea nevoie de actualizare

Operatorul trebuie să se asigure că notele de informare include toate informațiile prevăzute în Articolele 13 și 14 din GDPR, în caz contrar, este nevoie ca acestea să fie actualizate pentru a corespunde noilor standarde.

Note de informare și formulare de consimțământ conforme GDPR găsești aici.

Informarea copiilor

Limbajul trebuie adaptat publicului. Dacă se prelucrează date cu caracter personal ale copiilor, limbajul trebuie să fie adecvat vârstei. Grupul oferă ca exemplu pentru un limbaj adresat copilului „Convenția ONU privind drepturile copilului” în limbaj pentru copii.

Dacă se dorește modificarea notei de informare, aceasta modificare ar trebui să fie într-o modalitate adecvată (de exemplu, prin e-mail) și să fie dedicată aceastui subiect. Nu se recomandă informarea despre modificare împreună cu conținutul despre marketing. Ar trebui ca informarea să se realizeze cu o marjă de timp adecvată înainte de aplcarea modificării dacă implică o modificare fundamental a naturii prelucrării  sau este vorba despre o modificare care poate avea un impact semnificativ asupra persoanei.

Excepțiile de la informarea persoanei vizate

Art. 14 alin. (5) conține excepțiile de la obligația de informare. Grupul afirmă că aceste excepții ar trebui interpretate limitativ:

a)persoana vizată deţine deja informaţiile;

b)furnizarea acestor informaţii se dovedeşte a fi imposibilă sau ar implica eforturi disproporţionate, în special în cazul prelucrării în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice, sub rezerva condiţiilor şi a garanţiilor prevăzute la articolul 89 alineatul (1), sau în măsura în care obligaţia menţionată la alineatul (1) din prezentul articol este susceptibil să facă imposibilă sau să afecteze în mod grav realizarea obiectivelor prelucrării respective In astfel de cazuri, operatorul ia măsuri adecvate pentru a proteja drepturile, libertăţile şi interesele legitime ale persoanei vizate, inclusiv punerea informaţiilor la dispoziţia publicului;

c)obţinerea sau divulgarea datelor este prevăzută în mod expres de dreptul Uniunii sau de dreptul intern sub incidenţa căruia intră operatorul şi care prevede măsuri adecvate pentru a proteja interesele legitime ale persoanei vizate; sau

d)în cazul în care datele cu caracter personal trebuie să rămână confidenţiale în temeiul unei obligaţii statutare de secret profesional reglementate de dreptul Uniunii sau de dreptul intern, inclusiv al unei obligaţii legale de a păstra secretul.

 


 

 

ALTE ARTICOLE

Vrei să primești articolele noastre direct pe mail?

Abonează-te, e gratuit!