Principiul exactității este unul dintre cele șapte principii esențiale GDPR, printre care legalitatea, echitatea și transparența, reducerea la minimum a datelor, limitări legate de scop, limitări legate de stocare, integritate și confidențialitate și responsabilitate. Pentru nerespectarea acestui principiu, GDPR prevede sancțiuni (avertismentul și amenda).
Principiul exactității – pe scurt
- Ar trebui să luați toate măsurile rezonabile pentru a vă asigura că datele cu caracter personal pe care le dețineți sunt corecte, actualizate și exacte;
- Dacă descoperiți că acele date cu caracter personal sunt incorecte sau neactualizate, trebuie să luați măsurile rezonabile pentru a le corecta sau a le șterge cât mai repede posibil.
- Trebuie să analizați cu atenție orice contestație din partea unei persoane cu privind exactitatea datelor cu caracter personal.
Principiul exactității – ce avem de făcut concret?
- Asigurăm exactitatea oricăror date cu caracter personal pe care le creăm.
- Deținem procese adecvate pentru a verifica exactitatea datelor pe care le colectăm și înregistrăm sursa acestor date.
- Punem în aplicare un proces de identificare atunci când trebuie să actualizăm datele pentru a ne îndeplini scopul în mod corespunzător și le actualizăm atunci când este necesar.
- Dacă trebuie să înregistrăm o greşeală, o identificăm în mod clar ca atare.
- Respectăm dreptul persoanelor la rectificare și analizăm cu atenție orice contestație privind exactitatea datelor cu caracter personal.
- Ca un exemplu de bune practici, păstrăm evidența tuturor reclamațiilor privind exactitatea datelor cu caracter personal.
Ce înseamnă principiul exactității?
Articolul 5 alineatul (1) litera (d) din GDPR menționează că:
„Datele cu caracter personal sunt:
(d) exacte și, în cazul în care este necesar, să fie actualizate; trebuie să se ia toate măsurile necesare pentru a se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt șterse sau rectificate fără întârziere („exactitate”)”.
Există aici legături clare cu dreptul la rectificare, care oferă persoanelor dreptul de a solicita corectarea datelor cu caracter personal inexacte. Acesta este al doilea dintre cele trei principii referitoare la standardele în materie de date, pe lângă reducerea la minim a datelor și limitările legate de stocare.
În practică, acest lucru înseamnă că trebuie:
- să luați măsurile rezonabile pentru a asigura exactitatea oricăror date cu caracter personal; să vă asigurați că sursa și situația datelor cu caracter personal sunt clare;
- să evaluați cu atenție orice contestație privind exactitatea informațiilor și să analizați dacă este necesară actualizarea periodică a informațiilor.
În ce situații datele cu caracter personal sunt „exacte” și în ce situații sunt „inexacte”?
RGPD nu definește termenul „exact”. În mod normal, va fi evident dacă datele cu caracter personal sunt exacte.
Exemplu: Dacă o persoană se mută din București în Craiova o evidență care menționează că aceasta locuiește încă în București va fi, în mod evident, inexactă. Totuși, o evidență care menționează că persoana a locuit odată în București rămâne exactă, chiar dacă persoana respectivă nu mai locuiește acolo.
Ce se întâmplă cu exactitatea opiniilor?
O înregistrare a unei opinii nu reprezintă neapărat date cu caracter personal inexacte doar pentru că persoana nu este de acord cu opinia respectivă sau se dovedește mai târziu a fi greșită. Opiniile sunt, prin natura lor, subiective și nu sunt menite să conțină elemente de fapt.
Cu toate acestea, pentru a fi exacte, evidențele dumneavoastră trebuie să fie clare în privința caracterului de opinie și, dacă este cazul, a autorului acesteia. Dacă se dovedește că o opinie s-a bazat pe date inexacte, ar trebui să înregistrați și acest fapt pentru a vă asigura că evidențele dumneavoastră nu sunt înșelătoare.
Te-ar putea interesa și:
Exemplu: Un domeniu de o sensibilitate aparte este opinia medicală, în care doctorii țin evidența opiniilor lor privind diagnostice posibile în mod regulat. De multe ori, este imposibil să se concluzioneze cu certitudine, poate până la trecerea unui interval de timp sau până la efectuarea unor teste, că un pacient suferă de o anumită afecțiune. Un diagnostic inițial (care este o opinie informată) se poate dovedi a fi inexact după o examinare mai aprofundată sau după teste suplimentare. Cu toate acestea, dacă evidențele pacientului reflectă diagnosticul doctorului la acel moment, evidențele nu sunt inexacte, pentru că reflectă cu exactitate opinia doctorului respectiv la un anumit moment. Mai mult, evidența diagnosticului inițial al doctorului îi poate ajuta pe cei care îl tratează pe pacient mai târziu și, în materie de protecție a datelor, aceasta este obligatorie pentru a respecta elementul de „exactitate” al principiului reducerii la minim a datelor.
Dacă o persoană contestă exactitatea unei opinii, este un exemplu de bune practici să se adauge o notă care înregistrează contestația și motivele care stau la baza acesteia.
Care este importanța reală a unei opinii depinde probabil de experiența și de fiabilitatea persoanei care a formulat-o, precum și de elementele pe care și-a bazat opinia. O opinie formată în cadrul unei reuniuni scurte va avea probabil mai puțină greutate decât una derivată dintr-o serie de negocieri importante cu persoana în cauză. Totuși, aici nu este vorba cu-adevărat despre o problemă de exactitate. Dimpotrivă, trebuie să analizați dacă datele cu caracter personal sunt „adecvate” pentru scopurile dumneavoastră, în conformitate cu principiul reducerii la minim a datelor.
De notat este faptul că unele evidențe care pot părea a fi opinii nu conțin nicio opinie. De exemplu, mai multe instituții financiare folosesc scorurile de credit pentru a putea decide asupra acordării de credite. Un scor de credit este un număr care rezumă informațiile istorice de credit privind un raport de credit și furnizează un instrument numeric de estimare a riscului privind acordarea unui credit individual. Scorurile de credit sunt bazate pe o analiză statistică a datelor cu caracter personal ale persoanelor, mai degrabă decât pe o opinie subiectivă privind bonitatea acestora. Cu toate acestea, trebuie să asigurați exactitatea (și caracterul adecvat) datelor de bază.
Principiul exactității. Date cu caracter personal trebuie să fie întotdeauna actualizate?
Acest lucru depinde de motivul pentru care utilizați informațiile. Dacă utilizați informațiile într-un scop care se bazează pe actualizarea permanentă a informațiilor, atunci ar trebui să le actualizați. De exemplu, ar trebui să actualizați evidențele de plată ale angajaților atunci când intervine o mărire. În mod similar, ar trebui să actualizați evidențele dumneavoastră în cazul în care clienții își schimă adresa pentru ca bunurile să fie livrate la adresa corectă.
În alte cazuri, va fi la fel de evident că nu trebuie să actualizați informațiile.
Exemplu: O persoană plasează o comandă la o organizație. Organizația va avea probabil un motiv întemeiat să rețină o evidență a comenzii pentru o perioadă de timp din motive contabile și în cazul unor posibile plângeri. Totuși, acest lucru nu înseamnă că trebuie să verifice periodic dacă clientul mai locuiește la aceeași adresă.
Nu trebuie să actualizați datele cu caracter personal dacă acest lucru ar contraveni scopului prelucrării. De exemplu, dacă dețineți date cu caracter personal în scopuri statistice, istorice sau în alte scopuri de cercetare, actualizarea datelor ar putea contraveni acestor scopuri.
În unele cazuri, este rezonabil să se aștepte de la persoane să precizeze dacă datele lor cu caracter personal s-au schimbat, cum ar fi atunci când își schimbă adresa sau alte detalii de contact. Ar fi putea fi delicat să solicitați periodic persoanelor să-și actualizeze datele, dar nu trebuie să luați măsuri extreme să vă asigurați că evidențele dumneavoastră sunt actualizate, decât dacă există un risc de confidențialitate aferent care justifică acest lucru.
Exemplu: O organizație păstrează adresele și datele de contact ale clienților anteriori din motive de marketing. Aceasta nu trebuie să utilizeze corespondența datelor sau serviciile de urmărire pentru a se asigura că evidențele sale sunt actualizate și ar putea fi chiar dificil de demonstrat că prelucrarea utilizată în corespondența datelor sau în procesul de urmărire în aceste scopuri este echitabilă, legală și transparentă.
Cu toate acestea, dacă o persoană informează organizația cu privire la noua sa adresă, aceasta ar trebui să își actualizeze evidentele. Și dacă o corespondență se întoarce cu mesajul „adresa incorectă” marcat pe plic, sau orice altă informație apărută care sugerează că adresa nu mai este exactă, organizația ar trebui să își actualizeze evidențele pentru a indica faptul că adresa nu mai este de actualitate.
Ce măsuri trebuie să luăm pentru a asigura exactitatea?
În cazul în care utilizați propriile resurse pentru a compila datele cu caracter personal despre o persoană, atunci trebuie să vă asigurați că informațiile sunt corecte. Ar trebui să aveți o grijă deosebită dacă informațiile ar putea avea implicații grave asupra persoanei. Dacă, de exemplu, oferiți unui angajat o mărire pe baza creșterii anuale și a unui bonus de performanță, atunci nu există nicio scuză pentru menționarea greșită a salariului în evidențele de plată.
Admitem că ar putea fi anevoioasă verificarea exactității datelor cu caracter personal pe care altcineva le furnizează.
Pentru a vă asigura că evidențele dumneavoastră nu sunt inexacte sau înșelătoare în acest caz și că se respectă principiul exactității, trebuie:
- să înregistrați cu exactitate informațiile furnizate;
- să înregistrați cu exactitate sursa informațiilor;
- să luați măsurile rezonabile în aceste circumstanțe pentru a asigura exactitatea informațiilor și să analizați cu atenție reclamațiile privind exactitatea informațiilor.
Definiția unei „măsuri rezonabile” va depinde de circumstanțele și, în special, de natura datelor cu caracter personal și scopul în care le folosiți. Cu cât este mai importantă exactitatea datelor cu caracter personal, cu atât mai mare este efortul pe care îl depuneți pentru a asigura exactitatea lor. Așadar, dacă utilizați datele pentru a lua decizii care pot afecta în mod semnificativ persoana vizată sau alte persoane, trebuie să depuneți mai mult efort pentru a asigura exactitatea. Acest lucru înseamnă că trebuie să obțineți o confirmare independentă că datele sunt exacte. De exemplu, angajatorii trebuie să verifice detaliile exacte privind educația, calificările și experiența candidaților dacă acest lucru este esențial pentru respectiva funcție, caz în care vor trebui să obțină o verificare oficială.
Exemplu: O organizație care recrutează un șofer va dori dovezi că persoanele pe care le intervievează sunt îndreptățite să conducă tipul de vehicul în cauză. Faptul că un candidat declară în cadrul rubricii privind experiența profesională că a lucrat ca Moș Crăciun într-un magazin acum 20 de ani nu trebuie verificat pentru obținerea acestui loc de muncă.
Dacă sursa dumneavoastră de informare este o persoană pe care o știți că este de încredere sau este o organizație cunoscută, este în mod normal rezonabil să presupuneți că aceștia v-au oferit informații exacte. Cu toate acestea, în unele cazuri trebuie să reverificați, de exemplu, dacă informațiile inexacte ar putea avea consecințe grave sau dacă bunul simț sugerează că ar putea fi o greșeală.
Exemplu: O afacere care se închide recomandă un membru al personalului unei alte organizații. Presupunând că cei doi angajatori se cunosc, ar putea fi rezonabil pentru organizația care primește recomandarea să accepte ca atare asigurările privind experiența profesională a persoanei în cauză. Totuși, dacă este nevoie de o anumită competență sau calificare pentru noul loc de muncă, organizația trebuie să facă verificările corespunzătoare.
Exemplu: O persoană trimite un email companiei sale de telefonie mobilă solicitând ca aceasta să modifice evidențele privind disponibilitatea sa de a primi materiale publicitare. Compania își modifică evidențele în mod corespunzător, fără să facă vreo verificare. Totuși, atunci când clientul trimite un alt e-mail solicitând companiei să-i trimită facturile la o nouă adresă, aceasta face verificări suplimentare de siguranță înainte să efectueze schimbarea solicitată.
Chiar dacă ați luat inițial toate măsurile rezonabile pentru a asigura exactitatea datelor și principiul exactității, dacă primiți ulterior informații noi care sugerează că ar fi greșite sau înșelătoare, ar trebui să reevaluați dacă informațiile sunt exacte și să luați măsuri de ștergere, actualizare sau de corectare în lumina noilor informații cât mai repede posibil.
Principiul exactității. Ce ar trebui să facem dacă o persoană contestă exactitatea datelor sale cu caracter personal?
Dacă se întâmplă acest lucru, ar trebui să analizați dacă informațiile sunt exacte și, în caz contrar, ar trebui să le ștergeți sau să le corectați.
Rețineți că persoanele au dreptul absolut de a solicita rectificarea datelor incorecte cu caracter personal – consultați dreptul la rectificare pentru mai multe informații.
Persoanele nu au dreptul la ștergerea datelor doar pentru că datele sunt inexacte. Totuși, principiul exactității prevede obligația de a lua toate măsurile rezonabile pentru a șterge sau a rectifica datele inexacte fără întârziere și, în unele cazuri, ar putea fi rezonabil să ștergeți datele. Dacă o persoană vă solicită să ștergeți datele inexacte, este, prin urmare, o bună practică să luați în considerare această solicitare.
Sursa: ICO