Obligația de informare privind prelucrarea datelor cu caracter personal

Obligația de informare privind prelucrarea datelor cu caracter personal conform Regulamentului general privind protecția datelor nr. 679/2016

Regulamentul nr. 679 din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește  prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor – RGPD) va reprezenta începând cu data de 25 mai 2018 principalul cadru normativ European privind prelucrarea datelor cu caracter personal, direct aplicabil tuturor statelor membre. Regulamentul urmărește o armonizare a normelor existente în domeniul protecției datelor cu caracter personal pe întreg teritoriul Uniunii Europene, o întărire a principiilor și a obligațiilor prevăzute de Directiva 95/46/CE, precum și introducerea unor noi prevederi menite să aducă legislația la același nivel cu practica vastă și complexă.

RGPD este o lucrare legislativă extrem de cuprinzătoare, iar implementarea sa va presupune cu siguranță o bună colaborare a tuturor părților vizate de prevederile sale, în special între operatorul de prelucrare a datelor cu caracter personal și autoritatea de supraveghere din fiecare stat membru.

Finalizând analiza celor 173 de puncte din preambulul RGPD ce explică și completează articolele propriu-zise ale Regulamentului, precum și analiza articolelor 1-11 ce stabilesc cadrul de aplicare al acestuia (obiect, domeniu de aplicare, definiții), dar și principiile ce guvernează prelucrarea datelor cu caracter personal, vom ajunge la Capitolul III al RGPD ce prevede „Drepturile persoanei vizate”.

     Prezentul articol urmăreste astfel îndeosebi analiza art. 12, 13 și 14 ale RGPD ce reglementează obligațiile operatorului de informare a persoanei vizate privind prelucrarea datelor sale cu caracter personal.

Unul dintre principiile fundamentale pe care RGPD îl impune a fi respectat în cadrul oricărei operațiuni de prelucrare a datelor cu caracter personal este principiul transparenței, menționat în mod expres la art. 5 alin. (1) din RGPD:” (1) Datele cu caracter personal sunt: a) prelucrate în mod legal, echitabil și transparent față de persoana vizată (“legalitate,echitate și transparență”)”.

Întelesul noțiunii de „transparență” este apoi detaliat la art. 12 RGPD, care impune în primul rând operatorului obligația de a lua măsuri adecvate pentru a furniza persoanei vizate orice informații menționate la articolele 13 și 14.

Trebuie menționat faptul că principiul transparenței reglementează în special relația dintre operatorul de date și persoana vizată. Conform acestui principiu operațiunile de prelucrare trebuie să fie explicate persoanelor vizate într-un mod ușor accesibil, care să garanteze că acestea înțeleg ce se întâmplă cu datele lor cu caracter personal.

• Dreptul la informare – comparație legislativă

Dreptul la informare al persoanelor vizate este în prezent prevăzut și de art. 12 din Legea nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date, însă într-o formă restrânsă. RGPD completează lista informațiilor.

Astfel, ambele acte normative impun informarea persoanei vizate asupra identității operatorului și a reprezentantului acestuia, dacă este cazul; scopurile în care sunt prelucrate datele cu caracter personal (RGPD include și temeiul juridic al prelucrării); destinatarii sau categoriile de destinatari ai datelor cu caracter personal, precum și asupra existenței drepturilor aparținând persoanei vizate cu privire la datele sale personale.

În plus, RGPD prevede un set nou de informații ce trebuie aduse la cunostința persoanei vizate în momentul obținerii datelor cu caracter personal:

• datele de contact ale responsabilului cu protecția datelor (după caz);
• daca este cazul, intenția operatorului de a transfera date cu caracter personal către o țară terță sau o organizație internațională;
• perioada pentru care vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă;
• atunci când prelucrarea se bazează pe consimțământul persoanei vizate, existența dreptului de a retrage consimțământul în orice moment, fără a afecta legalitatea prelucrării efectuate pe baza consimțământului înainte de retragerea acestuia;
• dacă furnizarea de date cu caracter personal reprezintă o obligație legală sau contractuală sau o obligație necesară pentru încheierea unui contract, precum și dacă persoana vizată este obligată să furnizeze aceste date cu caracter personal și care sunt eventualele consecințe ale nerespectării acestei obligații;
• în cazul existenței unui proces decizional automatizat incluzând crearea de profiluri, menționat la articolul 22 alineatele (1) și (4), precum și, cel puțin în cazurile respective, informații pertinente privind logica utilizată și privind importanța și consecințele preconizate ale unei astfel de prelucrări pentru persoana vizată.

Art. 13 alin. (3) din RGPD prevede de asemenea faptul că în cazul în care operatorul intenționează să prelucreze ulterior datele cu caracter personal într-un alt scop decât cel pentru care acestea au fost colectate, operatorul furnizează persoanei vizate, înainte de această prelucrare ulterioară, informații privind scopul secundar respectiv și orice informații suplimentare relevante, în conformitate cu art. 13 alineatul (2).

Aspecte suplimentare privind obligația de informare se adaugă în sarcina operatorului în cazul în care datele cu caracter personal nu au fost obținute de la persoana vizată, astfel cum prevede art. 14 RGPD. Este notabilă obligația de informare privind sursa din care provin datele cu caracter personal și, dacă este cazul, dacă acestea provin din surse disponibile public, ce reprezintă desigur o concretizare a principiului transparenței.

• Ce trebuie făcut în cazul datelor cu caracter personal prelucrate înainte de intrarea în vigoare a RGPD

Devine astfel evident faptul că urmărind îndeplinirea obligațiilor legale existente în prezent, operatorii de date cu caracter personal nu vor respecta și RGPD, fiind astfel necesară o nouă informare a persoanelor vizate, dacă datele cu caracter personal au fost deja prelucrate și sunt utilizate conform scopurilor declarate.

Conform avizelor emise de instituțiile europene competente în domeniul protecției datelor cu caracter personal, cu referire aici îndeosebi la avizele Grupului de Lucru înființat în baza art. 29 din Directiva 95/46/CE (Grupul de Lucru art.29), aflat în coordonarea Comisiei Europene, notificările privind protecția datelor trebuie să fie concise și inteligibile.

Un alt criteriu stabilit de art. 12 alin. (1) din RGPD este că informațiile trebuie furnizate în scris sau prin alte mijloace, inclusiv, atunci când este oportun, în format electronic, precum și în combinație cu pictograme standardizate, după cum prevede art. 12 alin. (7).

Informarea în format electronic este permisă atunci când acest mod de comunicare este utilizat în mod obișnuit cu persoana vizată, când aceasta din urmă are acces la un mijloc de analiză a informațiilor digitale.

Recomandarea Grupului de Lucru art. 29 este ca orice informare în format electronic să fie realizată în mod diferențiat/fragmentat/punctual (noțiune oficială în limba engleza fiind „layered privacy statement”), astfel încât persoana vizată să poată accesa cât mai clar în mod distinctiv orice porțiune de informație va considera a fi relevantă. Alte mijloace electronice de informare pot include pop-up-urile contextuale care apar chiar înainte ca persoana vizată să ofere datele personale, imaginile 3D sau notificările ce se suprapun paginii principale. Alte mijloace electronice grafice pot fi alăturate notificărilor scrise punctuale, incluzând aici alerte video sau audio[1]. „Alte mijloace” pot include animații sau infografice.

În cazul datelor colectate și utilizate înainte de intrarea în vigoare a RGPD operatorul va trebui să pregătească o informare privind modificarea politicii de prelucrare a datelor cu caracter personal, în care vor fi incluse și noile informații ce trebuie aduse în atenția persoanei vizate. Informarea privind modificarea operată trebuie realizată astfel încât să fie notabilă, să atragă atenția oricărei persoane vizate, în special în cazul utilizatorilor unui site web. Sunt recomandate astfel notificările în format „hard-copy”: e-mail, scrisoare, etc.[2], iar conținutul acestora va trebui să se refere strict la modificările privind prelucrarea datelor cu caracter personal, fără a fi alăturate unor informații standard de marketing.

Acele practici prin intermediul cărora operatorul recomandă doar persoanei vizate să verifice periodic politica de prelucrare a datelor cu caracter personal pentru a fi la curent cu orice modificări sau actualizări nu sunt corecte sau suficiente.

Putem concluziona deci că RGPD urmărește ca persoana vizată să fie informată în mod efectiv, asigurând un „dialog” continuu întreținut de către operator privind activitatea sa de prelucrare a datelor cu caracter personal, indiferent de canalul de distribuție al mesajului.

[1] Punctele 12 si 30 din Ghidul privind transparența conform Regulamentului 2016/679 al Grupului de Lucru art. 29; http://ec.europa.eu/newsroom/just/document.cfm?doc_id=48850

[2] Punctul 22 din Ghidul privind transparența conform Regulamentului 2016/679 al Grupului de Lucru art. 29; http://ec.europa.eu/newsroom/just/document.cfm?doc_id=48850