4ALL

GDPR explicitat (5): Dreptul de a fi informat si Ce informații trebuie trimise


Articol publicat pe siteul cloud☁mania în data de 28 Iulie 2017. Autor: Radu Crahmaliuc

Noul regulament pe care noi îl abordăm aici sub titulatura generica de GDPR vine cu unele drepturi noi pentru indivizi și consolidează unele dintre drepturile care existau deja in Legislația Europeana.

Astfel, GDPR oferă persoanelor fizice vizate de prelucrarea datelor cu caracter personal următoarele drepturi generale:

  1. Dreptul de a fi informat
  2. Dreptul de acces
  3. Dreptul la rectificare
  4. Dreptul de ștergere
  5. Dreptul de a restricționa procesarea
  6. Dreptul la portabilitatea datelor
  7. Dreptul la obiect
  8. Drepturi legate de luarea de decizii automatizate și de profilare

Dreptul de a fi informat

 

Ce este Dreptul de a fi informat?

Dreptul de a fi informat se refera la obligația  de a furniza “informații corecte de procesare”, de obicei printr-o notificare privind confidențialitatea. Acesta subliniază nevoia de transparență în ceea ce privește modul în care utilizați datele cu caracter personal.

Ce informații trebuie furnizate subiecților prelucrării?

Să presupunem că sunt un operator de date personale.  Prin dreptul de a fi informat, GDPR îmi stabilește informațiile pe care trebuie să le furnizez și când trebuie subiecții prelucrării datelor personale să fie informați de către mine ( în mod implicit, firma mea, prin persoana autorizată).

Principalul atribut al datelor ce trebuie furnizate este Transparența. Conform GDPR Articolul 12: ”Transparența informațiilor, a comunicărilor și a modalităților de exercitare a drepturilor persoanei vizate”, informațiile pe care trebuie sa le furnizez trebuie să fie:

  • Concise
  • Transparente,
  • Inteligibile
  • Accesibile;
  • Scrise într-un limbaj clar și simplu
  • În special dacă este mă adresez unui copil
  • Oferite gratuit

 Informațiile pe care le furnizez sunt dependente de modul în care am obținut datele personale pe care vreau să le prelucrez:

  • direct de la persoane fizice care fac obiectul prelucrării datelor personale
  • indirect, pentru cazurile în care informațiile mi-au venit din altă sursă.

O mare parte din informațiile pe care trebuie să le furnizăm sunt deja  în concordanță cu obligațiile mele actuale, conform legislației existente. Dar in plus,  au apărut și alte informații pe care trebuie să le furnizez  în mod explicit.

Ce informații trebuie furnizate?

Să vedem deci, care sunt principalele categorii de informații care trebuie furnizate în situația în care am obținut datele personale direct de la client. Conform Articolului 13: ”Informaţii care se furnizează în cazul în care datele cu caracter personal sunt colectate de la persoana vizată”, Alineatul 1, trebuie să furnizez personai vizate următoarele infrmații:

  • identitatea şi datele mele de contact – ca operator, și după caz și ale mele personale – ca reprezentant al acestuia
  • datele mele de contact ca responsabil cu protecţia datelor, după caz ca ofițer de protecție a datelor personale (DPO);
  • scopurile în care vreau să prelucrez datele cu caracter personal, precum şi temeiul juridic al prelucrării (baza legală);
  • interesele legitime pe care le urmăresc (ca operator sau ca o terță parte) – cu excepțiile de la Articolul 6 alineatul (1) litera (f) – Legalitatea prelucrării;
  • care sunt destinatarii sau categoriile de destinatari ai datelor cu caracter personal;
  • intenţia mea de a transfera date cu caracter personal către o ţară terţă și care sunt garanțiile pe care le ofer că acest transfer este perfect legal și nu lezează interesele persoanei vizate;

În plus, în momentul în care am obținut deja datele cu caracter personal, conform Articolului 13, Alineatul 2, eu ca operator trebuie să furnizez persoanei vizate o serie de informaţii suplimentare, necesare pentru a asigura transparența prelucrării:

  • perioada de reținere a datelor sau criteriile folosite pentru a stabili această perioadă;
  • dreptul la rectificare, ștergere, restricționare, obiecții;
  • dreptul la portabilitatea datelor;
  • dreptul de a retrage consimțământul în orice moment, dacă este cazul;
  • dreptul de a depune o plângere la o autoritate de supraveghere;
  • dacă solicitarea face parte dintr-o cerință sau obligație legală sau contractuală și posibilele consecințe ale nefurnizării;
  • existența unui proces automat de luare a deciziilor ( incluzând profilarea) și modul în care sunt luate deciziile, semnificația și consecințele acestora.

Dacă eu, ca operator vreau să prelucrez datele cu caracter personal și/ sau într-un alt scop decât cel pentru care acestea au fost colectate, atunci, înainte de orice prelucrare ulterioară, sunt obligat să furnizez persoanelor vizate toate informaţiile relevante prvitoare la scopul sau scopurile secundare.

Ce se întâmplă în sitația în are datele personale nu ne-au fost furnizate în mod direct de către persoanele vizate?

În acest caz, conform Articolului 14, sunt obligat ca operator să furnizez persoanei vizate întregul set de informații descrise puțin mai sus, de la ambele Alineate ale Articolului 13, plus următoarele informații obligatorii doar pentru acest caz:

  • care sunt categoriile de date personale pe care le am la dispoziție
  • care e sursa publică de date cu caracter personal, după caz care provine de la surse accesibile publicului;

Pentru a ne descurca mai bine în acest labirint de informații, legi și paragrafe, am făcut o sinteză a informațiilor care trebuie funizate în ambele sitații discutate anterior:

 

Ce informații trebuie să dau Date venite direct de la subiect Date provenite din alte surse
Identitatea și datele de contact (operator + reprezentant)

DA

DA
Datele de contact DPO

DA

DA
Scopul în care se prelucrează datele

DA

DA

Interesele legitime urmărite

 DA DA

Destinatarii sau categoriile de destinatari

 DA

DA
Categoriile de date personale

NU

DA

Intențiile de transfer al datelor

 DA

DA
Perioada de reținere a datelor

DA

DA
Dreptul la rectificare, ștergere, restricționare, obiecții

DA

DA
Dreptul la portabilitatea datelor

DA

DA
Dreptul de retragere a consimțământului

DA

DA
Dreptul la plângere/notificare

DA

DA

Care e sursa publică de date cu caracter personal

 NU DA
Existența unei obligații legale sau contractuale

DA

NU

Existența unui proces automat de luare a deciziilor

 DA

DA

  

Când trebuie furnizate informațiile?

O modificare importantă față de legislația anterioară este scurtarea perioadei în care sunt obligat să răspund solicității de informare primită de la persoana vizată. Conform Articolului 12, Alineatul 3:

  • Timpul maxim de răspuns s-a scurtat de la 40 de zile la 30 de zile. Deci eu, ca operator trebuie să furnizez persoanei vizate informaţii privind acţiunile întreprinse în urma une cereri fără întârzieri nejustificate şi în orice caz în cel mult o lună de la primirea cererii;
  • Atunci când e necesar, din motive legate de comlexitatea și volumul cererilor primate simultan, această perioadă poate fi prelungită până la două luni. Chiar și în aceste condiții de prelungire, trebuie să informez persoana vizată de această prelungire tot în intervalul de o lună;
  • Pentru cererile trimise în format electronic, informaţiile trebuie furnizate în format electronic – acolo unde este posibil, cu excepţia cazului în care persoana vizată solicită informațiile într-un alt format.