Conţinutul informării în situația în care datele cu caracter personal sunt colectate de la însăşi persoana vizată

Art. 13 alin. (2) lit. b) din GDPR – existența dreptului de acces, a dreptului la rectificarea și ștergerea datelor, a dreptului la restricționarea prelucrării, a dreptului de opoziție și a dreptului la portabilitatea datelor. Potrivit Grupului de Lucru Art. 29, informarea ar trebui să fie specifică prelucrării respective și să conțină un rezumat a ceea ce implică fiecare drept și modul în care persoana vizată poate să-l exercite, precum și orice limitări ale acestui drept[17]. Spre deosebire de celelalte drepturi ale persoanei vizate, potrivit art. 21 alin. (4) din GDPR, dreptul de opoziție trebuie adus în mod explicit în atenția persoanei vizate cel târziu în momentul primei comunicări cu aceasta și trebuie prezentat în mod clar și separat de orice alte informații.

În ceea ce privește dreptul la portabilitatea datelor, Grupul de Lucru Art. 29 a subliniat că operatorii trebuie să se asigure că informațiile furnizate persoanei vizate disting dreptul la portabilitate de celelalte drepturi, recomandând ca operatorii să explice în mod clar diferența dintre tipurile de date pe care persoana vizată le poate obține în urma exercitării dreptului de acces, pe de o parte, și a dreptului la portabilitatea datelor, pe de altă parte[18]. De asemenea, Grupul de Lucru Art. 29 a recomandat ca operatorii să includă întotdeauna o informare privind dreptul la portabilitatea datelor atunci când persoana vizată închide un cont, ceea ce ar permite utilizatorilor să facă bilanțul datelor lor personale și să le transmită cu ușurință către propriul dispozitiv sau către un alt furnizor înainte de încetarea unui contract[19].

Art. 13 alin. (2) lit. c) din GDPR – existența dreptului persoanei vizate de a-și retrage consimțământul atunci când prelucrarea se bazează pe art. 6 alin. (1) lit. a) sau art. 9 alin. (2) lit. a) din GDPR privind prelucrarea unor categorii speciale de date cu caracter personal. Potrivit art. 7 alin (3) din GDPR, persoana vizată are dreptul să își retragă în orice moment consimțământul, însă retragerea consimțământului nu afectează legalitatea prelucrării efectuate pe baza consimțământului înainte de retragerea acestuia, iar retragerea consimțământului se face la fel de simplu ca acordarea acestuia. Prin urmare informarea persoanei vizate trebuie să includă modul în care aceasta își poate retrage consimțământul având în vedere și faptul că retragerea consimțământului trebuie să fie la fel de facilă precum exprimarea acestuia.

Art. 13 alin. (2) lit. d) din GDPR – existența dreptului de a depune o plângere în fața unei autorități de supraveghere. Informația furnizată ar trebui să explice persoanei vizate că, potrivit art. 77 alin. (1) din GDPR, aceasta are dreptul de a depune o plângere la o autoritate de supraveghere, în special în statul membru în care își are reședința obișnuită, în care se află locul său de muncă sau în care a avut loc presupusa încălcare a Regulamentului (UE) 2016/679.

Art. 13 alin. (2) lit. e) din GDPR – existența unei obligații de a furniza datele, dacă persoana vizată este obligată să furnizeze aceste date cu caracter personal, precum și eventualele consecințe ale nerespectării acestei obligații (legale, contractuale sau necesare pentru încheierea unui contract). Grupul de Lucru Art. 29 a exemplificat această cerință pe terenul relațiilor de muncă, context în care poate exista o obligație contractuală de a furniza anumite informații unui angajator actual sau potențial. De asemenea, a subliniat faptul că formularele on-line ar trebui să precizeze în mod clar care câmpuri sunt obligatorii, care nu, și care va fi consecința necompletării acelor câmpuri.

Art. 13 alin. (2) lit. f) din GDPR – existența unui proces decizional automatizat incluzând crearea de profiluri[20], precum și informații pertinente privind logica utilizată, importanța și consecințele preconizate ale unei asemenea prelucrări pentru persoana vizată. Potrivit Grupului de Lucru Art. 29, operatorii sunt obligați în temeiul principiului transparenței să explice în mod clar și simplu persoanelor vizate cum funcționează crearea unor tipologii pe baza unor criterii specifice (profiling-ul), precum și procesele automatizate de luare a deciziilor. Faptul că prelucrarea este efectuată atât în scopul profilării (indiferent dacă aceasta intră sau nu sub incidența dispozițiilor art. 22 din GDPR), cât și a lua o decizie bazată pe profilul generat trebuie să fie clar pentru persoana vizată. De aceea, persoana vizată are dreptul de a fi informată de către operator și, în anumite circumstanțe, are dreptul de a se opune acestei profilări, indiferent dacă are loc sau nu luarea de decizii individuale automatizate pe baza profilării[21].

Întrucât fiecare prelucrare a datelor este definită de scopul său, prelucrarea ulterioară a datelor cu caracter personal, într-un alt scop decât acela pentru care au fost colectate, constituie o nouă prelucrare de date[22] iar potrivit considerentului (61) „(…) În cazul în care operatorul intenționează să prelucreze datele cu caracter personal într-un alt scop decât cel pentru care acestea au fost colectate, operatorul ar trebui să furnizeze persoanei vizate, înainte de această prelucrare ulterioară, informații privind scopul secundar respectiv și alte informații necesare (…)”.

Astfel, operatorul, înainte de această prelucrare ulterioară, are obligația de a informa persoana vizată asupra noului scop, furnizându-i în același timp orice informații suplimentare relevante din cele precizate în cadrul art. 13 alin. (2) din GDPR, precum perioada stocării datelor, existența unui proces decizional automatizat incluzând crearea de profiluri, ș.a.m.d. Potrivit Grupului de Lucru Art. 29 operatorul va trebui să furnizeze persoanei vizate toate informațiile menționate de art. 13 alin. (2) din GDPR cu excepția celor care nu există sau nu au aplicabilitate în cazul concret[23].

Regulamentul (UE) 2016/679 tace în privința notificării schimbărilor ce pot interveni ulterior în privința informațiilor deja furnizate persoanei vizate în temeiul art. 13 din GDPR, cu excepția prelucrării datelor cu caracter personal într-un alt scop decât acela pentru care au fost colectate. În acest caz operatorul trebuie să aibă în vedere principiul echității și al responsabilității din perspectiva așteptărilor rezonabile ale persoanelor vizate sau al potențialului impact al acestor schimbări asupra persoanei vizate.

Prin urmare, dacă are loc o modificare fundamentală a naturii prelucrării, precum în cazul creșterii categoriilor de destinatari sau a transferului către o terță țară, sau o modificare care nu este fundamentală în ceea ce privește prelucrarea, însă care poate fi relevantă și cu impact asupra persoanei vizate, operatorul ar trebui să furnizeze această informație persoanei vizate înainte de punerea în operă a modificării. Informarea ar avea ca scop a-i acorda persoanei vizate un termen rezonabil pentru a analiza natura și impactul schimbării și pentru a-și exercita drepturile prevăzute de Regulamentul (UE) 2016/679, precum dreptul de a-și retrage consimțământul sau de a se opune prelucrării.

Spre deosebire de situația în care datele cu caracter personal nu au fost obținute de la persoana vizată, nu este obligatoriu ca informarea să conțină detalii privind categoriile de date cu caracter personal vizate, nici sursa din care provin datele cu caracter personal de vreme ce respectivele date au fost colectate de la însăși persoana vizată.

3. În loc de concluzii

Obligația de informare constituie unul din cei trei piloni ai prelucrării datelor cu caracter personal, alături de principiile referitoare la protecția persoanelor fizice în ceea ce privește prelucrarea datelor lor cu caracter personal și temeiurile juridice ce legitimează prelucrarea. De aceea o executare defectuoasă a acestei obligații nu poate decât să conducă la știrbirea controlului persoanele fizice asupra propriilor date cu caracter personal, aspect ce relevă tocmai necesitatea unui conținut adecvat al informării efectuate de operator.

Bibliografie:

– Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor), publicat în Jurnalul Oficial al Uniunii Europene, L 119 din 4 mai 2016;

– Legea 363 din 28 decembrie 2018 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, descoperirii, cercetării, urmăririi penale și combaterii infracțiunilor sau al executării pedepselor, măsurilor educative și de siguranță, precum și privind libera circulație a acestor date, publicată în M. Of. nr. 13 din data de 7 ianuarie 2019;

– Legea nr. 16 din 2 aprilie 1996 a Arhivelor Naționale, republicată în M. Of. nr. 293 din data de 22 aprilie 2014;

– Instrucțiunile privind activitatea de arhivă la creatorii și deținătorii de documente, aprobate de conducerea Arhivelor Naționale prin Ordinul de zi nr. 217 din 23 mai 1996, document consultat la data de 7 mai 2019, disponibil la: http://arhivelenationale.ro/site/download/acte_normative/Instructiuni-pentru-creatorii-de-arhiva.pdf;

– Agenția pentru Drepturi Fundamentale a Uniunii Europene, Consiliul Europei, Manual de legislație europeană privind protecția datelor, Luxemburg: Oficiul pentru Publicații al Uniunii Europene, 2014;

– Article 29 Data Protection Working Party, Opinion on More Harmonised Information Provisions, WP100, adopted on 25th November 2004, document consultat la data de 7 mai 2019, disponibil la: https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2004/wp100_en.pdf;

– Article 29 Data Protection Working Party, Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC, WP217, adopted on 9 April 2014, document și disponibil la: https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp217_en.pdf, consultat la data de 7 mai 2019;

– Article 29 Data Protection Working Party, Guidelines on the right to data portability, WP242 rev.01, as last revised and adopted on 5 April 2017, document, disponibil la: http://ec.europa.eu/newsroom/document.cfm?doc_id=44099, consultat la data de 7 mai 2019;

– Article 29 Data Protection Working Party, Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679, WP251 rev.01, adopted on 3 October 2017, as last revised and adopted on 6 February 2018, document și disponibil la: https://ec.europa.eu/newsroom/article29/document.cfm?action=display&doc_id=49826, consultat la data de 7 mai 2019;

– Article 29 Data Protection Working Party, Guidelines on transparency under Regulation 2016/679, WP260 rev. 01, adopted on 27 Nevember 2017, as last Revised and Adopted on 11 Aprilie 2018, document consultat la data de 7 mai 2019, disponibil la: http://ec.europa.eu/newsroom/article29/document.cfm?action=display&doc_id=51025;

– European Data Protection Board, Endorsement 1/2018 of GDPR WP29 guidelines by the EDPB, document consultat la data de 7 mai 2019, disponibil la: https://edpb.europa.eu/sites/edpb/files/files/news/endorsement_of_wp29_documents_en_0.p
df;

– CJUE, Concluziile avocatului general Pedro Cruz Villalón prezentate la 9 iulie 2015, cauza C-201/14, Bara și alții, ECLI: EU:C:2015:461;

– CJUE, hotărârea din 1 octombrie 2015, Bara și alții, C-201/14, ECLI:EU:C:2015:638, publicată în Repertoriul electronic (Repertoriul general);

– D.-M. Șandru, Protecția datelor personale: surse legislative, jurisprudențiale și soft law, în Pandectele Române nr. 2/2018;

– D.-M. Șandru, Principiul echității în prelucrarea datelor cu caracter personal, în Pandectele Române nr. 3/2018;

– D.-M. Șandru, Principiul transparenței în prelucrarea datelor cu caracter personal, în Pandectele Române nr. 4/2018;

– S. Șandru, Transparența prelucrărilor de date personale, între drept și obligație. O nouă configurare europeană a dreptului de informare, în I. Alexe, N.-D. Ploeșteanu, D.-M. Șandru, Protecția datelor cu caracter personal. Impactul protecției datelor personale asupra mediului de afaceri. Evaluări ale experiențelor românești și noile provocări ale Regulamentului (UE) 2016/679, Ed. Universitară, București, 2017;

– G. Zanfir, Protecția datelor personale: drepturile persoanei vizate, Ed. C.H. Beck, București, 2015.


[17] Pentru detalii, a se vedea Article 29 Data Protection Working Party, Guidelines on transparency under Regulation 2016/679, WP260 rev. 01, pp. 33-34.

[18] A se vedea Article 29 Data Protection Working Party, Guidelines on the right to data portability, WP242, as last revised and adopted on 5 April 2017, p. 13.

[19] Ibidem.

[20] A se vedea și Recomandarea CM/Rec(2010)13 din 23 noiembrie 2010 a Comitetului de Miniștri al Consiliului Europei către statele membre privind protecția persoanelor față de prelucrarea automatizată a datelor cu caracter personal în contextul creării unor tipologii pe baza unor criterii specifice („profiling”).

[21] A se vedea Article 29 Data Protection Working Party, Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679, WP251, revised and adopted on 6 February 2018, pp. 16-17.

[22] A se vedea G. Zanfir, op. cit., p. 89.

[23] Article 29 Data Protection Working Party, Guidelines on transparency under Regulation 2016/679, WP260 rev. 01, pp. 23-24.

Conținutul informării în situația în care datele cu caracter personal sunt colectate de la însăși persoana vizată was last modified: octombrie 16th, 2019 by Silviu-Dorin Șchiopu

Numai utilizatorii autentificați pot scrie comentarii

Arhiva Revista