Ghid privind exercitarea drepturilor de către persoanele fizice în contextul noutăţilor aduse de Regulamentul privind protecţia datelor personale – GDPR
Protecția persoanelor fizice referitoare la prelucrarea datelor cu caracter personal este un drept fundamental prevăzută în art. 8 alin(1) din Carta drepturilor fundamentale ale Uniunii Europene și art.16 alin (1) din Tratatul privind funcționarea Uniunii Europene.
Conform recomandărilor autorităților în domeniu, o persoană vizată ar trebui să aibă drept de acces la datele cu caracter personal colectate care o privesc și ar trebui să îşi exercite acest drept cu ușurință și la intervale de timp rezonabile, pentru a fi informată cu privire la prelucrare şi pentru a verifica legalitatea acesteia.
Orice persoană vizată ar trebui, prin urmare, să aibă dreptul de a cunoaşte şi de a i se comunica în special scopurile în care sunt prelucrate datele, dacă este posibil perioada pentru care se prelucrează datele cu caracter personal, destinatarii datelor cu caracter personal, logica de prelucrare automată a datelor cu caracter personal şi, cel puţin în cazul în care se bazează pe crearea de profiluri, consecințele unei astfel de prelucrări.
Operatorul ar trebui să ia toate măsurile rezonabile pentru a verifica identitatea unei persoane vizate care solicită acces la date, în special în contextul serviciilor online şi al identificatorilor online.
SCOP
Furnizarea unor informații, precum și a drepturilor, în cazul în care datele cu caracter personal sunt colectate de la persoana vizată, în contextul noutăţilor aduse de Regulamentul general privind protecția datelor.
CADRUL LEGAL
REGULAMENTUL nr. 679 din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor), intrat în vigoare pe 25.05.2016, aplicabil începând cu 25.05.2018.
Regulamentul UE 679/2016 impune un set de reguli în materia protecției datelor cu caracter personal, înlocuind Directiva 95/46/CE și, implicit, prevederile Legii nr. 677/2001.
DEFINIȚII
date cu caracter personal – orice informaţii privind o persoană fizică identificată sau identificabilă („persoana vizată”);
O persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identităţii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;
operator – persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism care, singur sau împreună cu altele, stabileşte scopurile şi mijloacele de prelucrare a datelor cu caracter personal;
Atunci când scopurile şi mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern;
Autoritatea naţională de supraveghere – o autoritate publică independentă instituită de un stat membru. În România, funcționează Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal, autoritate publică cu personalitate juridică, autonomă şi independentă faţă de orice altă autoritate publică, precum şi faţă de orice persoană fizică sau juridică.
DREPTURILE PERSOANEI VIZATE
1. Informare;
2. Acces;
3. Rectificare;
4. Ștergere;
5. Restricționare;
6. Portabilitate;
7. Opoziție;
8. Procesul decizional automatizat.
1. INFORMARE
În principal:
– identitatea și date de contact ale operatorului;
– scopurile în care sunt prelucrate datele cu caracter personal, precum şi temeiul juridic al prelucrării;
– destinatarii sau categoriile de destinatari;
– informații cu privire la transferul de date către o țară terță;
– perioada de stocare;
– drepturile persoanei vizate (acces, restricționare, ștergere, retragere consimțământ, portabilitatea datelor și dreptul de a se opune prelucrării);
– dreptul de a formula o plângere la autoritatea de supraveghere;
– sursa din care provin datele cu caracter personal şi, dacă este cazul, dacă acestea provin din surse disponibile public;
– eventuale consecințe ale nefurnizarii datelor;
– existența unui proces decizional automatizat.
2. ACCES
În principal:
– verificarea identității persoanei care solicită informații
– confirmare cu privire la prelucrarea de date;
– acces la datele prelucrate;
– furnizarea informațiilor solicitate referitor la datele cu caracter personal care fac obiectul prelucrării;
– dreptul de a obține informații suplimentare (operatorul poate percepe o taxă rezonabilă bazată pe costurile administrative).
3. RECTIFICARE
– rectificare date inexacte;
– completare date dacă acestea sunt incomplete, inclusiv prin furnizarea unei declarații suplimentare.
4. ȘTERGERE – „dreptul de a fi uitat”
– Dreptul de a obține ștergerea datelor. Situații:
– datele nu mai sunt necesare pentru îndeplinirea scopului;
– retragerea consimțământului;
– opoziție;
– prelucrare ilegală;
– respectarea unei obligații legale impuse de dreptul Uniunii Europene sau de cel intern;
– oferirea de servicii ale societăţii informaţionale în mod direct unui copil, dacă nu sunt indeplinite condițiile din Regulamente;
– Nu se aplică în cazul în care prelucrarea este necesară pentru:
– exercitarea dreptului la libera exprimare și informare;
– respectarea unei obligații legale;
– executarea unei sarcini în interes public;
– în domeniul sănătații publice;
– arhivare, cercetare științifică sau istorică ori scopuri statistice;
– constatarea, exercitarea sau apărarea unui drept în instanță.
5. RESTRICȚIONAREA
– Cazuri:
– contestarea exactității datelor;
– prelucrare ilegală;
– datele nu mai sunt necesare;
– opoziție cu privire la prelucrare.
– Operatorul poate doar stoca datele;
– Orice prelucrare cu privire la date restrictionate necesită:
– consimțămantul persoanei vizate;
– pentru constatarea, exercitarea sau apararea unui drept în instanță;
– pentru protejarea unei persoane fizice sau juridice;
– motive de interes public.
– Operatorul comunică fiecărui destinatar căruia i-au fost divulgate datele cu caracter personal orice rectificare sau ştergere a datelor cu caracter personal sau restricţionare a prelucrării, cu excepţia cazului în care acest lucru se dovedeşte imposibil sau presupune eforturi disproporţionate.
Operatorul informează persoana vizată cu privire la destinatarii respectivi dacă persoana vizată solicită acest lucru.
6. PORTABILITATEA
– Persoana vizată are dreptul de a primi datele cu caracter personal care o privesc şi pe care le-a furnizat operatorului într-un format structurat, utilizat în mod curent şi care poate fi citit automat şi are dreptul de a transmite aceste date altui operator, fără obstacole din partea operatorului căruia i-au fost furnizate datele cu caracter personal.
– Condiții de aplicare:
– privește datele furnizate operatorului de către persoana vizată;
– prelucrarea se bazează pe consimțământ sau este necesară pentru executarea unui contract/precontract;
– este efectuată prin mijloace automate.
7. OPOZIȚIA
– Nu se poate formula opoziție pentru procesarea datelor în general;
– Dreptul la opoziție cu privire la prelucrarea pentru următoarele scopuri:
– marketing direct;
– cercetare, științifice, istorice, statistice.
Excepție: în cazul în care prelucrarea este necesară pentru realizarea unui interes public;
8. PROCESUL DECIZIONAL AUTOMATIZAT
– Dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrare automată (inclusiv crearea de profiluri), care produce efecte juridice;
Excepții:
– decizia este necesară pentru încheierea sau executarea unui contract;
– procesarea este autorizată prin dreptul Uniunii Europene sau de dreptul intern;
– consimțământul persoanei vizate.
– Nu se aplică în cazul categoriilor speciale de date.
Excepții :
– consimțământul persoanei vizate;
– motive de interes public major.
RESTRICȚII PRIVIND DREPTURILE PERSOANEI VIZATE
a) securitate națională;
b) apărare;
c) securitate publică;
d) prevenirea, investigarea, depistarea sau urmărirea penală a infracţiunilor sau executarea sancţiunilor penale, inclusiv protejarea împotriva ameninţărilor la adresa securităţii publice şi prevenirea acestora;
e) alte obiective strict enumerate.
CERERE PENTRU EXERCITAREA DREPTURILOR
Pentru exercitarea acestor drepturi, vă puteţi adresa FGA cu o cerere, conform anexelor nr. 1- 4.
Cererea se întocmește în formă scrisă, datată şi semnată și se poate remite:
1. prin intermediul serviciilor poştale pe adresa FGA din București, str. Vasile Lascăr nr 31, Sector 2, București;
2. prin depunere personală la sediul FGA;
3. prin fax la nr. +4021.201.10.61;
4. prin e-mail la adresele: office@fgaromania.ro , dpo@fgaromania.ro .
Solicitantul va asigura posibilitatea verificării identității de către operator, în special în contextul serviciilor online şi al identificatorilor online.
PLÂNGERE ÎNAINTATĂ ANSPDCP
– În apărarea drepturilor sale, persoanele vizate pot înainta plângere, direct sau prin reprezentant, către Autoritatea națională de supraveghere, la sediul acesteia din Bulevardul General Gheorghe Magheru nr. 28-30, Sector 1, cod poştal 010336, Bucureşti, tel. +40.318.059.211, fax. +40.318.059.602, e-mail: anspdcp@dataprotection.ro .
– Plângerea nu poate fi înaintată dacă a fost introdusă anterior o cerere în justiţie, având acelaşi obiect şi aceleaşi părţi.
– În afara cazurilor în care o întârziere ar cauza un prejudiciu iminent şi ireparabil, plângerea către Autoritatea națională de supraveghere nu poate fi înaintată mai devreme de 15 zile de la înaintarea unei plângeri cu acelaşi conţinut către operator .
– Dacă se constată că plângerea este întemeiată, autoritatea de supraveghere poate dispune suspendarea provizorie sau încetarea prelucrării datelor, ştergerea parţială sau integrală a prelucrării datelor şi poate să sesizeze organele de urmăriere penală sau să intenteze acţiune în justiţie. Decizia trebuie motivată şi se comunică părţilor interesate în termen de 30 de zile de la data plângerii.