Drepturile persoanei vizate din perspectiva Regulamentului privind Protectia Datelor cu Caracter Personal

Mihaela Farin – Senior Associate, Vlasceanu & Partners

(1)

Odata cu intrarea in vigoare a Regulamentului (UE) 2016/679 al Parlamentului European si al Consiliului din 27 aprilie 2016 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a Directivei 95/46/CE (“Regulamentul”), legislatia va suferi o serie de modificari imediate. Regulamentul va fi de directa aplicabilitate incepand cu data de 25 mai 2018.

In acest articol am optat pentru prezentarea drepturilor persoanei ale carei date sunt prelucrate (i.e. persoana vizata), una dintre zonele cele mai sensibile si importante atat din perspectiva persoanei vizate, cat si din perspectiva operatorilor de date.

Drepturile persoanei vizate se refera la consimtamant, informare, acces la datele prelucrate, rectificarea datelor, stergerea datelor, restrictionarea prelucrarii, portabilitatea datelor, opozitie si de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automata si/ sau creare de profiluri.

In cadrul acestui prim articol vom trata consimtamantul, dreptul la informare, la acces la datele prelucrate, la rectificarea si stergerea datelor, urmand ca cea de-a doua serie de drepturi sa faca obiectul unei publicatii ulterioare.

1. Consimtamantul

In ceea ce priveste consimtamantul, acesta se ramifica dupa cum urmeaza:

consimtamantul referitor la date personale cu caracter general;
consimtamantul referitor la categorii speciale de date cu caracter personal.

Consimtamantul referitor la datele cu caracter personal generale trebuie sa fie unul lipsit de ambiguitate facut printr-o declaratie sau printr-o actiune lipsita de echivoc, in timp ce consimtamantul pentru datele cu caracter personal speciale trebuie sa fie unul explicit.

In ceea ce priveste prima categorie se accepta ca acesta poate fi si un consimtamant implicit, atat timp cat el este insotit de o actiune lipsita de echivoc. Pe de alta parte se admite faptul ca tacerea, casutele pre-bifate si inactivitatea nu reprezinta un consimtamant valabil in acceptiunea Regulamentului.

Mai mult decat atat, subliniem faptul ca, in cazul in care datele sunt prelucrate in mai multe scopuri, obtinerea consimtamantului s-ar putea dovedi necesara pentru mai multe sau chiar toate scopurile prelucrarii datelor respective. In plus, potrivit Regulamentului, este obligatia operatorului de date de a dovedi obtinerea consimtamantului persoanei vizate.

Este de retinut faptul ca persoana vizata are dreptul sa isi retraga in orice moment consimtamantul fara a afecta legalitatea prelucrarii efectuate inainte de retragerea acestuia.

In ceea ce priveste datele personale cu caracter special este interesant de urmarit daca Romania va alege sa faca uz de dreptul acordat de Regulament de a elimina “consimtamantul” dintre temeiurile legale care acorda operatorilor de date dreptul de prelucrare.

2. Dreptul la informare

Regulamentul stabileste informatiile pe care operatorul trebuie sa le furnizeze precum si perioada de timp in care persoana vizata trebuie sa fie informata.

Informatiile furnizate sunt determinate de modul in care datele personale au ajuns in posesia operatorului:

informatii colectate direct de la persoana vizata;
informatii care nu sunt colectate de la persoana vizata.

Conform Regulamentului, in cazul in care datele cu caracter personal sunt colectate chiar de la persoana vizata (persoana ale caror date sunt prelucrate), este obligatorie furnizarea catre persoana vizata a urmatoarelor informatii:

identitatea si datele de contact ale operatorului si, dupa caz, ale reprezentantului acestuia;
datele de contact ale responsabilului cu protectia datelor, daca acesta a fost desemnat;
scopurile in care sunt prelucrate datele cu caracter personal, precum si temeiul juridic al prelucrarii;
daca prelucrarea este necesara in scopul intereselor legitime ale operatorului;
destinatarii sau categoriile de destinatari ai datelor cu caracter personal (e.g. ANAF, ITM);
daca este cazul, intentia operatorului de a transfera date cu caracter personal catre un stat care nu este membru al Uniunii Europene/ o organizatie internationala;
perioada pentru care vor fi stocate datele cu caracter personal sau, daca acest lucru nu este posibil, criteriile utilizate pentru a stabili aceasta perioada;
drepturile de acces la datele cu caracter personal, de rectificare/ stergere a datelor cu caracter personal/ de restrictionare a prelucrarii, de a se opune prelucrarii si dreptul la portabilitatea datelor;
dupa caz, existenta dreptului persoanei vizate de a retrage consimtamantul in orice moment, fara a afecta legalitatea prelucrarii efectuate anterior pe baza consimtamantului;
dreptul de a depune o plangere in fata ANSPDCP;
existenta unui proces decizional automatizat incluzand crearea de profiluri;

Daca datele cu caracter personal nu provin de la persoana vizata (e.g. un angajat depune CV-ul unei cunostinte), pe langa furnizarea informatiilor mentionate anterior vor trebui furnizate si urmatoarele informatii:

categoriile de date cu caracter personal;
sursa din care provin datele cu caracter personal si, daca este cazul, daca acestea provin din surse disponibile public;

Indiferent de modul de colectare a datelor cu caracter personal informatia trebuie furnizata intr-un mod concis, transparent, intelegibil, usor accesibil si gratuit.

3. Dreptul de acces la datele personale prelucrate

Persoana vizata are dreptul de a obtine din partea operatorului o confirmare ca se prelucreaza date cu caracter personal, acces la datele respective, informatii in legatura cu scopul prelucrarii, categoriile de date prelucrate, perioada pentru care se vor stoca datele, acolo unde este posibil, destinatarii datelor cu caracter personal, posibilitatea depunerii unei plangerii in fata unei autoritati de supraveghere etc. In cazul in care datele cu caracter personal nu sunt colectate de la persoana vizata, operatorul are obligatia de a furniza orice informatii disponibile privind sursa acestora.

Este de retinut faptul ca operatorul este obligat sa furnizeze persoanei vizate inclusiv informatii vizavi de existenta dreptului de a solicita rectificarea sau stergerea datelor cu caracter personal ori restrictionarea prelucrarii datelor cu caracter personal referitoare la persoana vizata, inclusiv a dreptului de a se opune prelucrarii.

4. Dreptul la rectificarea datelor

Persoanele vizate au dreptul de a solicita operatorilor completarea si/ sau rectificarea datelor personale, in cazul in care acestea sunt incomplete sau inexacte.

Perioada de timp alocata de Regulament pentru a da curs acestei solicitari este de o luna, cu posibilitatea prelungirii acesteia pana la doua luni, in conditii speciale.

In cazul in care nu se iau masuri pentru a raspunde la o cerere de rectificare, persoana vizata trebuie sa fie informata de cauzele speciale existente si, in cazul in care nu se ajunge la o intelegere, este important sa cunoasca faptul ca are dreptul de a depune o plangere la autoritatea de supraveghere.

5. Dreptul la stergerea datelor (“dreptul de a fi uitat”)

Element de noutate absoluta, acest drept se traduce prin in faptul ca persoana vizata poate solicita stergerea datelor personale prelucrate in cazul in care exista unul din urmatoarele motive:

datele nu mai sunt necesare pentru scopurile pentru care au fost prelucrate;
persoana vizata isi retrage consimtamantul

Nota: numai daca temeiul legal al prelucrarii consta in consimtamantul exprimat anterior;

persoana vizata se opune prelucrarii (in temeiul Regulamentului) si nu exista motive legitime care sa prevaleze in ceea ce priveste prelucrarea;
persoana vizata se opune prelucrarii (in temeiul Regulamentului);
datele cu caracter personal au fost prelucrate ilegal;
datele cu caracter personal trebuie sterse pentru respectarea unei obligatii legale care revine operatorului;
datele cu caracter personal au fost colectate in legatura cu oferirea de servicii ale societatii informationale.

Extrem de important este faptul ca, daca operatorul a facut publice datele cu caracter personal, acesta, cu luarea in considerare a tehnologiei disponibile si a costului implementarii, ia masuri rezonabile, inclusiv masuri tehnice, pentru a informa operatorii care prelucreaza datele cu caracter personal ca persoana vizata a solicitat stergerea de catre acesti operatori a oricaror linkuri catre datele respective sau a oricaror copii sau reproduceri ale acestor date cu caracter personal.

Ca orice drept, nici dreptul de a fi uitat nu este un drept absolut, ci el suporta anumite limitari in urmatoarele situatii limitative:

exercitarea dreptului la libera exprimare si informare (e.g. un motor de cautare notifica un editor mass-media sa elimine rezultatele cautarii care fac legatura cu o anumita stire ca urmare a unei cereri de stergere de la persoana vizata. Daca publicarea articolului este protejata de libertatea de exprimare atunci editorul nu are obligatia de a sterge articolul);
pentru respectarea unei obligatii legale care prevede prelucrarea in temeiul dreptului Uniunii Europene sau al dreptului intern care se aplica operatorului;
pentru indeplinirea unei sarcini executate in interes public sau in cadrul exercitarii unei autoritati oficiale cu care este investit operatorul;
motive de inters public in domeniul sanatatii publice;
in scopuri de arhivare in interes public, in scopuri de cercetare stiintifica sau istorica ori in scopuri statistice cu conditia existentei unor garantii corespunzatoare.
pentru constatarea, exercitarea sau apararea unui drept in instanta.

(2)

In primul nostru articol am optat pentru prezentarea unui prim set de drepturi ale persoanei ale carei date sunt prelucrate (i.e. persoana vizata), una dintre zonele cele mai sensibile si importante atat din perspectiva persoanei vizate, cat si din perspectiva operatorilor de date.

In cadrul acestui al doilea articol vom continua, tratand dreptul la restrictionarea prelucrarii, la portabilitatea datelor, la opozitie si de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automata si/ sau creare de profiluri.

1. Dreptul la restrictionarea prelucrarii

Persoana vizata are dreptul sa solicite restrictionarea prelucrarii datelor cu caracter personal in cazul in care contesta exactitatea datelor, prelucrarea este ilegala etc.

Ca si in cazul stergerii datelor, daca operatorul a facut publice datele cu caracter personal, acesta, cu luarea in considerare a tehnologiei disponibile si a costului implementarii, ia masuri rezonabile, inclusiv masuri tehnice, pentru a informa operatorii care prelucreaza datele cu caracter personal ca persoana vizata a solicitat restrictionarea de catre acesti operatori a oricaror linkuri catre datele respective sau a oricaror copii sau reproduceri ale acestor date cu caracter personal.

In cazul in care persoana vizata si-a exercitat dreptul de restrictionare, aceste date cu caracter personal pot fi prelucrate numai cu consimtamantul persoanei vizate. Consimtamantul nu este, totusi, solicitat in situatii care presupun constatarea, exercitarea sau apararea unui drept in instanta, in cazul in care sunt necesare pentru protectia drepturilor unei alte persoane fizice sau juridice sau din motive de interes public important al Uniunii sau al unui stat membru.

2. Dreptul la portabilitatea datelor

Un alt element de noutate absoluta, dreptul la portabilitatea datelor are ca scop responsabilizarea persoanelor vizate in ceea ce priveste propriile date cu caracter personal intrucat faciliteaza capacitatea lor de a muta, copia sau transmite datele cu caracter personal cu usurinta de la un mediu IT la altul (fie la propriile sisteme, fie la sistemele unor parti terte de incredere sau cele ale noilor operatori de date).

Persoana vizata are dreptul de a solicita operatorului datele personale prelucrate prin mijloace automate, precum si cele prelucrate in baza consimtamantului persoanei vizate sau in baza unui contract la care persoana vizata este parte iar acestea ar trebui sa fie primite intr-un format structurat, utilizat in mod curent si care poate fi citit automat.

De asemenea persoana vizata are dreptul de a solicita operatorului transmiterea directa a datelor cu caracter personal atunci cand acest lucru este posibil din punct de vedere tehnic catre un alt operator. Acest lucru nu inseamna faptul ca portabilitatea datelor declanseaza automat stergerea datelor din sistemul operatorului si nu afecteaza perioada initiala de pastrare aplicabila datelor care au fost transmise.

Operatorii de date care raspund unei cereri de portabilitate a datelor nu sunt responsabili pentru prelucrarea efectuata de persoana vizata sau de o alta companie ce primeste datele cu caracter personal. In acest sens operatorul de date nu este responsabil pentru respectarea legii de catre operatorul care primeste datele deoarece nu este el cel care alege destinatarul.

Mai mult portabilitatea datelor nu impune o obligatie operatorului de a pastra datele cu caracter personal pe o perioada mai mare decat cea necesara sau pe o perioada de stocare mai mare decat cea specificata.

Prin aceasta reglementare, operatorii sunt incurajati sa dezvolte formate interoperabile care sa permita portabilitatea datelor, fara a crea o obligatie operatorilor de date de a adopta sau mentine sisteme de prelucrare care sunt combatibile. Cu toate acestea, Regulamentul interzice operatorilor sa stabileasca obstacole in calea transmiterii.

3. Dreptul la opozitie

Pentru a prelucra date cu caracter personal, operatorul trebuie sa aiba o baza legala pentru aceasta prelucrare.

In cazul in care prelucrarea se face in baza unui interes public sau legitim, trebuie retinut faptul ca persoanele vizate au dreptul de a face opozitie.

Exercitarea cu succes a dreptului la opozitie necesita o motivatie in sensul ca persoanele vizate trebuie sa ofere motive legate de situatia lor particulara.

Operatorul nu este obligat sa inceteze prelucrarea datelor atunci cand demonstreaza ca are motive legitime si imperioase care justifica prelucrarea si care prevaleaza asupra intereselor, drepturilor si libertatilor persoanei vizate sau ca scopul este constatarea, exercitarea sau apararea unui drept in instanta.

In acest moment legislatia permite unei organizatii sa continue prelucrarea datelor relevante, cu exceptia cazului in care persoana vizata poate demonstra ca opozitia este justificata. Daca aceasta conditie este indeplinita, Regulamentul inverseaza sarcina probei si solicita organizatiei sa demonstreze ca are fie motive intemeiate pentru continuarea prelucrarii, fie ca prelucrarea este necesara in legatura cu drepturile sale. In cazul in care nu poate demonstra ca activitatea de prelucrare se incadreaza in unul din aceste motive, organizatia trebuie sa inceteze prelucrarea

Nota: acest lucru s-ar putea dovedi deosebit de periculos pentru organizatiile care se bazeaza in prezent pe propriile interese legitime ca baza legala pentru prelucrarea datelor cu caracter personal, acestea fiind cele mai expuse riscului exercitarii dreptului la opozitie de catre persoanele vizate.

De asemenea persoana vizata are dreptul de a face opozitie atunci cand prelucrarea datelor cu caracter personal are drept scop marketingul direct. In acest caz dreptul la opozitie este unul absolut. Odata ce a fost inregistrata o opozitie referitoare la marketingul direct, operatorul nu mai are dreptul sa prelucreze datele cu caracter personal in nicio situatie.

Atunci cand baza legala a prelucrarii este data de scopul stiintific, istoric sau statistic de interes public, persoana vizata are dreptul la opozitie, cu exceptia cazului in care prelucrarea este necesara pentru indeplinirea unei sarcini din motive de interes public.

Nota: ca si in situatia prelucrarii bazate pe interesele legitime ale operatorului, acestuia din urma ii revine sarcina de a proba motivele de interes public.

Dreptul de a face opozitie este adus la cunostinta persoanei vizate in mod explicit si este prezentat in mod clar si separat de orice alte informatii cel mai tarziu in momentul primei comunicari.

Nota actuala legislatie nu prevede obligatii specifice de informare a persoanelor vizate cu privire la acest drept.

4. Dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automata, inclusiv crearea de profiluri

Aceasta prevedere ofera persoanelor fizice garantii impotriva riscului ca o decizie potential daunatoare sa fie luata fara interventia umana.

Interdictia prevazuta in Regulament se aplica numai in situatia in care o decizie este bazata exclusiv pe prelucrarea automata, inclusiv creearea de profiluri care produce efecte juridice ce privesc persoana vizata sau o afecteaza in mod similar intr-o masura semnificativa.

De asemenea Regulamentul face referire la decizii bazate exclusiv pe prelucrare automata. Acest lucru insemna ca aceasta decizie se face fara interventie umana. In cazul in care o persoana ar fi implicata in procesul decizional influentand in acest sens rezultatul atunci respectiva decizie nu ar fi bazata exclusiv pe prelucrarea automata.

Similar altor drepturi reglementate de Regulament, nici acest drept nu este unul absolut.

Prin urmare, persoana vizata poate face obiectul unei decizii bazate exclusiv pe prelucrarea automata in cazul in care:

este necesar pentru incheierea sau executarea unui contract (e.g. pentru o mai mare corectitudine in procesul decizional, se poate reduce riscul unei erori umane, abuz);
este autorizata prin dreptul Uniunii sau dreptul intern care se aplica operatorului si care prevede, de asemenea masuri corespunzatoare pentru protejarea drepturilor, libertatilor si intereselor legitime ale persoanei vizate (e.g. pentru prevenirea fraudei sau evaziunii fiscale);
are la baza consimtamantul explicit al persoanei vizate.

Mihaela FARIN

Senior Associate

Address:
89 Emanoil Porumbaru Street, Ground Floor, 1^st District, 011424, Bucharest, Romania
Email:
mihaela.farin@vpartners.ro
Phone/Fax:
+40 314053007
Linkedin