Search
Miercuri 19 Decembrie 2018
  • :
  • :

Drepturile persoanei vizate din perspectiva Regulamentului privind Protecţia Datelor cu Caracter Personal (2)

Autor: Mihaela Farin – Vlăsceanu, Ene & Partners

Odata cu intrarea in vigoare a Regulamentului (UE) 2016/679 al Parlamentului European si al Consiliului din 27 aprilie 2016 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a Directivei 95/46/CE (“Regulamentul”), legislatia va suferi o serie de modificari imediate. Regulamentul va fi de directa aplicabilitate incepand cu data de 25 mai 2018.

In primul nostru articol am optat pentru prezentarea unui prim set de drepturi ale persoanei ale carei date sunt prelucrate (i.e. persoana vizata), una dintre zonele cele mai sensibile si importante atat din perspectiva persoanei vizate, cat si din perspectiva operatorilor de date.

Drepturile persoanei vizate se refera la consimtamant, informare, acces la datele prelucrate, rectificarea datelor, stergerea datelor, restrictionarea prelucrarii, portabilitatea datelor, opozitie si de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automata si/ sau creare de profiluri.

In cadrul acestui al doilea articol vom continua, tratand dreptul la restrictionarea prelucrarii, la portabilitatea datelor, la opozitie si de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automata si/ sau creare de profiluri.

  1. Dreptul la restrictionarea prelucrarii

Persoana vizata are dreptul sa solicite restrictionarea prelucrarii datelor cu caracter personal in cazul in care contesta exactitatea datelor, prelucrarea este ilegala etc.

Ca si in cazul stergerii datelor, daca operatorul a facut publice datele cu caracter personal, acesta, cu luarea in considerare a tehnologiei disponibile si a costului implementarii, ia masuri rezonabile, inclusiv masuri tehnice, pentru a informa operatorii care prelucreaza datele cu caracter personal ca persoana vizata a solicitat restrictionarea de catre acesti operatori a oricaror linkuri catre datele respective sau a oricaror copii sau reproduceri ale acestor date cu caracter personal.

In cazul in care persoana vizata si-a exercitat dreptul de restrictionare, aceste date cu caracter personal pot fi prelucrate numai cu consimtamantul persoanei vizate. Consimtamantul nu este, totusi, solicitat in situatii care presupun constatarea, exercitarea sau apararea unui drept in instanta, in cazul in care sunt necesare pentru protectia drepturilor unei alte persoane fizice sau juridice sau din motive de interes public important al Uniunii sau al unui stat membru.

  1. Dreptul la portabilitatea datelor

Un alt element de noutate absoluta, dreptul la portabilitatea datelor are ca scop responsabilizarea persoanelor vizate in ceea ce priveste propriile date cu caracter personal intrucat faciliteaza capacitatea lor de a muta, copia sau transmite datele cu caracter personal cu usurinta de la un mediu IT la altul (fie la propriile sisteme, fie la sistemele unor parti terte de incredere sau cele ale noilor operatori de date).

Persoana vizata are dreptul de a solicita operatorului datele personale prelucrate prin mijloace automate, precum si cele prelucrate in baza consimtamantului persoanei vizate sau in baza unui contract la care persoana vizata este parte iar acestea ar trebui sa fie primite intr-un format structurat, utilizat in mod curent si care poate fi citit automat.

De asemenea persoana vizata are dreptul de a solicita operatorului transmiterea directa a datelor cu caracter personal atunci cand acest lucru este posibil din punct de vedere tehnic catre un alt operator. Acest lucru nu inseamna faptul ca portabilitatea datelor declanseaza automat stergerea datelor din sistemul operatorului si nu afecteaza perioada initiala de pastrare aplicabila datelor care au fost transmise.

Operatorii de date care raspund unei cereri de portabilitate a datelor nu sunt responsabili pentru prelucrarea efectuata de persoana vizata sau de o alta companie ce primeste datele cu caracter personal. In acest sens operatorul de date nu este responsabil pentru respectarea legii de catre operatorul care primeste datele deoarece nu este el cel care alege destinatarul.

Mai mult portabilitatea datelor nu impune o obligatie operatorului de a pastra datele cu caracter personal pe o perioada mai mare decat cea necesara sau pe o perioada de stocare mai mare decat cea specificata.

Prin aceasta reglementare, operatorii sunt incurajati sa dezvolte formate interoperabile care sa permita portabilitatea datelor, fara a crea o obligatie operatorilor de date de a adopta sau mentine sisteme de prelucrare care sunt combatibile. Cu toate acestea, Regulamentul interzice operatorilor sa stabileasca obstacole in calea transmiterii.

  1. Dreptul la opozitie

Pentru a prelucra date cu caracter personal, operatorul trebuie sa aiba o baza legala pentru aceasta prelucrare.

In cazul in care prelucrarea se face in baza unui interes public sau legitim, trebuie retinut faptul ca persoanele vizate au dreptul de a face opozitie.

Exercitarea cu succes a dreptului la opozitie necesita o motivatie in sensul ca persoanele vizate trebuie sa ofere motive legate de situatia lor particulara.

Operatorul nu este obligat sa inceteze prelucrarea datelor atunci cand demonstreaza ca are motive legitime si imperioase care justifica prelucrarea si care prevaleaza asupra intereselor, drepturilor si libertatilor persoanei vizate sau ca scopul este constatarea, exercitarea sau apararea unui drept in instanta.

In acest moment legislatia permite unei organizatii sa continue prelucrarea datelor relevante, cu exceptia cazului in care persoana vizata poate demonstra ca opozitia este justificata. Daca aceasta conditie este indeplinita, Regulamentul inverseaza sarcina probei si solicita organizatiei sa demonstreze ca are fie motive intemeiate pentru continuarea prelucrarii, fie ca prelucrarea este necesara in legatura cu drepturile sale. In cazul in care nu poate demonstra ca activitatea de prelucrare se incadreaza in unul din aceste motive, organizatia trebuie sa inceteze prelucrarea

Nota: acest lucru s-ar putea dovedi deosebit de periculos pentru organizatiile care se bazeaza in prezent pe propriile interese legitime ca baza legala pentru prelucrarea datelor cu caracter personal, acestea fiind cele mai expuse riscului exercitarii dreptului la opozitie de catre persoanele vizate.

De asemenea persoana vizata are dreptul de a face opozitie atunci cand prelucrarea datelor cu caracter personal are drept scop marketingul direct. In acest caz dreptul la opozitie este unul absolut. Odata ce a fost inregistrata o opozitie referitoare la marketingul direct, operatorul nu mai are dreptul sa prelucreze datele cu caracter personal in nicio situatie.

Atunci cand baza legala a prelucrarii este data de scopul stiintific, istoric sau statistic de interes public, persoana vizata are dreptul la opozitie, cu exceptia cazului in care prelucrarea este necesara pentru indeplinirea unei sarcini din motive de interes public.

Nota: ca si in situatia prelucrarii bazate pe interesele legitime ale operatorului, acestuia din urma ii revine sarcina de a proba motivele de interes public.

Dreptul de a face opozitie este adus la cunostinta persoanei vizate in mod explicit si este prezentat in mod clar si separat de orice alte informatii cel mai tarziu in momentul primei comunicari.

Nota actuala legislatie nu prevede obligatii specifice de informare a persoanelor vizate cu privire la acest drept.

  1. Dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automata, inclusiv crearea de profiluri

Aceasta prevedere ofera persoanelor fizice garantii impotriva riscului ca o decizie potential daunatoare sa fie luata fara interventia umana.

Interdictia prevazuta in Regulament se aplica numai in situatia in care o decizie este bazata exclusiv pe prelucrarea automata, inclusiv creearea de profiluri care produce efecte juridice ce privesc persoana vizata sau o afecteaza in mod similar intr-o masura semnificativa.

De asemenea Regulamentul face referire la decizii bazate exclusiv pe prelucrare automata. Acest lucru insemna ca aceasta decizie se face fara interventie umana. In cazul in care o persoana ar fi implicata in procesul decizional influentand in acest sens rezultatul atunci respectiva decizie nu ar fi bazata exclusiv pe prelucrarea automata.

Similar altor drepturi reglementate de Regulament, nici acest drept nu este unul absolut.

Prin urmare, persoana vizata poate face obiectul unei decizii bazate exclusiv pe prelucrarea automata in cazul in care:

  • este necesar pentru incheierea sau executarea unui contract (e.g. pentru o mai mare corectitudine in procesul decizional, se poate reduce riscul unei erori umane, abuz);
  • este autorizata prin dreptul Uniunii sau dreptul intern care se aplica operatorului si care prevede, de asemenea masuri corespunzatoare pentru protejarea drepturilor, libertatilor si intereselor legitime ale persoanei vizate (e.g. pentru prevenirea fraudei sau evaziunii fiscale);
  • are la baza consimtamantul explicit al persoanei vizate.



Leave a Reply

Your email address will not be published. Required fields are marked *