Actualizat în 3 Nov, 2021.

Regulamentul General privind Protecția Datelor cu Caracter Personal a „băgat în sperieți” operatorii de date (firme și instituții publice) prin două aspecte aparte însă strâns legate între ele: Împuternicirea persoanei vizate prin oferirea de drepturi asupra datelor acestora și amenzi ridicate.

Dacă cel din urmă aspect a fost cel mai mediatizat, primul dintre ele este însă poate cel mai relevant atunci când vorbim despre aplicarea GDPR și conformarea operatorilor la acest standard.

În acest sens, un subiect foarte prezent în rândul operatorilor este următorul: Când și în baza cărui temei legal dăm curs unei cereri de acces la date spre exemplu? Dar la o cerere de ștergere? Îi putem da curs în orice condiții?

Scopul acestui articol este să ajute operatorii pe de o parte și persoanele vizate pe de altă parte să înțeleagă când și în baza cărui temei legal își pot exercita drepturile, pentru a evita confuzia și certurile pe teme precum cele de mai sus amintite.

Drepturile persoanei vizate:

  1. Dreptul de a fi informat cu privire la datele cu caracter personal proprii sau pentru care se justifică un interes (ex. Tutore legal).
  2. Dreptul de acces la date: adică să i se pună la dispoziție persoanei datele pe care le prelucrăm;
  3. Dreptul la rectificare a datelor: adică atunci când am înregistrat greșit anumite date, persoana ne poate solicita să le corectăm;
  4. Dreptul la ștergerea datelor – sau dreptul de a fi uitat: Poate cel mai folosit drept dintre toate. Acesta presupune ștergerea datelor persoanelor vizate în anumite condiții precum: există prelucrări efectuate în scop de marketing, publicitare sau promovare;
  5. Dreptul la restricționarea prelucrării: adică persoana poate obține restricționarea prelucrării în cazuri precum – contestarea exactității datelor, până acestea sunt verificate; prelucrarea este ilegală iar persoana se opune ștergerii în schimb cere restricționarea utilizării lor etc.
  6. Dreptul de opoziție: prin care persoana se poate opune prelucrării datelor , pentru anumite motive legate de situația particulară în care se află.
  7. Dreptul la portabilitate: adică poate cere să îi fie transferate datele către un alt operator, din anumite motive care îl privesc în mod aparte.
  8. Dreptul de a nu face obiectul unei decizii bazate EXCLUSIV pe prelucrarea automată (ex. Creare de profiluri care produce efecte juridice), iar acea prelucrare afectează persoana. În acest caz se poate cere intervenția unui factor uman.

Care sunt însă temeiurile legale ale prelucrării?

  1. Prelucrarea se bazează pe consimțământul persoanei vizate: iar acest consimțământ să îndeplinească anumite condiții (să fie documentat, separat, specific etc).
  2. Prelucrare necesară pentru încheierea sau executarea unui contract: adică contractul este legea părților, este suficient să avem acest temei legal pentru prelucrarea datelor atunci când vorbim despre contracte;
  3. Prelucrare necesară pentru îndeplinirea unei obligații legale: pe românește, „unde-i lege, nu-i tocmeală” – adică dacă legea ne obligă să prelucrăm datele, le prelucrăm.
  4. Prelucrare necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice: adică spre exemplu realizarea unor situații specifice cu persoanele infectate cu COVID-19, sau anumite prelucrări realizate de pompieri sau personal SMURD la locul accidentului (spre exemplu).
  5. Prelucrare necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul: spre exemplu cazul forțelor de ordine care verifică sau iau anumite măsuri în scopul protejării sănătății populației ori a realizării obiectivelor de siguranță publică.
  6. Prelucrare necesară în scopul intereselor legitime urmărite de operator sau de o parte terță: însă în condițiile în care s-a realizat un test de balanță din care reiese că este posibilă prelucrarea (ex. Mutarea sediului unei firme, care este comunicată sau închiderea anumitor puncte de lucru datorită situației generate de pandemie).

Cum interacționează drepturile cu temeiurile legale ale prelucrării?

Ei bine, este de la sine înțeles că putem da curs unei solicitări atât timp cât avem și o prelucrare pentru care subzistă un temei legal, însă nu întotdeauna vom da curs solicitării în sensul în care persoana vizată dorește. Spre exemplu, un fost angajat ne solicită să îi ștergem toate datele despre acesta. Cum vom da curs acestei cereri?

În primul rând vom face verificările cu privire la identitatea persoanei și a raporturilor de muncă existente.

Mai apoi vom cataloga categoriile de date cu caracter personal prelucrate în funcție de natura prelucrărilor, scopul acesteia și temeiul legal. Adică vom avea date prelucrate pentru angajare sau desfășurarea raporturilor de muncă ținute spre exemplu în dosarul de personal. Totodată putem avea date care sunt colectate în baza consimțământului (ex. Fotografii pe website) sau capturi video pe camerele de supraveghere video montate.

Odată catalogate și stabilite temeiurile legale, ne vom uita unde putem da curs în sensul dorit, de ștergere și unde vom refuza. Evident, atunci când avem o obligație legală de păstrare a datelor (spre exemplu dosarul de personal se păstrează 75 de ani), vom oferi un răspuns prin care se refuză cererea cu privire la aceste prelucrări. Cu toate acestea vom da curs cererii cu privire la prelucrările realizate cu fostul angajat în scop de marketing, publicitate sau promovare, care s-au bazat pe consimțământul acestuia.

Mai apoi vom formula răspunsul către persoana vizată, care poate fi după cum spuneam:

  • Afirmativ, de ștergere
  • Negativ, de refuz al ștergerii datorită existenței unor temeiuri legale (obligație legală, interes legitim etc)
  • Sau vom solicita mai multe informații atunci când nu putem identifica persoana sau date despre acesta ori solicitarea este incompletă.

Foarte important de menționat este faptul că gestionarea si analizarea cererilor se face întotdeauna cu avizul DPO-ului, deci nu uităm de consultarea responsabilului cu protecția datelor  înainte de a da curs oricărei solicitări. Să ne reamintim principalele puncte de interes referitoare la  funcția DPO  și particularitățile pe care le-am întâlnit în România și care sunt dezbătute in articolul: Funcția de DPO și protecția datelor cu caracter personal.

Haideți să vedem și câteva exemple:

  1. Avem o cerere de acces la date din partea unei persoane înregistrate prin sistemul de supraveghere video. Aceasta acuză că în decursul unei vizite, si-a pierdut sau i-au dispărut niște obiecte. În acest caz vom da curs solicitării, din sistemul CCTV vom face capturi de ecran pentru perioada indicată, se va invita persoana pentru a le vizualiza și se vor păstra un termen rezonabil după, în vederea depunerii lor ca probă, dacă este cazul de proceduri judiciare.
  2. Există o cerere de ștergere a datelor adresată de un participant la un eveniment organizat de dumneavoastră, mediatizat pe Facebook. Participantul la eveniment și-a dat consimțământul la acel moment, însă acum dorește să fie șters. Cu privire la această solicitare, vom da curs ștergerii, fiind vorba despre o prelucrare în scop de marketing, promovare și publicitate.
  3. Există din partea unui client o obiecție de a vă furniza datele necesare pentru întocmirea facturii pentru produsele vândute sau pentru serviicile prestate. În acest caz, nefurnizarea informațiilor va avea ca o consecință imposibilitatea furnizării acelui serviciu sau vânzării acelui produs, iar acest lucru va fi adus la cunoștința persoanei vizate. De ce? Deoarece pentru realizarea acestor categorii de prelucrări, există un temei legal (o legislație specifică) care reglementează activitate comercială respectivă.

exercitarea drepturilor GDPR

Concluzii

Unul din aspectele foarte relevante pentru operatori este gestionarea cererilor persoanelor vizate, atunci când aceștia își exercită drepturile, gestionare care se realizează cu avizul responsabilului cu protecția datelor. Acest lucru este foarte important de înțeles pentru a nu încălca legislația privind protecția datelor nici în sensul refuzului nejustificat al oferirii unui răspuns însă nici prin distrugerea anumitor date spre exemplu, atunci când aveam o obligație legală chiar de păstrare a lor.

Acest articol a enumerat atât drepturile persoanei vizate cât și temeiurile legale a prelucrării iar printr-o diagramă grafică și oferirea de exemple a căutat să completeze informațiile lipsă cu privire la gestionarea cererilor persoanelor vizate.

În situația în care totuși întâmpini dificultăți ca operator, sau poate ești Responsabil cu Protecția Datelor și nu știi cum să acționezi, te rugăm să ne scrii pe contact@gdprcomplet.ro și îți vom veni în ajutor.