Conţinutul informării în situația în care datele cu caracter personal sunt colectate de la însăşi persoana vizată
Silviu-Dorin Şchiopu - iulie 2, 2019Art. 13 alin. (2) lit. b) din GDPR – existenţa dreptului de acces, a dreptului la rectificarea şi ştergerea datelor, a dreptului la restricţionarea prelucrării, a dreptului de opoziţie şi a dreptului la portabilitatea datelor. Potrivit Grupului de Lucru Art. 29, informarea ar trebui să fie specifică prelucrării respective şi să conţină un rezumat a ceea ce implică fiecare drept şi modul în care persoana vizată poate să-l exercite, precum şi orice limitări ale acestui drept[17]. Spre deosebire de celelalte drepturi ale persoanei vizate, potrivit art. 21 alin. (4) din GDPR, dreptul de opoziţie trebuie adus în mod explicit în atenția persoanei vizate cel târziu în momentul primei comunicări cu aceasta şi trebuie prezentat în mod clar și separat de orice alte informații.
În ceea ce priveşte dreptul la portabilitatea datelor, Grupul de Lucru Art. 29 a subliniat că operatorii trebuie să se asigure că informaţiile furnizate persoanei vizate disting dreptul la portabilitate de celelalte drepturi, recomandând ca operatorii să explice în mod clar diferenţa dintre tipurile de date pe care persoana vizată le poate obţine în urma exercitării dreptului de acces, pe de o parte, şi a dreptului la portabilitatea datelor, pe de altă parte[18]. De asemenea, Grupul de Lucru Art. 29 a recomandat ca operatorii să includă întotdeauna o informare privind dreptul la portabilitatea datelor atunci când persoana vizată închide un cont, ceea ce ar permite utilizatorilor să facă bilanțul datelor lor personale și să le transmită cu ușurință către propriul dispozitiv sau către un alt furnizor înainte de încetarea unui contract[19].
Art. 13 alin. (2) lit. c) din GDPR – existenţa dreptului persoanei vizate de a-şi retrage consimţământul atunci când prelucrarea se bazează pe art. 6 alin. (1) lit. a) sau art. 9 alin. (2) lit. a) din GDPR privind prelucrarea unor categorii speciale de date cu caracter personal. Potrivit art. 7 alin (3) din GDPR, persoana vizată are dreptul să își retragă în orice moment consimțământul, însă retragerea consimțământului nu afectează legalitatea prelucrării efectuate pe baza consimțământului înainte de retragerea acestuia, iar retragerea consimțământului se face la fel de simplu ca acordarea acestuia. Prin urmare informarea persoanei vizate trebuie să includă modul în care aceasta îşi poate retrage consimţământul având în vedere și faptul că retragerea consimţământului trebuie să fie la fel de facilă precum exprimarea acestuia.
Art. 13 alin. (2) lit. d) din GDPR – existenţa dreptului de a depune o plângere în faţa unei autorităţi de supraveghere. Informaţia furnizată ar trebui să explice persoanei vizate că, potrivit art. 77 alin. (1) din GDPR, aceasta are dreptul de a depune o plângere la o autoritate de supraveghere, în special în statul membru în care își are reședința obișnuită, în care se află locul său de muncă sau în care a avut loc presupusa încălcare a Regulamentului (UE) 2016/679.
Art. 13 alin. (2) lit. e) din GDPR – existenţa unei obligaţii de a furniza datele, dacă persoana vizată este obligată să furnizeze aceste date cu caracter personal, precum şi eventualele consecinţe ale nerespectării acestei obligaţii (legale, contractuale sau necesare pentru încheierea unui contract). Grupul de Lucru Art. 29 a exemplificat această cerinţă pe terenul relaţiilor de muncă, context în care poate exista o obligaţie contractuală de a furniza anumite informaţii unui angajator actual sau potenţial. De asemenea, a subliniat faptul că formularele on-line ar trebui să precizeze în mod clar care câmpuri sunt obligatorii, care nu, şi care va fi consecinţa necompletării acelor câmpuri.
Art. 13 alin. (2) lit. f) din GDPR – existenţa unui proces decizional automatizat incluzând crearea de profiluri[20], precum şi informaţii pertinente privind logica utilizată, importanţa şi consecinţele preconizate ale unei asemenea prelucrări pentru persoana vizată. Potrivit Grupului de Lucru Art. 29, operatorii sunt obligaţi în temeiul principiului transparenţei să explice în mod clar şi simplu persoanelor vizate cum funcţionează crearea unor tipologii pe baza unor criterii specifice (profiling-ul), precum şi procesele automatizate de luare a deciziilor. Faptul că prelucrarea este efectuată atât în scopul profilării (indiferent dacă aceasta intră sau nu sub incidența dispozițiilor art. 22 din GDPR), cât și a lua o decizie bazată pe profilul generat trebuie să fie clar pentru persoana vizată. De aceea, persoana vizată are dreptul de a fi informată de către operator și, în anumite circumstanțe, are dreptul de a se opune acestei profilări, indiferent dacă are loc sau nu luarea de decizii individuale automatizate pe baza profilării[21].
Întrucât fiecare prelucrare a datelor este definită de scopul său, prelucrarea ulterioară a datelor cu caracter personal, într-un alt scop decât acela pentru care au fost colectate, constituie o nouă prelucrare de date[22] iar potrivit considerentului (61) „(…) În cazul în care operatorul intenționează să prelucreze datele cu caracter personal într-un alt scop decât cel pentru care acestea au fost colectate, operatorul ar trebui să furnizeze persoanei vizate, înainte de această prelucrare ulterioară, informații privind scopul secundar respectiv și alte informații necesare (…)”.
Astfel, operatorul, înainte de această prelucrare ulterioară, are obligația de a informa persoana vizată asupra noului scop, furnizându-i în același timp orice informații suplimentare relevante din cele precizate în cadrul art. 13 alin. (2) din GDPR, precum perioada stocării datelor, existenţa unui proces decizional automatizat incluzând crearea de profiluri, ş.a.m.d. Potrivit Grupului de Lucru Art. 29 operatorul va trebui să furnizeze persoanei vizate toate informaţiile menţionate de art. 13 alin. (2) din GDPR cu excepţia celor care nu există sau nu au aplicabilitate în cazul concret[23].
Regulamentul (UE) 2016/679 tace în privinţa notificării schimbărilor ce pot interveni ulterior în privinţa informaţiilor deja furnizate persoanei vizate în temeiul art. 13 din GDPR, cu excepţia prelucrării datelor cu caracter personal într-un alt scop decât acela pentru care au fost colectate. În acest caz operatorul trebuie să aibă în vedere principiul echităţii şi al responsabilităţii din perspectiva așteptărilor rezonabile ale persoanelor vizate sau al potenţialului impact al acestor schimbări asupra persoanei vizate.
Prin urmare, dacă are loc o modificare fundamentală a naturii prelucrării, precum în cazul creşterii categoriilor de destinatari sau a transferului către o terţă ţară, sau o modificare care nu este fundamentală în ceea ce priveşte prelucrarea, însă care poate fi relevantă şi cu impact asupra persoanei vizate, operatorul ar trebui să furnizeze această informaţie persoanei vizate înainte de punerea în operă a modificării. Informarea ar avea ca scop a-i acorda persoanei vizate un termen rezonabil pentru a analiza natura şi impactul schimbării şi pentru a-şi exercita drepturile prevăzute de Regulamentul (UE) 2016/679, precum dreptul de a-şi retrage consimțământul sau de a se opune prelucrării.
Spre deosebire de situaţia în care datele cu caracter personal nu au fost obținute de la persoana vizată, nu este obligatoriu ca informarea să conţină detalii privind categoriile de date cu caracter personal vizate, nici sursa din care provin datele cu caracter personal de vreme ce respectivele date au fost colectate de la însăşi persoana vizată.
3. În loc de concluzii
Obligația de informare constituie unul din cei trei piloni ai prelucrării datelor cu caracter personal, alături de principiile referitoare la protecția persoanelor fizice în ceea ce privește prelucrarea datelor lor cu caracter personal și temeiurile juridice ce legitimează prelucrarea. De aceea o executare defectuoasă a acestei obligații nu poate decât să conducă la ştirbirea controlului persoanele fizice asupra propriilor date cu caracter personal, aspect ce relevă tocmai necesitatea unui conţinut adecvat al informării efectuate de operator.
Bibliografie:
– Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor), publicat în Jurnalul Oficial al Uniunii Europene, L 119 din 4 mai 2016;
– Legea 363 din 28 decembrie 2018 privind protecţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, descoperirii, cercetării, urmăririi penale şi combaterii infracţiunilor sau al executării pedepselor, măsurilor educative şi de siguranţă, precum şi privind libera circulaţie a acestor date, publicată în M. Of. nr. 13 din data de 7 ianuarie 2019;
– Legea nr. 16 din 2 aprilie 1996 a Arhivelor Naţionale, republicată în M. Of. nr. 293 din data de 22 aprilie 2014;
– Instrucţiunile privind activitatea de arhivă la creatorii şi deţinătorii de documente, aprobate de conducerea Arhivelor Naţionale prin Ordinul de zi nr. 217 din 23 mai 1996, document consultat la data de 7 mai 2019, disponibil la: http://arhivelenationale.ro/site/download/acte_normative/Instructiuni-pentru-creatorii-de-arhiva.pdf;
– Agenţia pentru Drepturi Fundamentale a Uniunii Europene, Consiliul Europei, Manual de legislaţie europeană privind protecţia datelor, Luxemburg: Oficiul pentru Publicaţii al Uniunii Europene, 2014;
– Article 29 Data Protection Working Party, Opinion on More Harmonised Information Provisions, WP100, adopted on 25th November 2004, document consultat la data de 7 mai 2019, disponibil la: https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2004/wp100_en.pdf;
– Article 29 Data Protection Working Party, Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC, WP217, adopted on 9 April 2014, document şi disponibil la: https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp217_en.pdf, consultat la data de 7 mai 2019;
– Article 29 Data Protection Working Party, Guidelines on the right to data portability, WP242 rev.01, as last revised and adopted on 5 April 2017, document, disponibil la: http://ec.europa.eu/newsroom/document.cfm?doc_id=44099, consultat la data de 7 mai 2019;
– Article 29 Data Protection Working Party, Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679, WP251 rev.01, adopted on 3 October 2017, as last revised and adopted on 6 February 2018, document şi disponibil la: https://ec.europa.eu/newsroom/article29/document.cfm?action=display&doc_id=49826, consultat la data de 7 mai 2019;
– Article 29 Data Protection Working Party, Guidelines on transparency under Regulation 2016/679, WP260 rev. 01, adopted on 27 Nevember 2017, as last Revised and Adopted on 11 Aprilie 2018, document consultat la data de 7 mai 2019, disponibil la: http://ec.europa.eu/newsroom/article29/document.cfm?action=display&doc_id=51025;
– European Data Protection Board, Endorsement 1/2018 of GDPR WP29 guidelines by the EDPB, document consultat la data de 7 mai 2019, disponibil la: https://edpb.europa.eu/sites/edpb/files/files/news/endorsement_of_wp29_documents_en_0.p
df;
– CJUE, Concluziile avocatului general Pedro Cruz Villalón prezentate la 9 iulie 2015, cauza C-201/14, Bara şi alţii, ECLI: EU:C:2015:461;
– CJUE, hotărârea din 1 octombrie 2015, Bara şi alţii, C-201/14, ECLI:EU:C:2015:638, publicată în Repertoriul electronic (Repertoriul general);
– D.-M. Şandru, Protecţia datelor personale: surse legislative, jurisprudenţiale şi soft law, în Pandectele Române nr. 2/2018;
– D.-M. Şandru, Principiul echităţii în prelucrarea datelor cu caracter personal, în Pandectele Române nr. 3/2018;
– D.-M. Şandru, Principiul transparenţei în prelucrarea datelor cu caracter personal, în Pandectele Române nr. 4/2018;
– S. Șandru, Transparența prelucrărilor de date personale, între drept și obligație. O nouă configurare europeană a dreptului de informare, în I. Alexe, N.-D. Ploeșteanu, D.-M. Șandru, Protecţia datelor cu caracter personal. Impactul protecţiei datelor personale asupra mediului de afaceri. Evaluări ale experienţelor româneşti şi noile provocări ale Regulamentului (UE) 2016/679, Ed. Universitară, Bucureşti, 2017;
– G. Zanfir, Protecția datelor personale: drepturile persoanei vizate, Ed. C.H. Beck, București, 2015.
[17] Pentru detalii, a se vedea Article 29 Data Protection Working Party, Guidelines on transparency under Regulation 2016/679, WP260 rev. 01, pp. 33-34.
[18] A se vedea Article 29 Data Protection Working Party, Guidelines on the right to data portability, WP242, as last revised and adopted on 5 April 2017, p. 13.
[19] Ibidem.
[20] A se vedea şi Recomandarea CM/Rec(2010)13 din 23 noiembrie 2010 a Comitetului de Miniștri al Consiliului Europei către statele membre privind protecția persoanelor față de prelucrarea automatizată a datelor cu caracter personal în contextul creării unor tipologii pe baza unor criterii specifice („profiling”).
[21] A se vedea Article 29 Data Protection Working Party, Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679, WP251, revised and adopted on 6 February 2018, pp. 16-17.
[22] A se vedea G. Zanfir, op. cit., p. 89.
[23] Article 29 Data Protection Working Party, Guidelines on transparency under Regulation 2016/679, WP260 rev. 01, pp. 23-24.
Arhive
- februarie 2024
- ianuarie 2024
- decembrie 2023
- noiembrie 2023
- octombrie 2023
- septembrie 2023
- august 2023
- iulie 2023
- iunie 2023
- mai 2023
- aprilie 2023
- martie 2023
- februarie 2023
- ianuarie 2023
- decembrie 2022
- noiembrie 2022
- octombrie 2022
- septembrie 2022
- august 2022
- iulie 2022
- iunie 2022
- mai 2022
- aprilie 2022
- martie 2022
- februarie 2022
- ianuarie 2022
- decembrie 2021
- noiembrie 2021
- octombrie 2021
- septembrie 2021
- august 2021
- iulie 2021
- iunie 2021
- mai 2021
- aprilie 2021
- martie 2021
- februarie 2021
- ianuarie 2021
- decembrie 2020
- noiembrie 2020
- octombrie 2020
- septembrie 2020
- august 2020
- iulie 2020
- iunie 2020
- mai 2020
- aprilie 2020
- martie 2020
- februarie 2020
- ianuarie 2020
- decembrie 2019
- noiembrie 2019
- octombrie 2019
- septembrie 2019
- august 2019
- iulie 2019
- iunie 2019
- mai 2019
- aprilie 2019
- martie 2019
- februarie 2019
- ianuarie 2019
- decembrie 2018
- noiembrie 2018
- octombrie 2018
- septembrie 2018
- august 2018
- iulie 2018
- iunie 2018
- mai 2018
- aprilie 2018
- martie 2018
- februarie 2018
- ianuarie 2018
- decembrie 2017
- noiembrie 2017
- octombrie 2017
- septembrie 2017
- august 2017
- iulie 2017
- iunie 2017
- mai 2017
- aprilie 2017
- martie 2017
- februarie 2017
- ianuarie 2017
- decembrie 2016
- noiembrie 2016
- octombrie 2016
- septembrie 2016
- august 2016
- iulie 2016
- iunie 2016
- mai 2016
- aprilie 2016
- martie 2016
- februarie 2016
- ianuarie 2016
- decembrie 2015
- noiembrie 2015
- octombrie 2015
- septembrie 2015
- august 2015
- iulie 2015
- iunie 2015
- mai 2015
- aprilie 2015
- martie 2015
- februarie 2015
- ianuarie 2015
Calendar
L | Ma | Mi | J | V | S | D |
---|---|---|---|---|---|---|
1 | 2 | 3 | ||||
4 | 5 | 6 | 7 | 8 | 9 | 10 |
11 | 12 | 13 | 14 | 15 | 16 | 17 |
18 | 19 | 20 | 21 | 22 | 23 | 24 |
25 | 26 | 27 | 28 | 29 | 30 | 31 |
Lasă un răspuns
Trebuie să fii autentificat pentru a publica un comentariu.