Obligația de informare privind prelucrarea datelor cu caracter personal

Obligația de informare privind prelucrarea datelor cu caracter personal conform Regulamentului general privind protecția datelor nr. 679/2016

Regulamentul nr. 679 din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește  prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor – RGPD) va reprezenta începând cu data de 25 mai 2018 principalul cadru normativ European privind prelucrarea datelor cu caracter personal, direct aplicabil tuturor statelor membre. Regulamentul urmărește o armonizare a normelor existente în domeniul protecției datelor cu caracter personal pe întreg teritoriul Uniunii Europene, o întărire a principiilor și a obligațiilor prevăzute de Directiva 95/46/CE, precum și introducerea unor noi prevederi menite să aducă legislația la același nivel cu practica vastă și complexă.

RGPD este o lucrare legislativă extrem de cuprinzătoare, iar implementarea sa va presupune cu siguranță o bună colaborare a tuturor părților vizate de prevederile sale, în special între operatorul de prelucrare a datelor cu caracter personal și autoritatea de supraveghere din fiecare stat membru.

Finalizând analiza celor 173 de puncte din preambulul RGPD ce explică și completează articolele propriu-zise ale Regulamentului, precum și analiza articolelor 1-11 ce stabilesc cadrul de aplicare al acestuia (obiect, domeniu de aplicare, definiții), dar și principiile ce guvernează prelucrarea datelor cu caracter personal, vom ajunge la Capitolul III al RGPD ce prevede „Drepturile persoanei vizate”.

     Prezentul articol urmăreste astfel îndeosebi analiza art. 12, 13 și 14 ale RGPD ce reglementează obligațiile operatorului de informare a persoanei vizate privind prelucrarea datelor sale cu caracter personal.

Unul dintre principiile fundamentale pe care RGPD îl impune a fi respectat în cadrul oricărei operațiuni de prelucrare a datelor cu caracter personal este principiul transparenței, menționat în mod expres la art. 5 alin. (1) din RGPD:” (1) Datele cu caracter personal sunt: a) prelucrate în mod legal, echitabil și transparent față de persoana vizată (“legalitate,echitate și transparență”)”.

Întelesul noțiunii de „transparență” este apoi detaliat la art. 12 RGPD, care impune în primul rând operatorului obligația de a lua măsuri adecvate pentru a furniza persoanei vizate orice informații menționate la articolele 13 și 14.

Trebuie menționat faptul că principiul transparenței reglementează în special relația dintre operatorul de date și persoana vizată. Conform acestui principiu operațiunile de prelucrare trebuie să fie explicate persoanelor vizate într-un mod ușor accesibil, care să garanteze că acestea înțeleg ce se întâmplă cu datele lor cu caracter personal.

  • Dreptul la informare – comparație legislativă

Dreptul la informare al persoanelor vizate este în prezent prevăzut și de art. 12 din Legea nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date, însă într-o formă restrânsă. RGPD completează lista informațiilor.

Astfel, ambele acte normative impun informarea persoanei vizate asupra identității operatorului și a reprezentantului acestuia, dacă este cazul; scopurile în care sunt prelucrate datele cu caracter personal (RGPD include și temeiul juridic al prelucrării); destinatarii sau categoriile de destinatari ai datelor cu caracter personal, precum și asupra existenței drepturilor aparținând persoanei vizate cu privire la datele sale personale.

În plus, RGPD prevede un set nou de informații ce trebuie aduse la cunostința persoanei vizate în momentul obținerii datelor cu caracter personal:

  • datele de contact ale responsabilului cu protecția datelor (după caz);
  • daca este cazul, intenția operatorului de a transfera date cu caracter personal către o țară terță sau o organizație internațională;
  • perioada pentru care vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă;
  • atunci când prelucrarea se bazează pe consimțământul persoanei vizate, existența dreptului de a retrage consimțământul în orice moment, fără a afecta legalitatea prelucrării efectuate pe baza consimțământului înainte de retragerea acestuia;
  • dacă furnizarea de date cu caracter personal reprezintă o obligație legală sau contractuală sau o obligație necesară pentru încheierea unui contract, precum și dacă persoana vizată este obligată să furnizeze aceste date cu caracter personal și care sunt eventualele consecințe ale nerespectării acestei obligații;
  • în cazul existenței unui proces decizional automatizat incluzând crearea de profiluri, menționat la articolul 22 alineatele (1) și (4), precum și, cel puțin în cazurile respective, informații pertinente privind logica utilizată și privind importanța și consecințele preconizate ale unei astfel de prelucrări pentru persoana vizată.

Art. 13 alin. (3) din RGPD prevede de asemenea faptul că în cazul în care operatorul intenționează să prelucreze ulterior datele cu caracter personal într-un alt scop decât cel pentru care acestea au fost colectate, operatorul furnizează persoanei vizate, înainte de această prelucrare ulterioară, informații privind scopul secundar respectiv și orice informații suplimentare relevante, în conformitate cu art. 13 alineatul (2).

Aspecte suplimentare privind obligația de informare se adaugă în sarcina operatorului în cazul în care datele cu caracter personal nu au fost obținute de la persoana vizată, astfel cum prevede art. 14 RGPD. Este notabilă obligația de informare privind sursa din care provin datele cu caracter personal și, dacă este cazul, dacă acestea provin din surse disponibile public, ce reprezintă desigur o concretizare a principiului transparenței.

 

  • Ce trebuie făcut în cazul datelor cu caracter personal prelucrate înainte de intrarea în vigoare a RGPD

Devine astfel evident faptul că urmărind îndeplinirea obligațiilor legale existente în prezent, operatorii de date cu caracter personal nu vor respecta și RGPD, fiind astfel necesară o nouă informare a persoanelor vizate, dacă datele cu caracter personal au fost deja prelucrate și sunt utilizate conform scopurilor declarate.

Conform avizelor emise de instituțiile europene competente în domeniul protecției datelor cu caracter personal, cu referire aici îndeosebi la avizele Grupului de Lucru înființat în baza art. 29 din Directiva 95/46/CE (Grupul de Lucru art.29), aflat în coordonarea Comisiei Europene, notificările privind protecția datelor trebuie să fie concise și inteligibile.

Un alt criteriu stabilit de art. 12 alin. (1) din RGPD este că informațiile trebuie furnizate în scris sau prin alte mijloace, inclusiv, atunci când este oportun, în format electronic, precum și în combinație cu pictograme standardizate, după cum prevede art. 12 alin. (7).

Informarea în format electronic este permisă atunci când acest mod de comunicare este utilizat în mod obișnuit cu persoana vizată, când aceasta din urmă are acces la un mijloc de analiză a informațiilor digitale.

Recomandarea Grupului de Lucru art. 29 este ca orice informare în format electronic să fie realizată în mod diferențiat/fragmentat/punctual (noțiune oficială în limba engleza fiind „layered privacy statement”), astfel încât persoana vizată să poată accesa cât mai clar în mod distinctiv orice porțiune de informație va considera a fi relevantă. Alte mijloace electronice de informare pot include pop-up-urile contextuale care apar chiar înainte ca persoana vizată să ofere datele personale, imaginile 3D sau notificările ce se suprapun paginii principale. Alte mijloace electronice grafice pot fi alăturate notificărilor scrise punctuale, incluzând aici alerte video sau audio[1]. „Alte mijloace” pot include animații sau infografice.

În cazul datelor colectate și utilizate înainte de intrarea în vigoare a RGPD operatorul va trebui să pregătească o informare privind modificarea politicii de prelucrare a datelor cu caracter personal, în care vor fi incluse și noile informații ce trebuie aduse în atenția persoanei vizate. Informarea privind modificarea operată trebuie realizată astfel încât să fie notabilă, să atragă atenția oricărei persoane vizate, în special în cazul utilizatorilor unui site web. Sunt recomandate astfel notificările în format „hard-copy”: e-mail, scrisoare, etc.[2], iar conținutul acestora va trebui să se refere strict la modificările privind prelucrarea datelor cu caracter personal, fără a fi alăturate unor informații standard de marketing.

Acele practici prin intermediul cărora operatorul recomandă doar persoanei vizate să verifice periodic politica de prelucrare a datelor cu caracter personal pentru a fi la curent cu orice modificări sau actualizări nu sunt corecte sau suficiente.

Putem concluziona deci că RGPD urmărește ca persoana vizată să fie informată în mod efectiv, asigurând un „dialog” continuu întreținut de către operator privind activitatea sa de prelucrare a datelor cu caracter personal, indiferent de canalul de distribuție al mesajului.

[1] Punctele 12 si 30 din Ghidul privind transparența conform Regulamentului 2016/679 al Grupului de Lucru art. 29; http://ec.europa.eu/newsroom/just/document.cfm?doc_id=48850

[2] Punctul 22 din Ghidul privind transparența conform Regulamentului 2016/679 al Grupului de Lucru art. 29; http://ec.europa.eu/newsroom/just/document.cfm?doc_id=48850

 

10 Comments

  1. February 15, 2018 at 7:02 pm

    Este un articol excelent,f bine documentat.Excelentă paralela cu Legea nr 677/2001.Este extrem de util în pregătirea operatorilor pentru implementarea noului regulament.

    • Grecu si Asociații-Reply
      February 16, 2018 at 7:35 am

      Vă mulțumim pentru apreciere!

  2. Mihai-Reply
    November 14, 2018 at 8:35 pm

    Buna ziua, este necesara notificarea de prelucare a datelor de catre locator (PFA), locatarilor in contractele de inchiriere (si chitante/facturi) a unor spatii intr-un imobil? Va multumesc!

    • Grecu si Asociații-Reply
      November 20, 2018 at 7:48 am

      Bună ziua,

      Informarea trebuie să existe și în cazul expus de dumneavoastră. Locatorul – PFA este operator în sensul GDPR și, prin urmare, îi revin toate obligațiile legale ce decurg din această calitate, printre care și cea de informare.
      Este exclusă de la aplicarea GDPR activitatea de prelucrare a datelor realizată de o persoana fizică exclusiv în scop personal sau domestic, iar situația descrisă de dumneavoastră nu se încadrează în această excepție.

      O zi frumoasa.
      Grecu si Asociatii

  3. serban-Reply
    January 23, 2019 at 4:03 pm

    Buna seara,
    In cazul in care persoana vizata solicita o informare cu privire la datele cu caracter personal ale acesteia, in calitate de fost angajat, acestea vor fi oferite strict persoanei vizate, sau exista posibilitatea furnizarii acestora unei persoane imputernicite de catre aceasta?
    Multumesc

    • Grecu si Asociații-Reply
      January 31, 2019 at 12:34 pm

      Bună ziua!

      Există posibilitatea de a exercita dreptul de acces la datele cu caracter personal prin imputernicit doar în ipoteza în care împuternicirea face dovada fară dubiu a mandatului, acest lucru neputând fi realizat printr-o împuternicire sub semnatură privată. Recomandăm încheierea unei procure notariale care reprezintă o probă certificată transmiterii dreptului la acces.

      O altă situație în care împuternicitul poate beneficia de accesul la informații este aceea în care acest drept a fost dat de către persoana vizată printr-un alt act în perioada în care îndeplinea calitatea de angajat al operatorului de date cu caracter personal.

      O zi frumoasă!
      Grecu și Asociații

  4. March 8, 2019 at 6:48 am

    Dacă un contract de telefonie mobilă este cesionat de o firmă de recuperare a debitelor restante aceasta poate folosi datele cu caracter personal fără acordul titularului de contract?

    • Grecu si Asociații-Reply
      March 12, 2019 at 1:30 pm

      Buna ziua,

      In cazul in care in contractul de telefonie mobila se specifica posibilitatea furnizoului de servicii de a cesiona creantele catre terti, beneficiarul de contract si-a dat acordul prin semnare sa se transmita datele catre firma cesionara. Cu toate acestea, datele cu caracter personal furnizate in scopul contractului pot fi folosite de compania cesionara doar in limita acestuia, adica pentru recuperarea sumelor neplatite cu care figureaza debitorul si nu in alte scopuri pentru care nu si-a exprimat un consimtamant valabil.

      O zi frumoasa,
      Grecu si Asociatii

  5. Carina-Reply
    May 23, 2019 at 5:39 pm

    Buna ziua. In cazul in care se semneaza un contract oarecare intre persoane juridice pentru achizitionarea unui bun sau un serviciu, singurele date cu catacter personal care se proceseaza fiind cele ale administratorilor care semneaza contractul – e necesar sa fie incluse clauze speciale privind prelucrarea acestor date? Multumesc

    • Grecu si Asociații-Reply
      June 10, 2019 at 6:47 am

      Buna ziua,

      Este suficient sa se mentioneze in cuprinsul contractului faptul ca orice date cu caracter personal se vor prelucra, acest fapt se va realiza doar in scopul indeplinirii obligatiilor contractuale.

      Echipa Grecu si Asociatii

Leave A Comment