4ALL

GDPR explicitat (6): Dreptul de acces, rectificare, ștergere sau restricționare


Articol publicat pe siteul cloud☁mania în data de  02 August  2017

Noul regulament pe care noi îl discutam sub titulatura generica de GDPR vine cu unele drepturi noi pentru indivizi și consolidează unele dintre drepturile care existau deja in Legislația Europeana.  GDPR oferă persoanelor fizice vizate de prelucrarea datelor cu caracter personal următoarele drepturi generale: Dreptul de a fi informat, de acces, de rectificare, de ștergere,  de a restricționa procesarea, dreptul la portabilitatea datelor,  la obiect, precum și drepturi legate de luarea de decizii automatizate și de profilare.

După ce în articolul precedent am prezentat și comentat dreptul de a fi informat și transparența comunicării, continuăm trecerea în revistă a celorlalte drepturi.

Dreptul de acces

Ce informații poate o persoană să ne solicite conform GDPR?

Conform GDPR orice persoană vizată poate solicita dreptul de acces la datele personale, în anumite condiții.  În mare aceste drepturi se regăsesc și în prevederile legislației anterioare.

Astfel, potrivit Articolului 15: ”Dreptul de acces de către persoana vizată”, pot fi solicitate următoarele tipuri de  informații:

  • care e scopul prelucrării datelor personale?
  • ce categorii de date cu caracter personal sunt în cauză;
  • care sunt destinatarii cărora le-au fost furnizate datele cu caracter personal;
  • care este perioada pentru care vor fi stocate datele cu caracter personal;
  • dreptul la rectificare, ștergere, obiecție sau restricție;
  • dreptul de a depune o plângere la o autoritate de supraveghere;
  • în cazul în care datele cu caracter personal nu sunt colectate de la persoana vizată, orice informații disponibile cu privire la originea lor.

Care este scopul asigurării dreptului de acces?

În noua formulare, GDPR preia în mare parte prevederile existente, în virtutea faptului că orice persoană vizată trebuie să aibă drept de acces la datele cu caracter personal colectate care o privesc şi ar trebui să îşi exercite acest drept cu uşurinţă şi la intervale de timp rezonabile, pentru a fi informată cu privire la prelucrare şi pentru a verifica legalitatea acesteia. Acest lucru include dreptul persoanelor vizate de a avea acces la datele privind sănătatea, de exemplu datele din registrele medicale conţinând informaţii precum diagnostice, rezultate ale examinărilor, evaluări ale medicilor curanţi şi orice tratament sau intervenţie efectuată.

Orice persoană vizată trebuie să aibă dreptul de a cunoaşte şi de a i se comunica în special scopurile în care sunt prelucrate datele, și dacă este posibil, perioada pentru care se prelucrează datele cu caracter personal, destinatarii datelor cu caracter personal, logica de prelucrare automată a datelor şi, cel puţin în cazul în care se bazează pe crearea de profiluri, consecinţele unei astfel de prelucrări.

Putem percepe vreo taxă pentru furnizarea datelor?

Vechile prevederi ale Legi 677/ 2001 arătau că o persoană putea solicita accesul la date în mod gratuit doar o data pe an. Actualul regulament nu specifică perceperea vreunei taxe, dar lasă libertatea fiecărui membru UE să stabilească în ce condiții pot fi percepute anumite taxe, mai ales când implică un volum considerabil de lucru din partea operatorului sau atunci când o cerere este vădit nefondată, excesivă sau repetitivă.

În cât timp trebuie să furnizăm informațiile solicitate?

Regulamentul oferă operatorilor o perioadă rezonabilă de până la o lună pentru a răspunde  solicitărilor de acces la datele personale. În anumite situații, acest termen poate fi prelungit cu încă o lună, dar suntem obligați în acest caz să anunțăm persoanele vizate de această prelungire, cu justificările de rigoare în termen de cel mult o lună de la primirea solicitării.

Cum putem furniza  informațiile?

În mod normal, trebuie să verificăm mai întâi identitatea persoanei care depune cererea, folosind „mijloace rezonabile“. În cazul în care cererea se face electronic, ar trebui să furnizăm informațiile tot într-un format electronic utilizat în mod obișnuit. Față de prevederile anterioare, GDPR vine cu o idee inovatoare: acolo unde este posibil, noi ca operatori de date ar trebui să putem furniza acces de la distanţă la un sistem sigur, care să ofere persoanei vizate acces direct la datele sale cu caracter personal. Acest drept nu ar trebui să aducă atingere drepturilor sau libertăţilor altora, inclusiv secretului comercial sau proprietăţii intelectuale şi, în special, drepturilor de autor care asigură protecţia programelor software (GDPR – Considerentul 63). Deși acest tip de acces nu este posibil în toate cazurile, există unele sectoare în care acest lucru ar fi posibil, prin integrarea în sistemele CRM.

Dreptul la rectificare

Ce este dreptul la rectificare?

Conform Articolului 16: ”Dreptul la rectificare” ”Persoana vizată are dreptul de a obţine de la operator, fără întârzieri nejustificate, rectificarea datelor cu caracter personal inexacte care o privesc. Ţinându-se seama de scopurile în care au fost prelucrate datele, persoana vizată are dreptul de a obţine completarea datelor cu caracter personal care sunt incomplete, inclusiv prin furnizarea unei declaraţii suplimentare.”

Când pot fi rectificate datele personale?

Persoanele vizate au dreptul de a ne solicita rectificarea datelor personale, în cazul în care acestea sunt inexacte sau incomplete și în special când datele personale nu au fost colectate direct. Perioada de timp alocată de regulament pentru rectificarea datelor este de maxim o lună, cu posibilitatea extinderii la două luni, în condiții speciale. În cazul în care nu se iau măsuri ca răspuns la o cerere de rectificare, trebuie să ca persoana vizată să fie informată de cauzele speciale existente  și în cazul în care nu se ajunge la o înțelegere, trebuie să știe că are dreptul de a depune o plângere la autoritatea de supraveghere și la o cale de atac.

Dreptul la ștergere sau ”Dreptul de a fi uitat”

Ce este dreptul la ștergere?

Dreptul la ștergerea datelor personale face parte din noile prevederi introduse de GDPR. Cunoscut în special ca „dreptul de a fi uitat“, acesta se bazează pe principiul de a garanta oricărui individ libertatea de a  face ce vrea cu datele sale personale, inclusiv de a le șterge, dacă nu există un motiv convingător sau special pentru continuarea procesării și stocării acestora.

Când ni se poate solicita dreptul la ștergere?

Conform Articolului 17, Alineatul 1: Dreptul la ștergerea datelor (“dreptul de a fi uitat”), persoana vizată are dreptul de a obţine din partea operatorului ştergerea datelor cu caracter personal, fără întârzieri nejustificate, iar noi ca operatori avem obligaţia de a şterge datele cu caracter personal, în cazul în care există unul dintre motivele:

  • datele nu mai sunt necesare pentru scopurile pentru care au fost colectate sau prelucrate;
  • persoana vizată îşi retrage consimţământul pe baza căruia are loc prelucrarea;
  • persoana vizată se opune prelucrării în temeiul articolului 21 alineatul (1) dreptul la opoziție
  • există neclarități legate de legalitatea prelucrării datelor cu caracter personal;
  • datele trebuie şterse pentru respectarea unei obligaţii legale care revine operatorului;
  • datele cu caracter personal aparțin unor copii, cu vârsta sub 16 ani.

În Articolul 17, Alineatul 2 se ia în discuție cazul în care operatorul a făcut publice datele cu caracter personal şi este obligat, în temeiul alineatului (1), să le şteargă. Ce trebuie să facem în acest caz? În funcție de tehnologia disponibilă şi de costul implementării, trebuie să luăm ”măsuri rezonabile”, inclusiv măsuri tehnice, pentru a informa toți procesatorii care prelucrează datele cu caracter personal că persoana vizată a solicitat ştergerea de către aceşti operatori a oricăror linkuri către datele respective sau a oricăror copii sau reproduceri ale acestor date cu caracter personal.

Trebuie să mai reținem faptul că dreptul la ștergere nu asigură și o aplicare absolută a „dreptului de a fi uitat“. Persoanele fizice au dreptul de a dispune cum doresc de datele cu caracter personal șterse, le pot încredința unui alt operator, le pot actualiza și pregăti pentru alte tipuri de prelucrări.

Când putem refuza să dăm curs unei cereri de ștergere a datelor?

Situațiile în care prevederile de la Alineatele 1 și 2 nu se aplică sunt explicitate la Alineatul 3, unde se consideră ca situații de excepție cele în care prelucrarea este necesară pentru:

  • exercitarea dreptului la liberă exprimare şi la informare;
  • respectarea unei obligaţii legale;
  • motive de interes public în domeniul sănătăţii publice (Articolul 9, Alineatul 2, Literele h şi i și Articolul 9, Alineatul 3);
  • scopuri de arhivare în interes public, cercetare ştiinţifică sau istorică ori în scopuri statistice (Articolul 89, Alineatul 1);
  • constatarea, exercitarea sau apărarea unui drept în instanţă.

Dreptul la restricționare

Când ni se poate solicita dreptul la restricționarea prelucrării?

Conform Articolului 18: Dreptul la restricţionarea prelucrării, persoana vizată are dreptul de a obţine din partea operatorului restricţionarea prelucrării într-unul dintre cazurile:

  • se contestă exactitatea datelor, pentru o perioadă care ne permite ca operator să verificăm exactitatea datelor în cauză;
  • prelucrarea este ilegală, iar persoana vizată se opune ştergerii datelor cu caracter personal, solicitând în schimb restricţionarea utilizării lor;
  • ca operatori nu mai avem nevoie de datele cu caracter personal în scopul prelucrării, dar persoana vizată ni le solicită pentru o acțiune în instanţă;
  • persoana vizată s-a opus prelucrării (Articolul 21, Alineatul 1) pentru intervalul de timp în care se verifică dacă drepturile noastre legitime ca operatori prevalează asupra celor ale persoanei vizate.

Dacă prelucrarea a fost restricţionată în temeiul Alineatului 1, astfel de date cu caracter personal pot, cu excepţia stocării, să fie prelucrate numai cu consimțământul persoanei vizate. De asemenea, conform Alineatului 3, avem datoria ca o persoană vizată care a obţinut restricţionarea prelucrării în temeiul Alineatului 1, să fie informată din timp, înainte de ridicarea restricţiei de prelucrare.