GDP Shield în raport cu Regulamentul GDPR

DREPTURILE SUBIECȚILOR DE DATE – OBLIGAȚII ALE OPERATORILOR

1. Dreptul de a fi informat

Dreptul de a fi informat se refera la obligația operatorului de a furniza “informații corecte de procesare”, de obicei printr-o notificare privind confidențialitatea. Acesta subliniază nevoia de transparență în ceea ce privește modul în care utilizați datele cu caracter personal.

Conform Articolului 13: ”Informații care se furnizează în cazul în care datele cu caracter personal sunt colectate de la persoana vizată”, Alineatul 1, operatorul trebuie să furnizeze persoanei vizate următoarele informații:

• identitatea şi datele de contact – ca operator, și după caz datele personale ale reprezentantului al acestuia;
• datele de contact ale responsabilului cu protecţia datelor, după caz ca ofițer de protecție a datelor personale (DPO);
• scopurile pentru care care se prelucrează datele cu caracter personal, precum şi temeiul juridic al prelucrării (baza legală);
• interesele legitime urmărite (ca operator sau ca o terță parte) – cu excepțiile de la Articolul 6 alineatul (1) litera (f) – Legalitatea prelucrării;
• care sunt destinatarii sau categoriile de destinatari ai datelor cu caracter personal;
• intenţia de a transfera date cu caracter personal către o ţară terţă și care sunt garanțiile pe care le oferă operatorul că acest transfer este perfect legal și nu lezează interesele persoanei vizate;

În plus, în momentul în care am obținut deja datele cu caracter personal, conform Articolului 13, Alineatul 2, eu ca operator trebuie să furnizez persoanei vizate o serie de informaţii suplimentare, necesare pentru a asigura transparența prelucrării:

• perioada de reținere a datelor sau criteriile folosite pentru a stabili această perioadă;
• dreptul la rectificare, ștergere, restricționare, obiecții;
• dreptul la portabilitatea datelor;
• dreptul de a retrage consimțământul în orice moment, dacă este cazul;
• dreptul de a depune o plângere la o autoritate de supraveghere;
• dacă solicitarea face parte dintr-o cerință sau obligație legală sau contractuală și posibilele consecințe ale nefurnizării;
• existența unui proces automat de luare a deciziilor ( incluzând profilarea) și modul în care sunt luate deciziile, semnificația și consecințele acestora.

 
GDP Shield pune la dispoziția operatorului un sistem automatizat prin care se preiau toate informațiile necesare din baza de date și se emite un Raport complet. 

2. Dreptul de acces

Ce informații poate o persoană să solicite conform GDPR?

Conform GDPR orice persoană vizată poate solicita dreptul de acces la datele personale, în anumite condiții.  În mare aceste drepturi se regăsesc și în prevederile legislației anterioare.

Astfel, potrivit Articolului 15: ”Dreptul de acces de către persoana vizată”, pot fi solicitate următoarele tipuri de  informații:

• care e scopul prelucrării datelor personale?
• ce categorii de date cu caracter personal sunt în cauză;
• care sunt destinatarii cărora le-au fost furnizate datele cu caracter personal;
• care este perioada pentru care vor fi stocate datele cu caracter personal;
• în cazul în care datele cu caracter personal nu sunt colectate de la persoana vizată, orice informații disponibile cu privire la originea lor.

GDP Shield pune la dispoziția operatorului un sistem automatizat prin care se preiau toate informațiile necesare din baza de date și se emite un Raport complet. 

3. Dreptul la rectificare

Ce este dreptul la rectificare?

Conform Articolului 16: ”Dreptul la rectificare” – ”Persoana vizată are dreptul de a obţine de la operator, fără întârzieri nejustificate, rectificarea datelor cu caracter personal inexacte care o privesc. Ţinându-se seama de scopurile în care au fost prelucrate datele, persoana vizată are dreptul de a obţine completarea datelor cu caracter personal care sunt incomplete, inclusiv prin furnizarea unei declaraţii suplimentare. 

Când pot fi rectificate datele personale?

Persoanele vizate au dreptul de a ne solicita rectificarea datelor personale, în cazul în care acestea sunt inexacte sau incomplete și în special când datele personale nu au fost colectate direct.

Perioada de timp alocată de regulament pentru rectificarea datelor este de maxim o lună, cu posibilitatea extinderii la două luni, în condiții speciale. În cazul în care nu se iau măsuri ca răspuns la o cerere de rectificare, trebuie să ca persoana vizată să fie informată de cauzele speciale existente  și în cazul în care nu se ajunge la o înțelegere, trebuie să știe că are dreptul de a depune o plângere la autoritatea de supraveghere și la o cale de atac.

GDP Shield oferă operatorului posibilitatea de a actualiza în orice moment infomațiile din baza de date, permite inclusiv adăugare sau ștergerea de câmpuri de date, păstrând și un log istoric, în acest sens, cu privire la modificările sau completările aduse.

4. Dreptul la ștergere sau ”Dreptul de a fi uitat”

Ce este dreptul la ștergere?

Dreptul la ștergerea datelor personale face parte din noile prevederi introduse de GDPR.

Cunoscut în special ca „dreptul de a fi uitat“, acesta se bazează pe principiul de a garanta oricărui individ libertatea de a  face ce vrea cu datele sale personale, inclusiv de a le șterge, dacă nu există un motiv convingător sau special pentru continuarea procesării și stocării acestora.

Când ni se poate solicita dreptul la ștergere? 

Conform Articolului 17, Alineatul 1: Dreptul la ștergerea datelor (“dreptul de a fi uitat”), persoana vizată are dreptul de a obţine din partea operatorului ştergerea datelor cu caracter personal, fără întârzieri nejustificate, iar noi ca operatori avem obligaţia de a şterge datele cu caracter personal, în cazul în care există unul dintre motivele:

• datele nu mai sunt necesare pentru scopurile pentru care au fost colectate sau prelucrate;
• persoana vizată îşi retrage consimţământul pe baza căruia are loc prelucrarea;
• persoana vizată se opune prelucrării în temeiul articolului 21 alineatul (1) dreptul la opoziție
• există neclarități legate de legalitatea prelucrării datelor cu caracter personal;
• datele trebuie şterse pentru respectarea unei obligaţii legale care revine operatorului;
• datele cu caracter personal aparțin unor copii, cu vârsta sub 16 ani.

În Articolul 17, Alineatul 2 se ia în discuție cazul în care operatorul a făcut publice datele cu caracter personal şi este obligat, în temeiul alineatului (1), să le şteargă.

Ce trebuie să facem în acest caz? În funcție de tehnologia disponibilă şi de costul implementării, trebuie să luăm ”măsuri rezonabile”, inclusiv măsuri tehnice, pentru a informa toți procesatorii care prelucrează datele cu caracter personal că persoana vizată a solicitat ştergerea de către aceşti operatori a oricăror linkuri către datele respective sau a oricăror copii sau reproduceri ale acestor date cu caracter personal.

Trebuie să mai reținem faptul că dreptul la ștergere nu asigură și o aplicare absolută a „dreptului de a fi uitat“.

Persoanele fizice au dreptul de a dispune cum doresc de datele cu caracter personal șterse, le pot încredința unui alt operator, le pot actualiza și pregăti pentru alte tipuri de prelucrări.

Când putem refuza să dăm curs unei cereri de ștergere a datelor?

Situațiile în care prevederile de la Alineatele 1 și 2 nu se aplică sunt explicitate la Alineatul 3, unde se consideră ca situații de excepție cele în care prelucrarea este necesară pentru:

• exercitarea dreptului la liberă exprimare şi la informare;
• respectarea unei obligaţii legale;
• motive de interes public în domeniul sănătăţii publice (Articolul 9, Alineatul 2, Literele h şi i și Articolul 9, Alineatul 3);
• scopuri de arhivare în interes public, cercetare ştiinţifică sau istorică ori în scopuri statistice (Articolul 89, Alineatul 1);
• constatarea, exercitarea sau apărarea unui drept în instanţă.

GDP Shield pune la dispoziția operatorului posibilitatea ștergerii din baza de date a datelor cu caracter personal a unui subiect de date, în urma solicitării și a verificării îndeplinirii condițiilor de bază, concomitent cu emiterea automată a unui Raport în acest sens, ce va conține toate datele relevante. Acest raport de ștergere poate fi remis pe orice cale solicitantului. In Plus Soluția GDP Shield pune la dispoziția operatorului posibilitatea emiterii unui Raport negativ ce poate fi remis solicitantului, prin care practic se refuză ștergerea datelor în cazul neîndeplinirii condițiilor legale.

5. Dreptul la restricționare

Când ni se poate solicita dreptul la restricționarea prelucrării?

Conform Articolului 18: Dreptul la restricţionarea prelucrării, persoana vizată are dreptul de a obţine din partea operatorului restricţionarea prelucrării într-unul dintre cazurile:

• se contestă exactitatea datelor, pentru o perioadă care ne permite ca operator să verificăm exactitatea datelor în cauză;
• prelucrarea este ilegală, iar persoana vizată se opune ştergerii datelor cu caracter personal, solicitând în schimb restricţionarea utilizării lor;
• ca operatori nu mai avem nevoie de datele cu caracter personal în scopul prelucrării, dar persoana vizată ni le solicită pentru o acțiune în instanţă;
• persoana vizată s-a opus prelucrării (Articolul 21, Alineatul 1) pentru intervalul de timp în care se verifică dacă drepturile noastre legitime ca operatori prevalează asupra celor ale persoanei vizate.

Dacă prelucrarea a fost restricţionată în temeiul Alineatului 1, astfel de date cu caracter personal pot, cu excepţia stocării, să fie prelucrate numai cu consimțământul persoanei vizate.

De asemenea, conform Alineatului 3, avem datoria ca o persoană vizată care a obţinut restricţionarea prelucrării în temeiul Alineatului 1, să fie informată din timp, înainte de ridicarea restricţiei de prelucrare.

GDP Shield nu are vreo competență legată de dreptul de restricționare, aceasta ținând strict de comportamentul direct al operatorului în raport cu datele cu caracter personal utilizate.

6. Dreptul la portabilitatea datelor

Dreptul la portabilitatea datelor permite persoanelor să obțină și să reutilizeze datele lor personale în scopuri proprii în cadrul diferitelor servicii.

Acest drept permite mutarea, copierea sau transferul datele personale cu ușurință de la un mediu IT la altul, într-un mod sigur. Multe organizații europene oferă deja servicii de portabilitate a datelor, care permit persoanelor interesate să  vizualizeze, să acceseze și să utilizeze datele personale de consum și tranzacții într-un mod portabil și sigur.

Mai mult, există operatori internaționali care permit consumatorilor să profite de aplicații și servicii care pot utiliza aceste date pentru a le găsi o afacere mai bună sau pentru a le ajuta să-și înțeleagă obiceiurile de cheltuieli.

Conform Articolului 20, persoana vizată are dreptul să transmită date cu caracter personal altui operator de date. Operatorul de date trebuie să furnizeze persoanei vizate o copie a datelor cu caracter personal într-un format structurat, utilizat în mod obișnuit și care poate fi citit automat. Mai mult, operatorul de date nu trebuie să împiedice transmiterea datelor cu caracter personal unui nou operator de date.

Dreptul de portabilitate a datelor se aplică numai în cazul în care:

• datele sunt procesate prin mijloace automate;
• persoana vizată a dat consimțământul pentru prelucrare;
• prelucrarea este necesară pentru a îndeplini condițiile stipulate printr-un contract.

Ce trebuie să facem pentru a asigura conformitatea cu acest drept? 

La solicitarea explicită a persoanei vizate trebuie să furnizăm datele personale într-o formă structurată, utilizată frecvent și care poate fi citită în mod automatizat.  Formatele deschise includ fișierele CSV.

Prin intermediul unei mașini de citire se înțelege că informațiile sunt structurate astfel încât software-ul să poată extrage elemente specifice ale datelor. Acest lucru permite altor organizații să utilizeze datele. Informațiile trebuie furnizate gratuit.

Este posibil să ni se solicite să transmitem datele direct unei alte organizații, dacă acest lucru este fezabil din punct de vedere tehnic.

Cu toate acestea, nu suntem obligați să adoptăm sau să menținem sisteme de procesare care sunt compatibile din punct de vedere tehnic cu alte organizații. Dacă datele personale se referă la mai multe persoane, trebuie să verificăm dacă furnizarea informațiilor ar aduce atingere drepturilor oricărei alte persoane.

În cât timp trebuie să răspundem solicitărilor de portare? Avem la dispoziție, fără întârzieri nejustificate, o perioadă de o lună, de la primirea solicitării. În cazul în care primim o cerere mai complexă, care include și alte tipuri de solicitări, timpul de răspuns poate ajunge la două luni.

În cazul în care, din diferite motive, nu putem să furnizăm un răspuns la o cerere, trebuie să explicăm solicitantului că are dreptul de a se plânge autorității de supraveghere și de a deschide o cale de atac, fără întârzieri nejustificate și cel mult într-o lună.

GDP Shield pune la dispoziția operatorilor soluții tehnice de înaltă securitate pentru portarea datelor.

7. Dreptul de a ridica obiecții

Unul dintre principalele drepturi ale persoanei vizate, stipulate de GDPR este dreptul la obiecții sau de a se opune anumitor tipuri de prelucrări.

Care sunt aceste tipuri de prelucrări ale persoanelor vizate? Conform Articolului 21 persoana vizată are dreptul de a se opune la:

• prelucrarea datelor personale în scopuri de marketing direct;
• prelucrarea datelor pentru realizarea de profiluri;
• prelucrarea datelor prin mijloace automate;
• prelucrarea în scopuri științifice sau istorice.

Situațiile de excepție care anulează dreptul la obiecții al persoanelor vizate apar atunci când, în calitatea de operator de date personale, putem să demonstrăm că există motive legitime convingătoare pentru susținerea prelucrării, care depășesc interesele, drepturile și libertățile persoanei vizate.

Alte situații de excepție sunt motivate de stabilirea, exercitarea sau apărarea unor revendicări legale sau în situațiile în care prelucrarea este necesară pentru îndeplinirea unei sarcini de interes public.

Haideți să discutăm puțin câteva dintre aceste situații de excepție.

Dacă scopul primar al procesării datelor personale este de natură legală sau în interesul legitim al organizației noastre – în momentul în care primim vreo obiecție legată de natura acestor procesări, trebuie să încetăm prelucrarea datelor respective numai dacă nu putem demonstra cu claritate că prelucrarea se face pentru stabilirea, exercitarea sau apărarea revendicărilor legale.

Toate acestea trebuie explicate clar și concis persoanei vizate care a ridica vreo obiecție.

Dacă facem procesarea de date personale în scop de marketing direct, trebuie să încetăm orice operațiune de prelucrare de îndată ce primim o obiecție. În aceste situații nu există excepții sau motive de refuz pentru luarea în considerare a unei obiecții.

Trebuie să răspundem obiecțiilor împotriva procesării în scopuri de marketing direct cât mai rapid și în mod gratuit.

Chiar dacă în anumite circumstanțe a exist un consimțământ inițial pentru prelucrarea datelor, ridicarea unei obiecții explicite pentru interzicerea prelucrării datelor personale în scopuri de marketing direct trebuie acceptată fără întârziere și comunicată persoanei vizate ”în mod clar și separat de orice altă informație”. Toate aceste condiții trebuie stipulate de la bun început, chiar prin contractual de confidențialitate.

Dacă procesăm date personale în scopuri legate de cercetare științifică sau istorică, sau în scopuri statistice, persoanele fizice trebuie să aibă “motive legate de situația lor particulară” pentru a-și exercita dreptul de a se opune prelucrării în scopuri de cercetare.

Dacă scopul principal al proiectului de cercetare este legat în mod direct de îndeplinirea unei sarcini de interes public, nu suntem obligați să ne conformăm unei obiecții față de prelucrarea datelor.

Evident că această situație și motivarea clară și precisă a naturii cercetării trebuie comunicate în cel mai scurt timp persoanei vizate care s-a opus prelucrării.

Obligația de soluționare a obiecțiilor cu privire la modul de procesare a datelor, de conformare în raport cu aceste obiecții, ține de competența și activitatea directă a operatorului.

8. Drepturi legate de luarea automată a deciziilor și profilare

Iată o categorie specială de drepturi, prezentă în legislația anterioară dar mult mai bine explicitată prin noul Regulament  GDPR, care oferă persoanelor fizice garanții împotriva riscului ca o decizie potențial dăunătoare să fie luată fără intervenția omului.

Ce avem de făcut pentru asigurarea conformității cu acest drept? Nu trebuie decât să identificăm  dacă oricare dintre operațiunile noastre de procesare include un proces automat de luare a deciziilor și, bineînțeles, trebuie să ne actualizăm procedurile,  pentru a răspunde cerințelor GDPR.

Când se aplică acest drept? Conform Articolului 22, persoanele fizice au dreptul de a nu face obiectul unei decizii atunci când aceasta se bazează pe prelucrarea automată și poate produce un efect juridic sau un efect semnificativ similar asupra individului.

Dreptul se aplică tuturor deciziilor automate? Nu. Dreptul nu se aplică în cazul în care decizia:

• este necesară pentru încheierea sau executarea unui contract între dvs. și persoana fizică;
• este autorizată prin lege (de exemplu, în scopuri de fraudă sau prevenirea evaziunii fiscale)
• pe baza consimțământului explicit. (Articolul 9, Alineatul (2));
• atunci când o decizie nu are un efect legal sau similar semnificativ asupra unei persoane.

Ce reprezintă profilarea, în viziunea GDPR? 

GDPR definește profilarea ca orice formă de procesare automată destinată să evalueze anumite aspecte personale ale unei persoane, în special pentru a le analiza sau a prezice:

• performanța la locul de muncă;
• situația economică;
• starea de sănătate;
• preferințele personale;
• fiabilitatea;
• comportamentul;
• locația
• deplasările.

La prelucrarea datelor cu caracter personal în scopuri de realizare a unui profil, trebuie să ne asigurăm că există garanții adecvate și să respectăm o serie de proceduri:

• Trebuie mai întâi să ne asigurăm că procesarea este corectă și transparentă prin furnizarea de informații semnificative despre logica implicată, precum și despre semnificația și consecințele avute în vedere;
• De preferat să folosim procedurile matematice sau statistice adecvate pentru profilare;
• Se recomandă implementarea măsurilor tehnice și organizatorice adecvate care să ne permită remedierea erorilor și minimizarea riscului de eroare;
• Trebuie să asigurăm datele personale într-o manieră proporțională cu riscul pentru interesele și drepturile individului și să prevenim efectele discriminatorii.

GDP Shield oferă avantajul de a nu efectua profilări ale subiecților de date, operatorul fiind protejat în acest sens.

OBLIGAȚIILE DPO: 

Condițiile minime pe care trebuie să le asigure funcția de DPO:

• Să informeze și să consilieze organizația și angajații cu privire la obligațiile de a respecta GDPR și alte legi privind protecția datelor;

• Să monitorizeze respectarea GDPR și a altor legi privind protecția datelor, inclusiv gestionarea activităților interne de protecție a datelor. GDP Shield asigură controlul absolut asupra corectei gestionări a activității celor care operează cu date cu caracter personal prin crearea de conturi de user, și prin păstrarea unor log-uri exacte cu privire la activitatea acestora
• Să consilieze activitățile organizației ce au legătură cu evaluările de impact privind protecția datelor;

• Să instruiască personalul și să efectueze audituri interne;

• Să fiți primul punct de contact pentru autoritățile de supraveghere și pentru persoanele fizice ale căror date sunt prelucrate (angajați, clienți etc.).

Dar poate cel mai important aspect al acestor atribuții este legat de faptul că, în îndeplinirea sarcinilor de DPO, trebuie să se ţină seama, în mod corespunzător (zice legea), dar cu maximă responsabilitate (zic cele mai bune practici) de riscul asociat operaţiunilor de prelucrare. Și aici trebuie să țină seama atât de natura și de domeniul de aplicare, cât și de contextul şi scopurile prelucrării.

Riscul asociat operațiunilor de prelucrare este minim, având în vedere nivelul de encriptare a datelor cu caracter personal în cadrul aplicației GDP Shield. De asemenea, GDP Shield are deja, în cadrul documentelor pe care le pune la dispoziție în interiorul aplicației un DPIA – raport de evaluare a riscului asociat, document de bază necesar și util tuturor operatorilor și împuterniciților DPO din cadrul operatorilor.