Privire de ansamblu

Operatorii trebuie să furnizeze note de informare, pentru a asigura transparența prelucrării.

  • Trebuie furnizate informații specifice și există, de asemenea, o obligație generală de transparență.
  • O mare parte din informațiile suplimentare nu vor fi dificil de furnizat – deși pentru organizații poate fi dificil să ofere informații despre perioadele de stocare.
  • Se pune accent pe note clare și concise.

Lista de acțiuni

  • Auditați notele de informare existente, revizuiți-le și actualizați-le.
  • Pentru datele colectate indirect, asigurați-vă că notificarea se face la momentul potrivit.
  • Colaborați cu partenerii relevanți care pot colecta date în numele organizației dumneavoastră pentru a atribui responsabilitatea pentru revizuirea, actualizarea și aprobarea notelor.

Comentarii

Principiul prelucrării „corecte și transparente” înseamnă că operatorul trebuie să furnizeze persoanelor fizice informații cu privire la prelucrarea datelor acestora, cu excepția cazului în care persoana respectivă deține deja aceste informații. Informațiile care trebuie furnizate sunt specificate în RGPD și enumerate mai jos. Operatorul poate, de asemenea, să furnizeze informații suplimentare dacă, în circumstanțele și în contextul specific, acest lucru este necesar pentru ca prelucrarea să fie corectă și transparentă.

Informațiile trebuie furnizate într-un mod concis, transparent, inteligibil și ușor accesibil, folosind un limbaj clar și simplu (în special în cazul în care persoana vizată este un copil).

Ce trebuie să transmită un operator persoanelor fizice?

RGPD necesită furnizarea de informații mai detaliate decât Directiva privind protecția datelor – deși o mare parte din informațiile suplimentare sunt deja obligatorii în unele state membre.

Informațiile care nu sunt specificate în Directiva privind protecția datelor sunt indicate cu caractere cursive.

  • Identitatea și datele de contact ale operatorului (sau reprezentantului acestuia, pentru un operator stabilit din afara UE); datele de contact ale responsabilului cu protecția datelor.
  • Scopurile prelucrării și baza legală pentru prelucrare – inclusiv „interesul legitim” urmărit de operator (sau terța parte), dacă acesta este temeiul juridic.
  • Destinatarii sau categoriile de destinatari.
  • Detalii privind transferurile de date în afara UE:
  • inclusiv modul în care datele vor fi protejate (de exemplu, destinatarul se află într-o țară adecvată; regulile corporative obligatorii (BCR) sunt în vigoare) și
  • modul în care persoana poate obține o copie a BCR sau alte garanții sau unde au fost puse la dispoziție aceste garanții.
  • Perioada de stocare a datelor – dacă nu este posibil, atunci care sunt criteriile utilizate pentru stabilirea acesteia.
  • Că persoana are dreptul de a accesa și de a transfera date, de a rectifica, de a șterge și de a-și restricționa datele personale, de a se opune prelucrării și, în cazul în care prelucrarea se bazează pe consimțământ, de a-și retrage consimțământul.
  • Că persoana poate depune plângere la o autoritate de supraveghere.
  • Dacă există o cerință legală sau contractuală de furnizare a datelor și consecințele nefurnizării datelor.
  • Dacă va fi luată o decizie automată – împreună cu informații despre logica implicată și semnificația și consecințele prelucrării pentru persoana vizată.

Când trebuie operatorul să furnizeze aceste informații?

Operatorul obține informații direct de la persoana

  • La momentul obținerii datelor.

De asemenea, operatorul trebuie să le transmită persoanelor ce informații sunt obligatorii și consecințele nefurnizării informațiilor.

Operatorul nu obține informațiile direct de la persoana

  • Într-o perioadă rezonabilă de la data obținerii datelor (maximum o lună); sau
  • Dacă datele sunt folosite pentru a comunica cu persoana, cel mai târziu când are loc prima comunicare; sau
  • Dacă este prevăzută divulgarea către un alt destinatar, cel mai târziu înainte de divulgarea datelor.

Operatorul trebuie, de asemenea, să le transmită persoanelor categoriile de informații și sursa (sursele) informațiilor, inclusiv dacă acestea provin din surse accesibile publicului.

  • Operatorul nu trebuie să furnizeze aceste informații persoanei dacă un astfel de lucru ar fi imposibil sau dacă ar implica un efort disproporționat. În aceste cazuri, trebuie luate măsuri adecvate pentru protejarea intereselor persoanelor, iar nota de informare trebuie făcut publică.

De asemenea, nu este necesar să se furnizeze nota de informare:

  • dacă operatorul are obligația de a obține/dezvălui informațiile; sau
  • dacă informațiile trebuie să rămână confidențiale, datorită obligațiilor de păstrare a secretului profesional sau statutar, reglementate de Dreptul Uniunii sau de dreptul intern.

În cazul în care operatorul prelucrează ulterior date cu caracter personal pentru un scop nou, care nu este inclus în nota inițială, acesta trebuie să furnizeze o nouă notă care să acopere noua prelucrare.

Furnizarea tuturor acestor informații este greu de conciliat cu cerința proprie RGPD de concizie și claritate. Pentru a contribui la o mai bună realizare a acestui obiectiv, Comisia poate introduce iconuri standardizate prin intermediul unor acte delegate. Dacă sunt introduse, acestea ar trebui, de asemenea, să fie afișate persoanelor fizice.

Accesul persoanei vizate, rectificarea și portabilitatea datelor

Privire de ansamblu

  • Operatorii de date trebuie, la cerere:
  • să confirme dacă prelucrează datele cu caracter personal ale unei persoane;
  • să furnizeze o copie a datelor (în formatul electronic frecvent utilizat); și
  • să furnizeze materiale explicative (și detaliate).
  • Persoanele vizate pot solicita, de asemenea, ca datele lor personale să fie portate către aceștia sau către un nou furnizor în format prelucrabil electronic dacă datele în cauză sunt: 1) furnizate de persoana vizată operatorului (larg interpretat); 2) prelucrate automat; și 3) prelucrate pe baza consimțământului sau a executării unui contract.
  • Solicitarea trebuie onorată în termen de o lună (cu prelungiri pentru unele cazuri), iar intenția de a nu se conforma trebuie explicată persoanei.
  • Drepturile de acces sunt menite să permită persoanelor să verifice legalitatea prelucrării, iar dreptul la o copie nu ar trebui să afecteze în mod negativ drepturile altora.

Lista de acțiuni

  • Revizuiți procesele, procedurile și instruirea echipei care asigură serviciu către clienții – sunt suficiente pentru a face față regulilor de acces și portabilitate ale RGPD?
  • Elaborați șabloane pentru scrisori de răspuns, pentru a vă asigura că sunt furnizate toate elementele informațiilor justificative.
  • Evaluați capacitatea organizației dumneavoastră de a furniza date în conformitate cu obligațiile stipulate în RGPD privind formatul. Pentru a răspunde solicitărilor de acces, poate fi necesară dezvoltarea capabilităților de formatare.
  • Dacă se aplică portabilitatea, analizați care dintre înregistrările dumneavoastră sunt acoperite de aceasta. Verificați dacă datele (și metadatele asociate) pot fi exportate cu ușurință în formate structurate, prelucrabile electronic. Urmăriți inițiativele din industrie pentru dezvoltarea de formate interoperabile.
  • Luați în considerare dezvoltarea portalurilor de acces la date pentru a permite exercitarea directă a drepturilor de acces ale persoanei vizate.

Dreptul la informare și acces

O persoană are următoarele drepturi în relația cu un operator de date:

  • să obțină confirmarea faptului că datele sale personale sunt prelucrate;
  • să acceseze datele (i.e. o copie a datelor); și
  • să obțină informații suplimentare despre prelucrare.

La fel ca în cazul tuturor drepturilor persoanelor vizate, operatorul trebuie să se conformeze „fără întârzieri nejustificate” și „cel târziu în termen de o lună”, deși există unele posibilități de extindere a acestei perioade.

De asemenea, operatorul trebuie să utilizeze mijloace rezonabile pentru a verifica identitatea persoanei care face solicitarea, dar nu ar trebui să păstreze sau să colecteze date doar pentru a putea răspunde solicitărilor de acces ale persoanei vizate. Aceste puncte sunt deosebit de pertinente pentru serviciile online.

Dreptul de acces la date

Operatorul trebuie să furnizeze „o copie a datelor cu caracter personal în curs de prelucrare”. Aceasta va fi furnizată gratuit (o modificare pentru operatorii din Regatul Unit), deși operatorul poate percepe o taxă rezonabilă, de administrare, dacă se solicită copii suplimentare.

Dacă cererea este făcută în formă electronică, informațiile ar trebui să fie furnizate într-un format electronică utilizată în mod obișnuit (cu excepția cazului în care persoana vizată cere altfel). Acest lucru ar putea impune costuri operatorilor care utilizează formate speciale sau care dețin înregistrări pe hârtie.

Considerentul 63 sugerează, de asemenea, că, atunci când este posibil, operatorul poate furniza un sistem securizat care ar permite accesul direct al persoanei vizate la datele sale. Aceasta pare a fi o încurajare mai degrabă decât stipularea unei obligații.

Informații suplimentare

De asemenea, operatorul trebuie să furnizeze următoarele informații (elementele cu caractere cursive nu sunt în prezent impuse de Directiva privind protecția datelor – deși acestea sunt impuse de unele legi ale statelor membre care pun în aplicare Directiva privind protecția datelor):

  • scopul prelucrării;
  • categoriile de date prelucrate;
  • destinatarii sau categoriile de destinatari (în special detalii privind dezvăluirea către destinatarii din țări terțe sau către organizațiile internaționale (organizații guvernate de dreptul internațional public sau instituite prin acord între țări));
  • perioada de stocare preconizată sau, dacă acest lucru nu este posibil, criteriile utilizate pentru stabilirea acestei perioade;
  • drepturile individului de rectificare sau ștergere a datelor, de a limita prelucrarea sau de a se opune prelucrării și de a depune o plângere la o autoritate de supraveghere;
  • informații privind sursa datelor (dacă nu sunt colectate de la persoana vizată) și
  • orice luare automată de decizii reglementată (adică deciziile luate numai în mod automat și având efecte juridice sau similare, de asemenea, luarea automată a deciziilor care implică date sensibile) – inclusiv informații despre logica implicată și semnificația și consecințele preconizate ale prelucrării pentru persoana vizată.

Dacă operatorul nu intenționează să se conformeze cererii, acesta trebuie să prezinte și motivele.

Derogări

RGPD recunoaște că accesul persoanei vizate poate afecta negativ alte persoane și prevede că dreptul de a primi o copie a datelor nu trebuie să afecteze în mod negativ drepturile altor persoane. Considerentul 63 constată că acest lucru ar putea fi extins la protecția drepturilor de proprietate intelectuală și a secretelor comerciale (de exemplu, dacă dezvăluirea logicii deciziei automate ar presupune și dezvăluirea unor astfel de informații). Cu toate acestea, Considerentul menționează totodată că un operator nu poate refuza să furnizeze toate informațiile, pe motiv că accesul poate încălca drepturile altora.

Considerentul 63 conține, de asemenea, alte două dispoziții limitative utile:

  • dacă operatorul deține o cantitate mare de date, poate solicita persoanei vizate să precizeze informațiile sau activitățile de prelucrare la care se referă cererea. (Cu toate acestea, Considerentul nu menționează în continuare că există vreo derogare datorată volumelor mari de date relevante: limitarea pare să aibă mai mult de-a face cu specificitatea solicitării, decât cu timpul și efortul din partea operatorului– deși cele două pot fi, desigur, legate);
  • dreptul persoanei vizate este acela de a „cunoaște și verifica legalitatea prelucrării”. Acest lucru confirmă comentariile formulate de CJUE în Hotărârea YS v Minister voor Immigratie, Integratie en Asiel (Cauza C-141/12), conform căreia scopul cererilor de accesare din partea persoanei vizate este acela de a permite persoanei să confirme corectitudinea datelor și legalitatea prelucrării și să își exercite drepturile de corectare sau de opoziție etc., dacă este necesar. Cu alte cuvinte, scopul este legat de drepturile individului în conformitate cu legislația privind protecția datelor: pot fi respinse cererile făcute pentru alte scopuri de protecție a datelor.

Rectificare

Persoanele fizice pot solicita unui operator să remedieze inexactitățile în datele cu caracter personal stocate în legătură cu acestea. În anumite circumstanțe, dacă datele personale sunt incomplete, o persoană poate cere operatorului să completeze datele sau să înregistreze o declarație suplimentară.

Portabilitate

Dreptul de acces al persoanei vizate în temeiul RGPD oferă deja persoanelor dreptul de a solicita ca datele lor să fie furnizate într-un format electronic utilizat în mod obișnuit.

Portabilitatea datelor depășește acest aspect și solicită operatorului să furnizeze informații într-un format structurat, frecvent utilizat și prelucrabil electronic, astfel încât acesta să poată fi transferat de către persoana vizată unui alt operator de date fără obstacole. Mai mult, operatorul poate fi obligat să transmită datele direct unui alt operator dacă acesta are capacitatea tehnică necesară. RGPD încurajează operatorii să dezvolte formate interoperabile.

Dacă accesul persoanei vizate este un drept extins, portabilitatea este mai restrânsă. Se aplică:

  • datelor cu caracter personal care sunt prelucrate prin mijloace automate (fără înregistrări pe hârtie);
  • datele cu caracter personal pe care persoana vizată le-a furnizat operatorului; și
  • numai în cazul în care baza pentru prelucrare este consimțământul sau datele sunt prelucrate pentru a îndeplini un contract sau pentru a pregăti un contract.

Noțiunea de date „furnizate” de persoana vizată cunoaște o interpretare largă. În conformitate cu orientările Grupului de lucru Articolul 29, aceasta lucru nu se limitează la formularele completate de o persoană fizică, ci cuprinde și informațiile culese de operator în timpul relațiilor cu persoana respectivă sau generate de observarea activității sale. Exemple de ocazii în care se va aplica portabilitatea datelor: (i) datele deținute de un serviciu de transmisiuni muzicale; (ii) titluri de cărți deținute de o librărie online; (iii) date dintr-un contor inteligent sau alte obiecte conectate; jurnale de activitate, (v) istoricul utilizării site-ului, (vi) activități de căutare sau (vii) emailuri trimise persoanei respective. Cu toate acestea, dreptul de portabilitate nu se extinde asupra datelor cu caracter personal care sunt deduse sau derivate de către operatorul de date (de exemplu, rezultatele unei analize algoritmice a comportamentului unui individ).

În timp ce portabilitatea datelor se aplică numai operatorilor de date, procesatorii de date vor avea obligații contractuale de a asista operatorii „prin măsuri tehnice și organizatorice adecvate”, răspunzând cererilor de portabilitate. Prin urmare, operatorii de date ar trebui să pună în aplicare proceduri specifice împreună cu procesatorii în privința gestionării acestor cereri.

Portabilitatea datelor nu trebuie să aducă atingere drepturilor altor persoane. Cu toate acestea, potrivit autorităților de protecție a datelor, operatorul de date original nu este responsabil pentru conformarea destinatarului. În schimb, orice organizație care primește datele trebuie să se asigure că utilizarea datelor este legală.

Există derogări de la portabilitate – de exemplu, în cazul în care aceasta ar afecta negativ drepturile de proprietate intelectuală sau secretele comerciale. Autoritățile de protecție a datelor consideră că această derogare nu justifică orice nerespectare a dreptului.

Cerințele privind portabilitatea datelor pot veni, de asemenea, în conflict cu alte cerințe privind accesul și portabilitatea în sectoare specifice din cadrul UE (de exemplu dreptul de acces la istoricul contului bancar în conformitate cu Directiva 2 privind serviciile de plată) sau cu dreptul intern al statelor membre. Orientările din partea Grupului de lucru Articolul 29 explică faptul că dreptul de portabilitate RGPD nu se va aplica dacă persoana își dă seama că își exercită drepturile în temeiul unei alte legi. Cu toate acestea, dacă individul dorește să-și exercite drepturile în cadrul RGPD, operatorul trebuie să evalueze interacțiunea dintre drepturile concurente pentru fiecare caz în parte, dar legislația mai specifică nu va înlocui în mod automat dreptul RGPD.

Dreptul de opoziție

Privire de ansamblu

  • Persoana vizată are dreptul de a se opune anumitor tipuri de prelucrare:
  • marketing direct;
  • prelucrarea bazată pe interese legitime sau pe îndeplinirea unei sarcini de interes public/exercitarea autorității publice; și
  • prelucrarea în scopuri de cercetare sau statistice.
  • Numai dreptul de a se opune marketingului direct este absolut (i.e. nu este necesară demonstrarea motivelor de opoziție, nu există derogări care să permită continuarea prelucrării).
  • Există obligații de notificare cu privire la aceste drepturi într-un stadiu timpuriu – clar și separat de alte informații.
  • Serviciile online trebuie să ofere o metodă automată de opoziție.

Lista de acțiuni

  • Auditați notificările și politicile de protecție a datelor, pentru a vă asigura că persoanele vizate sunt informate cu privire la dreptul lor de opoziție, în mod clar și separat, la momentul „primei comunicări”;
  • pentru serviciile online, asigurați-vă că există o modalitate automată de efectuare a acestora; și
  • revizuiți listele și procesele de suprimare a marketingului (inclusiv cele operate de către partenerii și furnizorii de servicii în numele organizației dumneavoastră) pentru a vă asigura că sunt capabile să funcționeze în conformitate cu RGPD.

Drepturile de opoziție

Trei drepturi de opoziție sunt prevăzute de RGPD. Toate se referă la prelucrarea efectuată în scopuri specifice sau care se justifică în mod special. Nu există niciun drept de opoziție la prelucrare în general.

Drepturile de opoziție sunt următoarele:

Dreptul de opoziție la prelucrarea în scopuri de marketing direct

Acesta este un drept absolut; odată ce persona s-a opus, datele nu vor mai fi prelucrate în continuare pentru marketing direct.

Dreptul de opoziție la prelucrarea în scopuri de cercetare științifică/istorică/statistică

Mai puțin puternic decât dreptul de opoziție la marketingul direct – trebuie să existe „motive legate de situația particulară a persoanei vizate”.

Există o excepție atunci când prelucrarea este necesară pentru îndeplinirea unei sarcini din motive de interes public.

Nu există nicio dispoziție echivalentă cu aceasta în Directiva privind protecția datelor.

Dreptul de opoziție la prelucrarea bazată pe două scopuri specifice:

Din nou, acest drept poate fi exercitat din motive legate de situația particulară a persoanei vizate:

  1. motive de interes legitim (i.e. Articolul 6(1)(f)); sau
  2. necesar pentru o sarcină de interes public/o autoritate oficială (i.e. Articolul 6(1)(e))

 

Operatorul trebuie să înceteze prelucrarea datelor cu caracter personal, cu excepția cazului în care:

  • poate demonstra temeiuri legitime convingătoare care depășesc interesele persoanei vizate; sau
  • prelucrarea se face pentru stabilirea, exercitarea sau apărarea revendicărilor legale.

Așadar, odată ce persoana vizată își exercită dreptul de opoziție, pe baza situației sale specifice, operatorului îi revine sarcina de a stabili de ce ar trebui totuși să poată prelucra datele personale într-un astfel de caz.

Aceasta reprezintă o înăsprire a normelor din Directiva privind protecția datelor. În dispoziția echivalentă, persoana vizată trebuie să demonstreze „motive de opoziție legitime și convingătoare”, iar prelucrarea trebuie să înceteze doar dacă opoziția este justificată.

Notificați persoanele vizate cu privire la drepturile lor

În cazul prelucrării pentru marketing direct și a prelucrării bazate pe sarcini de interes general/interese legitime, dreptul de opoziție al persoanei trebuie adus explicit în atenția sa – cel mai târziu în momentul primei comunicări cu persoana respectivă. Acest lucru trebuie prezentat în mod clar și separat de alte informații.

Necesitatea de informare a persoanei nu se aplică prelucrării statistice/în scopuri de cercetare.

În cazul serviciilor online, persoana trebuie să-și poată exercita dreptul prin mijloace automate.

Dreptul la ștergerea datelor și dreptul la restricționarea prelucrării

Privire de ansamblu

Sunt introduse drepturi mai extinse și neclare: dreptul de a fi uitat (numit în prezent dreptul la ștergerea datelor) și dreptul la restricționarea prelucrării.

  • Persoanele pot solicita ca datele să fie „șterse” atunci când există o problemă legată de legalitatea prelucrării sau de retragerea consimțământului.
  • Persoana poate solicita operatorului să „restricționeze” prelucrarea datelor pe durata soluționării plângerilor (de exemplu, privind acuratețea) sau dacă prelucrarea este ilegală, dar persoana se opune ștergerii.
  • Operatorii care au făcut publice date care mai apoi vor face obiectul unei cereri de ștergere sunt obligați să notifice alte părți care care prelucrează datele oferind detalii ale cererii. Această nouă obligație este una comprehensivă și dificilă.

Lista de acțiuni

  • Asigurați-vă că membrii personalului și furnizorii care pot primi solicitări de ștergere a datelor le recunosc și știu cum să le gestioneze.
  • Stabiliți dacă lucrați într-un sector în care respectarea cerințelor de ștergere ar fi atât de nerezonabilă și nejustificată, încât ar trebui să se solicite derogări suplimentare de la statele membre.
  • Stabiliți dacă sistemele sunt capabile să îndeplinească cerințele de marcare a datelor ca restricționate pe durata soluționării plângerilor: întreprindeți activități de dezvoltare dacă este necesar.

Dreptul de a fi uitat

Persoanele vizate au dreptul ca datele lor să fie „șterse” în anumite situații – în esență, în cazul în care prelucrarea nu îndeplinește cerințele RGPD. Dreptul poate fi exercitat față de operatori, care trebuie să răspundă fără întârzieri nejustificate (și, în orice caz, în termen de o lună, acesta putând fi însă extins în cazuri dificile).

Când se aplică dreptul?

  • Când datele nu mai sunt necesare pentru scopul în care au fost colectate sau prelucrate.
  • Dacă individul își retrage consimțământul de prelucrare (și dacă nu există altă justificare pentru prelucrare).
  • Există un factor declanșator suplimentar legat de retragerea consimțământului acordat anterior de un copil în legătură cu serviciile online. Totuși, aceasta nu pare să adauge nimic la principiul general conform căruia consimțământul poate fi revocat, într-un astfel de caz persoana putând solicita ștergerea datelor.
  • Când prelucrarea este bazată pe interese legitime – dacă persoana se opune și operatorul nu poate demonstra că există motive legale imperative pentru prelucrare.
  • Când datele sunt prelucrate ilegal în alt mod (i.e. într-un mod care încalcă altfel RGPD).
  • Dacă datele trebuie șterse pentru a se conforma dreptului Uniunii sau dreptului intern care se aplică operatorului.

Ultima condiție ar putea fi aplicată, de exemplu, atunci când o persoană consideră că un operator de date stochează date cu caracter personal, în condițiile în care legislația prevede că aceste date (de exemplu un control legat de angajare) trebuie să fie șterse după o anumită perioadă de timp.

Soluția universală care permite efectuarea de cereri de ștergere în cazul în care datele sunt prelucrate „în mod ilegal” este potențial oneroasă: există multe motive pentru care datele ar putea fi prelucrate în mod nelegal în baza RGPD (date inexacte; un element din nota de informare nu fost furnizat persoanei). Cu toate acestea, nu este evident că acest lucru ar trebui să întemeieze dreptul la ștergerea datelor. Dispoziția echivalentă a Directivei privind protecția datelor a lăsat mai multă libertate de decizie stipulând ștergerea „după caz”. Va fi important să vedem cum vor redacta statele membre derogările.

Datele introduse în domeniul public

În cazul în care a făcut publice datele cu caracter personal și dacă ulterior este obligat să le șteargă, operatorul trebuie să îi informeze și pe alți operatori care prelucrează datele respective că persoana vizată a solicitat ștergerea lor. Obligația este menită să consolideze drepturile individului în mediul online.

Obligația este de a lua măsuri rezonabile, ținându-se cont de tehnologia disponibilă și de costurile de implementare. Ea are însă o anvergură potențial mare și este extrem de dificil de implementat: de exemplu, având în vedere că acum vorbim de date aparținând domeniului public, se naște întrebarea cum va putea operatorul inițial să identifice operatorii pe care trebuie să îi notifice.

Alte obligații de notificare a destinatarilor

Dacă operatorul trebuie să șteargă datele personale, atunci trebuie să îl notifice pe cel căruia i-a dezvăluit aceste date, cu excepția cazului în care acest lucru ar fi imposibil sau ar implica eforturi disproporționate.

Derogări

Obligația nu se aplică atunci când prelucrarea este necesară:

  • pentru exercitarea dreptului la libera exprimare și informare;
  • pentru respectarea unei obligații legale a Uniunii sau a statului membru;
  • pentru îndeplinirea unei sarcini de interes public sau exercitarea autorității publice;
  • din motive de sănătate publică;
  • în scopuri de arhivare, cercetare sau statistice (dacă sunt îndeplinite condițiile relevante pentru acest tip de prelucrare); sau
  • pentru stabilirea, exercitarea sau apărarea revendicărilor legale.

A se vedea secțiunea privind derogările și condițiile speciale pentru alte situații în care derogările pot fi relevante – dacă sunt prevăzute în dreptul Uniunii sau în dreptul intern.

Dreptul la restricționarea prelucrării

Înlocuiește dispozițiile din Directiva privind protecția datelor referitoarea la „blocare”. În unele situații, acest drept oferă unei persoane alternativa la solicitarea ștergerii datelor; în altele, permite individului să solicite păstrarea datelor în așteptare, în timp ce sunt soluționate alte probleme.

Ce este restricția?

Dacă datele cu caracter personal sunt „restricționate”, atunci operatorul poate doar stoca datele. Nu le poate prelucra în continuare decât dacă:

  • obține consimțământul individual; sau
  • prelucrarea este necesară pentru constatarea etc. a unui drept in justiție; pentru protecția drepturilor altei persoane fizice sau juridice; sau din motive de interes public important (din partea Uniunii sau a statului membru).

În cazul în care datele sunt prelucrate automat, restricția ar trebui efectuată prin mijloace tehnice și notată în sistemele informatice ale operatorului. Aceasta ar putea însemna mutarea datelor într-un sistem separat; blocând temporar datele de pe un site web sau făcându-le indisponibile în alt mod.

Dacă datele au fost divulgate altor persoane, atunci operatorul trebuie să notifice destinatarii despre prelucrarea restricționată (cu excepția cazului în care acest lucru este imposibil sau implică un efort disproporționat).

Operatorul trebuie să notifice persoana respectivă înainte de a ridica o restricție.

Când se aplică restricția?

  • Atunci când o persoană contestă acuratețea datelor, datele personale vor fi restricționate pentru perioada în care acestea sunt verificate;
  • Atunci când o persoană se opune prelucrării (pe baza unor interese legitime), persoana poate solicita restricționarea datelor cât timp operatorul verifică motivele pentru prelucrare;
  • Când prelucrarea este ilegală, dar persoana se opune ștergerii solicitând în schimb restricționarea; și
  • Când operatorul nu mai are nevoie de date, dar persoana vizată solicită datele personale pentru constatarea, exercitarea sau apărarea unui drept în justiție.

Această ultimă condiție ar putea, de exemplu, să însemne că operatorii sunt obligați să păstreze soluții de stocare a datelor pentru foștii clienți, atunci când datele cu caracter personal sunt relevante pentru procedurile în care este implicată persoana vizată.

Profilarea și luarea automată a deciziilor

Privire de ansamblu

  • Regulile de luare automată a deciziilor sunt similare cu normele echivalente din Directiva privind protecția datelor (propunerile de introducere a restricțiilor privind orice „profilare” nu au fost, în cele din urmă, incluse în RGPD finală).
  • Regulile afectează deciziile:
  • luate exclusiv pe baza prelucrării automate; și
  • care produc efecte juridice sau care au în mod similar efecte semnificative.
  • Atunci când decizia este:
  • necesară pentru încheierea sau executarea unui contract; sau
  • autorizată de dreptul Uniunii sau dreptul intern aplicabil operatorului; sau
  • bazată pe consimțământul explicit al persoanei,

poate fi utilizată prelucrarea automată. Cu toate acestea, trebuie avute în vedere măsuri adecvate pentru protejarea intereselor individului.

  • Există restricții suplimentare privind profilarea bazată pe date sensibile – care necesită consimțământ explicit sau autorizare prin dreptul Uniunii sau dreptul intern din motive de interes public important.

Lista de acțiuni

Verificați ce proces decizional automat semnificativ este utilizat. Identificați orice decizie bazată pe

  • consimțământ;
  • autorizare prin lege;
  • sau care se referă la date sensibile sau la copii.

Dacă decizia automată se bazează pe consimțământ, asigurați-vă că acest lucru este explicit.

Dacă decizia automată este autorizată prin lege, verificați dacă aceasta este dreptul Uniunii sau dreptul intern; urmăriți îndeaproape dacă statele membre vor încerca să adopte orice modificări legislative care să reflecte RGPD.

Dacă decizia automată se bazează pe date sensibile:

  • Verificați dacă puteți obține consimțământul explicit;
  • Dacă nu, va trebui să faceți lobby pentru sprijinul juridic al statului membru (sau al Uniunii) pentru o astfel de prelucrare.
  • Dacă luarea automată a deciziilor implică un copil, solicitați îndrumare: aceasta este restricționată.

Semnificația profilării

Profilarea este „orice formă de prelucrare automată a datelor cu caracter personal care constă în utilizarea acestora pentru a evalua anumite aspecte personale referitoare la o persoană fizică, în special pentru a analiza sau prezice anumite aspecte privind performanța persoanei fizice la locul de muncă, situațiile economice, starea de sănătate, preferințele personale, interesele, gradul de încredere prezentat, comportamentul, locația sau deplasările”.

Pe parcursul procesului legislativ au existat încercări de a introduce restricții semnificative asupra oricărui tip de profilare. În cele din urmă însă, acestea nu au fost incluse – deși Considerentul 72 menționează că CEPD poate publica îndrumări privind profilarea.

Restricții la luarea automată a deciziilor cu efecte semnificative

Restricțiile privind deciziile bazate exclusiv pe prelucrarea automată (care ar putea include profilarea) se aplică în cazul în care deciziile produc efecte juridice sau afectează semnificativ în mod similar persoana vizată. Considerentul 71 oferă exemplul deciziilor de credit online și al recrutării electronice; de asemenea, clarifică faptul că elementul inacceptabil este lipsa intervenției umane.

Persoanele fizice au dreptul de a nu fi supuse unor astfel de decizii. (Acest lucru ar putea însemna fie o interdicție a unei astfel de prelucrări, fie că prelucrarea poate avea loc, dar persoanele vizate au dreptul de a se opune. Această ambiguitate este prezentă și în Directiva privind protecția datelor, iar statele membre diferă în privința abordării).

O astfel de prelucrare automată semnificativă poate fi utilizată dacă este:

  • necesară pentru încheierea sau executarea un contract între persoana vizată și operator;
  • autorizată de dreptul Uniunii sau dreptul intern; sau
  • bazată pe consimțământul explicit al persoanei.

 

Decizii automate bazate pe consimțământul explicit sau pe execuția contractuală

În primul și în al treilea caz (executarea contractului și consimțământul), operatorul trebuie să implementeze măsuri adecvate pentru protejarea persoanei vizate. Acest lucru trebuie să includă, cel puțin, dreptul de a obține o intervenție umană pentru persoana vizată pentru ca aceasta să-și poată exprima punctul de vedere și contesta decizia.

Dispozițiile echivalente din Directiva privind protecția datelor precizau că acest lucru nu era necesar dacă efectul deciziei era de a admite cererea persoanei. Aceasta nu este transmisă în RGPD, poate datorită faptului că în contexte precum finanțele și asigurările, atâta timp cât este oferit un contract (chiar dacă în condiții dificile), operatorul ar putea spune că cererea persoanei a fost admisă, evitând astfel scopul prevederilor.

Considerentul 71 subliniază că trebuie utilizate tehnici statistice adecvate; transparența trebuie asigurată; ar trebui adoptate măsuri pentru corectarea inexactităților și a riscurilor de eroare; și trebuie asigurată securitatea și prevenite efectele discriminatorii. Considerentul 71 menționează, de asemenea, că aceste măsuri nu ar trebui să vizeze copiii.

Autorizarea prin lege

În cel de-al doilea caz (autorizate prin lege), legea însăși trebuie să conțină măsuri adecvate pentru a proteja interesele individului. Considerentul 71 menționează profilarea pentru a asigura securitatea și fiabilitatea serviciilor sau în legătură cu monitorizarea fraudei și evaziunii fiscale ca tipuri de decizii automate care ar putea fi justificate în temeiul dreptului Uniunii sau al dreptului intern al statelor membre.

Datele sensibile

Deciziile automate bazate pe date sensibile sunt în continuare restricționate. Deciziile bazate pe aceste tipuri de date pot avea loc numai:

  • cu acordul explicit; sau
  • atunci când prelucrarea este necesară din motive de interes public important și pe baza dreptului Uniunii sau dreptului intern al statelor membre – care trebuie să includă măsuri de protejare a intereselor persoanelor vizate.