Principii de protectie a datelor

Privire de ansamblu

  • Principiile de protecție a datelor sunt revizuite, dar sunt, în general, similare cu principiile stabilite în Directiva 95/46 /CE („Directiva privind protecția datelor”): corectitudinea, legalitatea și transparența; limitarea scopului; minimizarea datelor; calitatea datelor; securitate, integritate și confidențialitate.
  • Un nou principiu al răspunderii îi face pe operatori responsabili de demonstrarea conformității cu principiile de protecție a datelor.

Lista de acțiuni

  • Revizuiți politicile de protecție a datelor, codurile de conduită și programele de formare pentru a vă asigura că acestea sunt conforme cu principiile revizuite.
  • Identificați mijloacele de „demonstrare a conformității” – de exemplu, respectarea codurilor de conduită aprobate, documentele justificative ale deciziilor privind prelucrarea datelor și, după caz, evaluări ale impactului asupra protecției vieții private.

Comentarii

Principiile din RGPD sunt, în linii mari, similare celor din Directiva privind protecția datelor, dar există câteva elemente noi evidențiate în italice de mai jos.

Legea, corectitudinea și transparența

Datele cu caracter personal trebuie să fie prelucrate în mod legal, corect și într-o manieră transparentă în raport cu persoana vizată.

Limitarea scopului

Datele cu caracter personal trebuie colectate în scopuri specificate, explicite și legitime și nu trebuie prelucrate într-un mod incompatibil cu aceste scopuri. Prelucrarea ulterioară a datelor cu caracter personal în scopuri de arhivare în interes public, cercetare științifică sau istorică sau în scopuri statistice nu este considerată incompatibilă cu scopurile de prelucrare originale. Cu toate acestea, trebuie îndeplinite condițiile prevăzute la Articolul 89(1) (care prevede garanții și derogări în ceea ce privește prelucrarea în aceste scopuri).

Minimizarea datelor

Datele cu caracter personal trebuie să fie adecvate, relevante și limitate la cele care sunt necesare în legătură cu scopurile pentru care sunt prelucrate.

Acuratețe

Datele cu caracter personal trebuie să fie corecte și, dacă este necesar, să fie actualizate; trebuie să se ia toate măsurile rezonabile pentru a se asigura că datele cu caracter personal care sunt inacurate, având în vedere scopurile pentru care sunt prelucrate, sunt șterse sau rectificate fără întârziere.

Limitarea stocării

Datele cu caracter personal trebuie păstrate într-o formă care să permită identificarea persoanelor vizate pentru o perioadă care nu depășește perioada necesară pentru scopurile pentru care sunt prelucrate datele cu caracter personal. Datele cu caracter personal pot fi stocate pe perioade mai lungi, în măsura în care datele vor fi prelucrate exclusiv în scopuri de arhivare în interes public sau în scopuri științifice și istorice de cercetare sau în scopuri statistice în conformitate cu Articolul 89(1) și sub rezerva punerii în aplicare a unor măsuri tehnice și organizatorice adecvate.

Integritate și confidențialitate

Datele cu caracter personal trebuie prelucrate într-un mod care să garanteze o securitate adecvată a datelor cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, distrugerii sau deteriorării accidentale, utilizând măsuri tehnice sau organizatorice adecvate.

Răspundere

Operatorul va fi răspunzător și capabil să demonstreze conformitatea cu aceste principii.

 

Legitimitatea prelucrării și a prelucrării ulterioare

Privire de ansamblu

Motivele de prelucrare a datelor cu caracter personal în temeiul RGPD repetă în mare măsură cele prevăzute de Directiva privind protecția datelor.

  • Există noi limitări privind utilizarea consimțământului și prelucrarea datelor online ale copiilor.
  • Există restricții specifice privind posibilitatea de a invoca „interese legitime” pentru prelucrare și unele clarificări cu privire la momentul în care pot fi utilizată această justificare.
  • Există o listă neexhaustivă de factori care trebuie luați în considerare atunci când se stabilește dacă prelucrarea datelor pentru un nou scop este incompatibilă cu scopurile pentru care datele au fost inițial colectate.

Lista de acțiuni

  • Asigurați-vă de claritatea cu privire la motivele pentru prelucrarea legală invocată de organizația dumneavoastră și că aceste motive vor fi în continuare aplicabile în cadrul RGPD.
  • Atunci când vă bazați pe consimțământ, asigurați-vă că acesta îndeplinește noile cerințe de calitate (pentru detalii suplimentare, a se vedea secțiunea privind consimțământul).
  • Analizați dacă este posibil ca noile reguli privind datele online ale copiilor să vă afecteze și, în caz afirmativ, care sunt regulile naționale pe care trebuie să le urmați (pentru detalii suplimentare, consultați secțiunea privind consimțământul pentru copii).
  • Asigurați-vă că procesele de guvernanță internă vă vor permite să demonstrați cum au fost luate deciziile de utilizare a datelor în scopul prelucrării ulterioare și că au fost luați în considerare factori relevanți.

Comentarii

Articolul 6(1) din RGPD stabilește condițiile care trebuie îndeplinite pentru ca prelucrarea datelor cu caracter personal să fie legală (Pentru dispozițiile referitoare la datele sensibile, a se vedea secțiunea privind prelucrarea legală a datelor sensibile). Aceste condiții sunt în mare măsură reproduse în Directiva privind protecția datelor. Le enumerăm mai jos:

 

6 (1) (a) – Consimțământul persoanei vizate

RGPD abordează consimțământul într-o manieră mai restrictivă; în special, urmărește să se asigure că acesta este specific scopurilor distincte ale prelucrării (a se vedea secțiunea privind consimțământul). În cazul copiilor, se impun condiții speciale (a se vedea secțiunea privind consimțământul pentru copii).

 

6 alin. (1) lit. (b) – Necesară pentru executarea unui contract cu persoana vizată sau pentru luarea unor măsuri pregătitoare pentru un astfel de contract

Nu se modifică poziția prevăzută de Directiva privind protecția datelor.

 

6 (1) (c) – Necesară pentru respectarea unei obligații legale

Acest temei reproduce un altul echivalent din Directiva privind protecția datelor. Cu toate acestea, Articolul 6(3) și Considerentele (41) și (45) precizează clar că obligația legală în cauză trebuie să fie:

  • O obligație prevăzută de dreptul intern sau dreptul Uniunii căruia i se supune operatorul; și
  • „clară și precisă”, iar aplicarea sa este previzibilă pentru cei care se supun acesteia.

Din Considerente reiese clar că „obligația legală” relevantă nu trebuie să fie statutară (i.e. dreptul comun ar fi suficient, dacă acest lucru corespunde testului „clar și precis”). O obligație legală ar putea să acopere mai multe operațiuni de prelucrare efectuate de operator, astfel încât să nu fie necesar să se identifice o obligație juridică specifică pentru fiecare activitate de prelucrare individuală.

 

6 alin. (1) lit. (d) – Necesară pentru protejarea intereselor vitale ale persoanei vizate sau ale altei persoane în cazul în care persoana vizată este incapabilă să își dea consimțământul

Considerentul 46 sugerează că acest temei se poate aplica prelucrării necesare în scopuri umanitare (de exemplu, monitorizarea epidemiilor) sau în legătură cu urgențe umanitare (de exemplu, răspunsul în caz de dezastru). Considerentul indică faptul că, în cazul în care datele cu caracter personal sunt prelucrate în interesele vitale ale unei alte persoane decât persoana vizată, acest motiv de prelucrare ar trebui invocat numai atunci când nu există niciun alt temei juridic.

 

Art. 6 alin. (1) lit. (e) – Necesară pentru îndeplinirea unei sarcini în interes public sau în exercitarea autorității publice a operatorului

Articolul 6(3) și Considerentul 45 clarifică faptul că acest temei nu se va aplica decât în ​​cazul în care sarcina efectuată sau autoritatea operatorului este prevăzută de dreptul Uniunii sau de dreptul intern căruia i se supune operatorul.

 

6 alin. (1) lit. (f) – Necesară pentru satisfacerea unor interese legitime

Acest temei nu mai poate fi invocat de autoritățile publice care prelucrează date cu caracter personal în exercitarea funcțiilor lor; Considerentele 47-50 adaugă mai multe detalii cu privire la ceea ce poate fi considerat „interes legitim”. (Pentru mai multe detalii, consultați secțiunea privind interesele legitime).

Statelor membre li se permite să introducă dispoziții specifice pentru a furniza o bază în temeiul Articolului 6(1)(c) și al Articolului 6(1)(e) (prelucrare datorată unei obligații legale sau îndeplinirii unei sarcini de interes public sau în exercitarea autorității publice) și pentru alte situații specifice de prelucrare (de exemplu, jurnalism și cercetare). Acest lucru va duce probabil la un grad de variație la nivelul UE. (Pentru detalii suplimentare, a se vedea secțiunea privind derogările și condițiile speciale).

 

Prelucrare ulterioară

De asemenea, RGPD stabilește normele (la Articolul 6(4)) privind factorii pe care un operator trebuie să îi ia în considerare pentru a evalua dacă un nou scop de prelucrare este compatibil cu scopul pentru care datele au fost inițial colectate. În cazul în care o astfel de prelucrare nu se bazează pe consimțământ sau pe dreptul Uniunii sau pe dreptul intern referitor la aspectele menționate la Articolul 23 (articol general despre restricțiile privind protecția securității naționale, anchete penale etc.), pentru a determina compatibilitatea, trebuie luați în considerare următorii factori:

  • orice legătură între scopurile originale și cele propuse;
  • contextul în care au fost colectate date (în special relația dintre persoanele vizate și operator);
  • natura datelor (în special dacă acestea sunt date sensibile sau date despre infracțiuni);
  • posibilele consecințe ale prelucrare propuse; și
  • existența garanțiilor (inclusiv criptarea sau pseudonimizarea).

Considerentul 50 indică faptul că prelucrarea ulterioară în scopuri de arhivare, în interes public, în scopuri științifice și istorice sau în scopuri statistice ar trebui considerată o prelucrare compatibilă (a se vedea secțiunea privind derogările și condițiile speciale).

Interese legitime

Privire de ansamblu

În afară de cazul autorităților publice, „interesele legitime”, ca bază pentru prelucrarea legală, nu sunt modificate substanțial de RGPD.

  • Autoritățile publice nu vor putea să se bazeze pe „interese legitime” pentru a legitima prelucrările de date efectuate în îndeplinirea funcțiilor lor.
  • Operatorii care se bazează pe „interese legitime” ar trebui să păstreze o evidență a evaluării pe care au făcut-o, astfel încât să poată demonstra că au luat în considerare în mod corespunzător drepturile și libertățile persoanelor vizate.
  • Operatorii ar trebui să fie conștienți că datele prelucrate pe baza unor interese legitime sunt supuse unui drept de opoziție – care poate fi respins numai atunci când există motive „convingătoare”.

Lista de acțiuni

  • Asigurați-vă de claritatea motivelor pentru prelucrarea legală invocată de organizația dumneavoastră și că aceste motive vor fi în continuare aplicabile în cadrul RGPD (a se vedea secțiunea privind legalitatea prelucrării și a prelucrării ulterioare).
  • Dacă organizația dumneavoastră este o autoritate publică ce se bazează în prezent pe „interese legitime” atunci când prelucrează date cu caracter personal în legătură cu îndeplinirea funcțiilor sale, încercați să identificați un alt temei juridic pentru prelucrarea acestor date (de exemplu, prelucrarea necesară în interesul public sau exercitarea autorității publice).
  • Atunci când baza o reprezintă „interesele legitime”, asigurați-vă că deciziile privind echilibrul dintre interesele operatorului (sau ale părții terțe relevante) și drepturile persoanelor vizate sunt bine documentate, în special atunci când acestea afectează copiii. Asigurați-vă, de asemenea, că persoanele vizate se așteaptă în mod rezonabil ca datele lor să fie prelucrate pe baza intereselor legitime ale operatorului sau ale terței părți relevante.
  • Atunci când recurgeți la „interese legitime”, asigurați-vă că acestea sunt incluse în informațiile care trebuie furnizate persoanelor vizate în temeiul Articolelor 13 și 14. (A se vedea secțiunea privind notele de informare).

 

(simbol) Gradul de schimbare

 

P 15

Principii | Interese legitime

Înapoi la Cuprins

 

Comentarii

Articolul 6(1) din RGPD prevede că prelucrarea datelor este legală numai atunci când se aplică cel puțin una dintre dispozițiile Articolului 6(1)(a)-(f).

Articolul 6(1)(f) se aplică atunci când:

„Prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o terță parte, cu excepția cazului în care aceste interese sunt înlăturate de interesele sau de drepturile și libertățile fundamentale ale persoanei vizate care necesită protecția datelor cu caracter personal, în special atunci când persoana vizată este un copil.”

Articolul 6(1) precizează că subsecțiunea (f) nu se aplică „prelucrării efectuate de autoritățile publice în îndeplinirea sarcinilor lor”.

Aceasta reproduce în linii mari o dispoziție echivalentă din Directiva privind protecția datelor, cu excepția următoarelor:

  • necesitatea de a lua în considerare în mod special interesele și drepturile copiilor este nouă (a se vedea secțiunea privind consimțământul pentru copiii). În practică, această inserare ar putea cere operatorilor să se asigure că orice decizie de prelucrare a datelor referitoare la copii pe baza „intereselor legitime” este documentată cu atenție și se efectuează o evaluare a riscurilor; și
  • „interesele legitime” nu mai pot fi invocate de autoritățile publice în privința datelor prelucrate de aceștia atunci când își exercită funcțiile.

Ce sunt interesele legitime?

Considerentele oferă exemple de prelucrare ce ar putea sluji interesului legitim al unui operator de date. Acestea includ:

  • Considerentul 47: prelucrarea în scopuri de marketing direct sau de prevenire a fraudei;
  • Considerentul 48: transmiterea datelor cu caracter personal în cadrul unui grup de întreprinderi în scopuri administrative interne, inclusiv a datelor privind clienții și angajații (se vor aplica în continuare cerințele privind transferul internațional – (a se vedea secțiunea privind transferurile de date cu caracter personal);
  • Considerentul 49: prelucrarea în scopul asigurării securității rețelelor și a informațiilor, inclusiv pentru prevenirea accesului neautorizat la rețelele de comunicații electronice și oprirea daunelor la sistemele informatice și de comunicații electronice; și
  • Considerentul 50: raportarea posibilelor acte criminale sau a amenințărilor la adresa siguranței publice către o autoritate competentă.

De asemenea, conform Considerentului 47, operatorii trebuie să ia în considerare așteptările persoanelor vizate atunci când evaluează dacă interesele lor legitime sunt depășite de interesele persoanelor vizate. Interesele și drepturile fundamentale ale persoanelor vizate „ar putea, în special, să le suprascrie” pe cele ale operatorului atunci când persoanele vizate „nu se așteaptă în mod rezonabil la o prelucrare ulterioară”.

Notele de informare vor trebui acum să stabilească interesele legitime

Atunci când  sunt invocate „interesele legitime” în legătură cu operațiuni specifice de prelucrare, acest lucru va trebui acum stabilit în notele de informare relevante, în temeiul Articolului 13(1)(d) și al Articolului 14(2)(b).

Dreptul de opoziție specific și consolidat

Persoanele fizice pot contesta prelucrarea bazată pe interese legitime. Administratorilor de date le revine acum sarcina de a dovedi că au motive serioase pentru a continua prelucrarea datelor. Acest lucru poate duce la exercitarea drepturilor de restricționare și ștergere a datelor. (Pentru mai multe informații, consultați secțiunea privind drepturile de opoziție).

Atenție la Codurile de Conduită

Articolul 40 solicită statelor membre, autorităților de supraveghere, Comitetului european pentru protecția datelor și Comisiei să încurajeze crearea de coduri de conduită în legătură cu o gamă largă de subiecte, inclusiv interesele legitime urmărite de către operatorii de date în contexte specifice. Membrii asociațiilor profesionale sau organismele sectoriale similare trebuie să vegheze la crearea unor astfel de coduri, care ar putea impune anumite cerințe suplimentare.

Transferurile de date – un nou temei care însă este puțin probabil să devină vreodată util în practică

O ultimă mențiune a intereselor legitime este prezentă în Articolul 49(1), care prevede că transferurile se pot face pe baza unor „interese legitime convingătoare” atunci când acestea nu sunt repetitive, se referă doar la un număr limitat de persoane vizate și operatorul a evaluat și a asigurat adecvarea. Cu toate acestea, temeiul în cauză poate fi utilizat numai atunci când operatorul nu se poate baza pe nicio altă metodă de asigurare a adecvării, inclusiv clauze-model, reguli corporative obligatorii (BCR), contracte aprobate și toate derogările de la articolul 49 alineatul (1) literele (a) – (f). Operatorul ar trebui în acest caz să notifice autoritatea de supraveghere că se bazează pe acest temei de transfer. Este puțin probabil ca o organizație să poată demonstra că nu a putut să se bazeze pe alte temeiuri de transfer. (Pentru mai multe informații, consultați secțiunea privind transferurile de date cu caracter personal).

Consimțământul

Privire de ansamblu

Consimțământul este supus unor condiții suplimentare în cadrul RGPD.

  • Cerințele suplimentare includ o interdicție efectivă a consimțământului „în bloc” și oferirea de servicii care sunt condiționate de consimțământul la prelucrare.
  • De asemenea, consimțământul trebuie separat de alte acorduri scrise, prezentate în mod clar și la fel de ușor de revocat precum de dat.
  • Se vor aplica reguli specifice copiilor în ceea ce privește serviciile societății informaționale.

Lista de acțiuni

  • Asigurați-vă că specificați clar motivele pentru prelucrarea legală invocate de organizația dumneavoastră și că aceste motive vor fi în continuare aplicabile în cadrul RGPD (a se vedea secțiunea privind legalitatea prelucrării și a prelucrării ulterioare).
  • Analizați dacă este posibil ca regulile privind protecția online a copiilor să vă afecteze și, dacă da, care sunt regulile naționale pe care trebuie să le urmați atunci când obțineți consimțământul (pentru mai multe detalii, a se vedea secțiunea privind consimțământul pentru copii).
  • Atunci când organizația dumneavoastră se bazează pe consimțământul pentru prelucrarea datelor cu caracter personal în scopul cercetării științifice, luați în considerare să le oferiți persoanele vizate posibilitatea de a consimți numai la anumite domenii de cercetare sau părți ale proiectelor de cercetare.
  • Atunci când recurgeți la consimțământ ca temei pentru prelucrarea legală, asigurați-vă că:
  • consimțământul este activ și nu se bazează pe tăcere, inacțiune sau casete pre-bifate;
  • consimțământul pentru prelucrare este distinct, clar și nu este „cuplat” cu alte acorduri sau declarații scrise;
  • furnizarea de servicii nu este condiționată de consimțământul la prelucrarea care nu este necesară pentru furnizarea serviciului;
  • persoanele vizate sunt informate că au dreptul de a-și retrage consimțământul în orice moment, dar că acest lucru nu va afecta legalitatea prelucrării pe baza consimțământului înainte de retragerea acestuia;
  • există metode simple de retragere a consimțământului, inclusiv metode care utilizează același mediu folosit pentru a obține consimțământul;
  • consimțământul se va obține în mod separat pentru operațiunile de prelucrare distincte; și
  • consimțământul nu este invocat în cazul în care există un dezechilibru clar între persoana vizată și operator (în special dacă operatorul este o autoritate publică).

Consimțământ – o definiție mai largă

Articolul 4(11) RGPD definește „consimțământul persoanei vizate” ca „orice indicație liberă, specifică, informată și lipsită de ambiguitate a dorințelor persoanei vizate prin care el sau ea, printr-o declarație sau printr-o acțiune afirmativă clară, indică acordul cu prelucrarea datelor cu caracter personal care îl/o privesc.”

Cerința ca acordul să fie „lipsit de ambiguitate” nu reprezintă o schimbare în scopuri practice; Articolul 7(a) din Directiva 95/46/CE (Directiva privind protecția datelor) prevedea că, în cazul în care consimțământul se bazează pe legitimitatea prelucrării datelor, acesta trebuie să fie dat „fără ambiguități”. Considerentul 32 sugerează că acest lucru poate fi semnalat:

„Bifând o casetă atunci când se accesează un site web, se aleg setările tehnice… sau prin orice altă declarație sau comportament care indică în mod clar… acceptarea de către persoana vizată a prelucrării propuse a datelor sale cu caracter personal. Tăcerea, casetele pre-bifate sau inacțiunea nu trebuie să constituie consimțământ.”

Consimțământul explicit este încă necesar pentru a justifica prelucrarea datelor cu caracter personal sensibile (cu excepția cazului în care se aplică alte motive (a se vedea secțiunea privind prelucrarea legală a datelor sensibile). În plus, se poate invoca consimțământul explicit în absența unor condiții adecvate sau a altor condiții în conformitate cu RGPD pentru transferul de date cu caracter personal în afara UE (a se vedea secțiunea privind transferurile de date cu caracter personal) și ca unul dintre temeiurile juridice pentru luarea automată a deciziilor referitoare la o persoană (a se vedea secțiunea privind profilarea și luarea automată a deciziilor).

Etape către valabilitate – distinct, revocabil și granular

Articolul 7(1) din RGPD prevede că, atunci când consimțământul este invocat ca temei pentru o prelucrare legală, operatorii trebuie să poată demonstra că acordul a fost dat de persoana vizată de prelucrare. Restul Articolului 7 este dedicat stabilirii condițiilor pentru un consimțământ valabil. Acestea sunt:

  • 7(2): consimțământul la prelucrare conținut într-o declarație scrisă prezentată de către operator trebuie să se poată distinge de alte aspecte din declarația respectivă, să fie inteligibil, ușor accesibil și într-un un limbaj clar. Considerentul 42 citează ca inspirație pentru aceste obligații Directiva privind contractele de consum (Directiva 93/13 / CEE). În practică, acest lucru va necesita consimțământul ca prelucrarea să fie clar identificabilă în contracte sau acorduri mai largi.

Considerentul 42 menționează, de asemenea, că un consimțământ va fi considerat informat doar atunci când persoana vizată are cunoștință de (cel puțin) identitatea operatorului și scopul prelucrării;

  • 7(3): persoanele vizate trebuie să aibă dreptul de a-și retrage consimțământul în orice moment și la fel de ușor precum l-au dat. În practică, acest lucru va obliga organizațiile cel puțin să permită retragerea consimțământului prin aceleași mijloace de informare (de exemplu, site-ul web, e-mail, text), prin care a fost obținut. RGPD recunoaște că retragerea consimțământului nu face retroactivă prelucrarea ilegală, dar solicită operatorului să informeze persoanele vizate despre acest lucru înainte de acordarea consimțământului; și
  • 7(4): în cazul în care executarea unui contract, inclusiv furnizarea unui serviciu, este condiționată de aprobarea prelucrării datelor care nu sunt necesare pentru executarea contractului respectiv, este posibil să se pună sub semnul întrebării măsura în care consimțământul poate fi considerat ca fiind acordat în mod liber.

Considerentul 43 indică faptul că se va presupune că nu se acordă în mod liber consimțământul dacă:

  • în ciuda faptului că este adecvat în aceste circumstanțe, nu există prevederi privind acordarea unui consimțământ separat pentru diferitele operațiuni de prelucrare; sau
  • „executarea unui contract, inclusiv furnizarea unui serviciu, depinde de consimțământ, în ciuda faptului că acest consimțământ nu este necesar pentru o astfel de executare”.

Prin urmare, furnizarea unui serviciu nu ar trebui să se facă în funcție de consimțământul persoanei vizate privind prelucrarea datelor sale în scopuri care nu sunt necesare pentru furnizarea serviciului.

Copiii și cercetarea

Condiții specifice se aplică valabilității consimțământului acordat de copii în legătură cu serviciile societății informaționale, cu cerințele de obținere și verificare a consimțământului părinților sub anumite limite de vârstă (pentru detalii suplimentare, a se vedea secțiunea privind consimțământul pentru copii).

Considerentul 33 din RGPD se referă la consimțământul obținut în scopuri de cercetare științifică. Recunoaște că „adesea nu este posibilă identificarea completă a scopului prelucrării datelor în scopuri de cercetare științifică în momentul colectării datelor” și prevede că:

  • persoanele vizate ar trebui să fie în măsură să consimtă la anumite domenii ale cercetării științifice, în cazul în care acestea îndeplinesc „standarde etice recunoscute” pentru astfel de cercetări; și
  • persoanele vizate ar trebui să poată acorda consimțământul numai „anumitor zone… sau părți ale proiectelor de cercetare în măsura în care acest lucru este permis de scopul propus”.

Limba consimțământului

  • Conform RGPD, consimțământul trebuie să fie inteligibil, informat, lipsit de ambiguitate etc. Este puțin probabil ca aceste cerințe să fie îndeplinite dacă consimțământul este într-o limbă străină, incomprehensibilă pentru individ. Atunci când operatorii au în vedere consimțământul în limbile UE, este posibil să se aplice regulile RGPD privind direcționarea în contextul domeniului teritorial (a se vedea secțiunea privind domeniul de aplicare material și teritorial). Dacă o organizație „vizează” o anumită jurisdicție a UE, pare rezonabil ca acordul să fie tradus în limba locală. Cu toate acestea, poziția inversă nu reiese clar din RGPD, i.e. nevizarea unei jurisdicții nu poate exclude cerința de a obține consimțământul în acea limbă a UE.

Consimțământul pentru copii

Privire de ansamblu

  • În RGPD există câteva dispoziții referitoare la copii, în special în ceea ce privește motivele pentru prelucrarea datelor și notificări.
  • Copiii sunt identificați ca „persoane vulnerabile” și merită să beneficieze de „protecție specifică”.
  • Se observă că prelucrarea datelor privind copiii prezintă anumite riscuri, iar restricții suplimentare pot fi impuse în virtutea codurilor de conduită.
  • RGPD nu precizează vârsta la care o persoană este considerată copil.
  • Atunci când serviciile online sunt furnizate unui copil, iar consimțământul este invocat ca bază pentru prelucrarea legală a datelor acestuia, consimțământul pentru copil trebuie să fie acordat sau autorizat de o persoană cu responsabilitate parentală. Această cerință se aplică copiilor cu vârsta sub 16 ani (cu excepția cazului în care statul membru prevede o limită de vârstă inferioară – care însă nu poate fi mai mică de 13 ani).

 

Lista de acțiuni

  • Analizați dacă este posibil ca regulile privind copiii să vă afecteze.
  • Dacă organizația umneavoastră oferă servicii ale societății informaționale direct copiilor, evaluați care norme naționale se vor aplica și asigurați-vă că sunt implementate mecanismele adecvate de consimțământ parental, inclusiv procesele de verificare.
  • Țineți seama de legislația națională privind prelucrarea offline a datelor referitoare la datele copiilor.
  • Atunci când serviciile sunt oferite direct unui copil, asigurați-vă că notele sunt redactate în mod clar, ținând cont de capacitatea de înțelegere a copilului.
  • Asigurați-vă că orice invocare a „intereselor legitime” în justificarea prelucrării datelor copilului este susținută cu o analiză atentă și documentată pentru a stabili dacă interesului copilului primează în fața intereselor organizației dumneavoastră.
  • Fiți atenți la codurile de conduită relevante care ar putea afecta orice asociații sau grupuri în care organizația dumneavoastră ar putea participa.

Comentarii

Importanța protecției copiilor este menționată de mai multe ori în RGPD. În practică, textul final nu oferă o nouă armonizare, iar restricțiile de fond vor proveni probabil din legi naționale sau din coduri de conduită existente sau noi. (Pentru detalii suplimentare, consultați secțiunea privind codurile de conduită și certificările.)

Consimțământul parental

Directiva 95/46/CE („Directiva privind protecția datelor”) nu conține restricții specifice referitoare la prelucrarea datelor privind copiii, iar normele privind capacitatea copiilor de a-și da consimțământul au fost extrase din dreptul intern. RGPD nu oferă o mare armonizare. Dispoziția majoră privitoare la copiii este Articolul 8, care impune obținerea consimțământului părinților pentru serviciile societății informaționale oferite direct unui copil cu vârsta sub 16 ani – deși acest plafon poate fi stabilit la un nivel de 13 de către un stat membru și se va aplica numai atunci când prelucrarea se va baza pe consimțământul copilului. Nu este clar dacă această cerință de consimțământ se va aplica în cazul în care datele cu caracter personal ale copilului/adolescentului sunt colectate online în mod neintenționat. Orientările inițiale de la Biroul Comisarului pentru Informații din Regatul Unit par să sugereze că, pentru aplicarea acestei cerințe, serviciul societății informaționale trebuie îi „vizeze în mod expres pe copii”.

De asemenea, în conformitate cu Articolul 8(2) din RGPD, operatorul este obligat să facă „eforturi rezonabile” pentru a verifica dacă consimțământul a fost acordat sau autorizat de titularul răspunderii parentale având în vedere tehnologia disponibilă.

Acest lucru afectează numai anumite date online – datele offline vor continua să rămână supuse regulilor obișnuite ale statului membru privind capacitatea de a consimți. De asemenea, nu se consideră că Articolul 8(1) afectează dreptul general al contractelor aplicabil în statele membre cu privire la valabilitatea, încheierea sau efectele unui contract cu un copil. Organizațiile vor trebui în continuare să ia în considerare legile locale din acest domeniu.

Notele adresate copiilor trebuie să fie prietenoase cu aceștia

Articolul 12 RGPD prevede că obligațiile de a se asigura că informațiile furnizate persoanelor vizate sunt concise, transparente și într-un limbaj simplu vor fi îndeplinite „în special pentru orice informație adresată în mod specific unui copil”. Considerentul 58 se extinde astfel:

„Având în vedere că un copil merită o protecție specifică, orice informație și comunicare, în care prelucrarea este adresată unui copil, trebuie să fie într-un limbaj clar și simplu astfel încât copilul să îl poată înțelege cu ușurință”.

Termenul „copil” nu este definit de RGPD. Operatorii ar trebui, prin urmare, să fie pregătiți să răspundă acestor cerințe în notele adresate adolescenților și adulților tineri.

Dispoziții diverse – linii de asistență, coduri de conduită și lucru pentru autoritățile de supraveghere

Articolul 6(1)(f) din RGPD menționează că drepturile și libertățile unei persoane vizate pot „în special” suprascrie interesele operatorului sau ale terților atunci când persoana vizată este un copil. Operatorii ar trebui să se asigure că sunt păstrate în continuare documentele care demonstrează că interesele concurențiale relevante au fost luate în considerare în mod corespunzător atunci când pentru prelucrarea datelor referitoare la copii au fost invocate interesele legitime.

Considerentul 38 constată că utilizarea datelor privind copiii în cadrul activităților de marketing sau în scopuri de profilare sau în legătură cu furnizarea de servicii pentru copii reprezintă domenii de interes care necesită protecție specifică în cadrul RGPD. De asemenea, Considerentul prevede că acordul părinților nu ar trebui să fie solicitat în contextul serviciilor de prevenire și/sau de consiliere oferite direct unui copil, deși această sugestie nu pare să fie reflectată în articolele RGPD.

Conform Considerentului 75, copiii sunt „persoane fizice vulnerabile” și prelucrarea datelor despre copii este o activitate care poate duce la un risc cu un „grad variat de probabilitate și severitate”.

Articolul 40 solicită statelor membre, autorităților de supraveghere, Comitetului european pentru protecția datelor și Comisiei să încurajeze elaborarea de coduri de conduită, inclusiv în domeniul protecției copiilor, precum și referitor la modul în care consimțământul poate fi colectat de la titularul responsabilității parentale relevante. Organizațiile care prelucrează date cu caracter personal referitoare la copii ar trebui să vegheze la crearea unor astfel de coduri, ceea ce ar putea impune anumite cerințe suplimentare.

În cele din urmă, autoritățile de supraveghere, atunci când promovează conștientizarea și înțelegerea publică a riscurilor, regulilor, garanțiilor și drepturilor legate de prelucrarea datelor cu caracter personal, în temeiul obligației care le este impusă prin Articolul 57(1) (b) trebuie să acorde o „atenție specială” activităților adresate copiilor.

Prelucrarea legală a datelor sensibile

Privire de ansamblu

  • „Categoriile speciale de date cu caracter personal” (date sensibile) includ în mod expres „date genetice” și „date biometrice” care sunt procesate „pentru a identifica în mod unic o persoană”.
  • Motivele pentru prelucrarea datelor sensibile în cadrul RGPD repetă în mare măsură cele prevăzute de Directiva privind protecția datelor, deși există temeiuri mai ample în domeniul sănătății și al gestionării asistenței medicale.
  • Există, de asemenea, o vastă capacitate pentru statele membre de a aduce noi condiții (inclusiv limitări) privind prelucrarea datelor genetice, biometrice sau referitoare la starea de sănătate.

Lista de acțiuni

  • Asigurați claritatea cu privire la motivele invocate de organizația dumneavoastră pentru prelucrarea datelor sensibile și verificați dacă aceste motive vor fi în continuare aplicabile în cadrul RGPD;
  • Atunci când vă bazați pe consimțământ, asigurați-vă că acesta îndeplinește noile cerințe de calitate privitoare la colectarea consimțământului (a se vedea secțiunea privind consimțământul);
  • Analizați dacă este posibil ca regulile privind copiii să vă afecteze și, în caz afirmativ, care sunt normele naționale pe care trebuie să le urmați atunci când obțineți consimțământul acestora (pentru detalii suplimentare, consultați secțiunea referitoare la copii); și
  • Dacă procesați cantități substanțiale de date genetice, biometrice sau referitoare la starea de sănătate, asigurați-vă că acordați atenție evoluțiilor naționale, deoarece statele membre au un drept extins de a impune condiții suplimentare – inclusiv restricții – în temeiul celor stabilite în RGPD.

Comentarii

Articolul 9(2) stabilește circumstanțele în care poate avea loc prelucrarea unor date cu caracter personal sensibile care sunt altfel interzise. Următoarele categorii de date sunt considerate „sensibile”, așa cum se prevede la Articolul 9(1):

  • origine rasială sau etnică;
  • opinii politice;
  • credințe religioase sau filosofice;
  • calitatea de membru de sindicat;
  • date privind starea de sănătatea, viața sexuală și orientarea sexuală;
  • date genetice (nou); și
  • date biometrice atunci când sunt procesate pentru a identifica în mod unic o persoană (nou).

Rețineți că în Considerentul 51 se sugerează că prelucrarea fotografiilor nu va fi considerată automat prelucrare de date sensibile (așa cum a fost cazul în unele state membre până în prezent); fotografiile vor intra sub incidența prelucrării de date sensibile numai în măsura în care vor permite identificarea sau autentificarea unică a unei persoane ca biometrie (cum ar fi atunci când sunt utilizate ca parte a unui pașaport electronic).

Temeiurile pentru prelucrarea datelor sensibile le reproduc în mare măsură pe cele din Directiva privind protecția datelor. Acestea sunt:

9(2)(a) – consimțământul explicit al persoanei vizate, cu excepția cazului în care legea UE sau a statului membru interzice utilizarea acestui temei

Nu există nicio schimbare aici, deși ar trebui luate în considerare noi condiții de consimțământ (vezi secțiunea privind consimțământul).

9(2)(b) – necesară pentru îndeplinirea obligațiilor prevăzute de legislația muncii, de securitate socială sau de protecție socială sau de un acord colectiv

Extinde într-o mică măsură textul Directivei privind protecția datelor, făcând trimitere expresă la respectarea convențiilor colective și a obligațiilor decurgând din legislația privind securitatea și protecția socială.

9(2)(c) – necesară pentru protejarea intereselor vitale ale persoanei vizate care nu are capacitatea fizică sau legală de a-și da consimțământul

Reproduce o dispoziție echivalentă din Directiva privind protecția datelor.

9(2)(d) – prelucrarea efectuată de o organizație non-profit cu scop politic, filosofic, religios sau sindical, cu condiția ca prelucrarea să se refere numai la membrii sau foștii membri (sau cei care au contact periodic cu aceștia în legătura cu scopurile menționate) și cu condiția să nu fie divulgate unei terțe părți fără consimțământ

Reproduce o dispoziție echivalentă din Directiva privind protecția datelor.

9(2)(e) – Datele făcute publice în mod evident de către persoana vizată

Reproduce o dispoziție echivalentă din Directiva privind protecția datelor.

9(2)(f) – necesară pentru constatarea, exercitarea sau apărarea unui drept în justiție sau atunci când instanțele acționează în exercițiul funcției lor jurisdicționale

Prelucrarea datelor de către instanțele acționează în exercițiul funcției lor jurisdicționale se adaugă dispoziției echivalente din Directiva privind protecția datelor.

9(2)(g) –  necesară din motive de interes public important în baza dreptului Uniunii sau a dreptului intern, care este proporțional cu scopul urmărit și care conține măsuri de salvgardare corespunzătoare.

Acest lucru permite statelor membre să extindă prin lege circumstanțele în care datele sensibile pot fi prelucrate în interesul public.

9(2)(h) – necesară în scopuri de medicină preventivă sau ocupațională, pentru evaluarea capacității de lucru a angajatului, diagnostic medical, furnizarea de asistență medicală sau socială sau tratarea sau gestionarea sistemelor de sănătate sau de asistență socială în baza dreptului Uniunii sau a dreptului intern sau a unui contract cu un profesionist în domeniul sănătății

ȘI

9(2)(i) – necesară din motive de interes public în domeniul sănătății publice, cum ar fi protecția împotriva amenințărilor transfrontaliere grave la adresa sănătății sau asigurarea unor standarde ridicate de asistență medicală, medicație, dispozitive medicale

Aceste două dispoziții extind dispoziția echivalentă din Directiva privind protecția datelor și abordează lacunele recunoscute în directiva menționată, furnizând o justificare legală pentru utilizările reglementare ale datelor privind asistența medicală în sectorul sănătății și în cel farmaceutic și prin furnizarea de date privind sănătatea furnizorilor de asistență socială.

Ambele condiții impun obligații de confidențialitate prin garanții suplimentare.

9(2)(j) – necesară pentru arhivarea în interes public sau în scopuri de cercetare științifică și istorică sau în scopuri statistice în conformitate cu Articolul 89(1)

Este vorba despre o nouă dispoziție privind prelucrarea datelor cu caracter personal sensibile în scopul arhivării, cercetării și statisticilor, cu condiția instituirii unor garanții adecvate, inclusiv a unor garanții care să asigure respectarea principiului minimizării datelor (pentru mai multe detalii, a se vedea secțiunea privind derogările și condițiile speciale).

Date genetice, biometrice sau privind starea de sănătate

Statele membre au dreptul, în temeiul Articolului 9(4) din RGPD, să mențină sau să impună alte condiții (inclusiv limitări) în ceea ce privește datele genetice, biometrice sau privind starea de sănătate. Ca atare, diferențele existente în ceea ce privește abordarea acestor subiecte vor fi probabil menținute, iar divergențele ulterioare vor fi permise. Entitățile care procesează aceste categorii de date ar trebui să continue să monitorizeze dezvoltarea legislației naționale relevante și să ia în considerare necesitatea continuării activităților de lobby în acest domeniu.

Condamnări penale și infracțiuni

Datele privind condamnările penale și infracțiunile nu sunt clasificate ca „sensibile” în sensul RGPD. Aceasta nu constituie însă o schimbare deoarece (deși Legea privind protecția datelor din Regatul Unit tratează datele cu caracter personal referitoare la proceduri și condamnări penale ca date sensibile), datele de acest tip nu au fost tratate ca date sensibile în temeiul Directivei privind protecția datelor.

Normele din RGPD în ceea ce privește datele referitoare la condamnări penale și infracțiuni reflectă cele aplicate în temeiul Directivei privind protecția datelor. Articolul 10 prevede că aceste date pot fi prelucrate numai sub controlul autorității publice sau atunci când prelucrarea este autorizată de dreptul Uniunii sau de dreptul intern care prevede garanții adecvate. Această dispoziție este susceptibilă să ducă la o divergență națională continuă în acest domeniu.

2018-01-10T13:27:38+00:00
Aveti nevoie de ajutor in
implementarea GDPR?
Lasati-ne cateva detalii despre dvs. si compania pe care o reprezentati,
iar noi vom reveni cu mai multe informatii. 
Vreau sa fiu contactat!
Ma mai gandesc
close-link