Care sunt Drepturile persoanei vizate si care sunt Obligatiile corelative ale operatorilor
Ce vei afla din acest material:
- cine sunt persoana vizata si operatorul
- ce drepturi are persoana vizata si cum se transpun in practica
- ce obligatii are operatorul pentru a respecta drepturile persoanelor vizate
Cine sunt persoana vizata si operatorul?
Persoana vizata este intotdeauna persoana ale carei persoane sunt prelucrate, iar prin prelucrarea datelor sale, acesta este identificata sau devine identificabila.
Fie ca sunt prelucrate datele unei persoane in vederea emiterii unei facturi, in vederea angajarii sau date pentru accesarea unui site (cookies), Daca aceste date conduc la identificarea acesteia (nume, prenume etc) sau la posibilitatea identificarii (cookies, ip etc.), aceasta are calitatea de persoana vizata.
Te indrum sa citesti si articolul Ce sunt datele cu caracter personal. Cand datele devin date cu caracter personal pentru a afla mai multe despre acest subiect.
Operator este persoana care stabileste scopurile prelucrarii si evident prelucreaza date cu caracter personal. Cum si mai sus aratam, chiar daca este emisa o factura, aceasta se numeste prelucrare de date, iar cel ce o face se numeste operatr. Prelucrare inseamna inclusiv arhivarea documentelor ce contin date cu caracter personal. In aceste conditii, chiar daca ai emis o factura, perioada de prelucrare nu se limiteaza doar la momentul emiterii facturii, ci si pe intreaga perioada de stocare/arhivare acesteia, adica minim 10 ani potrivit legii. Citeste mai multe despre operatori AICI.
Fie ca esti persoana vizata sau operator, acest material iti va fi util pentru ca abordeaza drepturile persoanei vizate si obligatiile corelative ale operatorilor pentru respectarea acestor drepturi.
Drepturile persoanei vizate si obligatiile operatorilor conexe acestor drepturi
-
DREPTUL LA INFORMARE
Dreptul persoanei vizate:
- Persoana vizata are dreptul de a fi informata cu privire la prelucrarea si protejarea datelor cu caracter personal.
- Infomarea trebuie facuta inainte de efectuarea unei prelucrari (inainte de a va folosi datele personale operatorul – vanzatorul, angajatorul – etc)
- Operatorii trebuie sa te informeze minim asupra: datelor prelucrate, scopurilor prelucrarilor, temeiurile prelucrarilor, durata prelucrarii, tertii destinatari, garantiile adecvate pentru securitatea prelucrarilor.
Obligatia corelativa a operatorului:
- Operatorul are obligatia de a informa persoana vizata.
- Informarea se face prin orice mijloc prin care care sa asigure posibilitatea de a dovedi informarea.
- Informarea trebuie sa fie corecta si completa si sa fie exprimata utilizand un limbaj clar si simplu.
- Informarea oricarei persoane vizate se face anterior prelucrarii si trebuie sa cuprinda minim urmatoarele informatii: datele prelucrate, scopurilor prelucrarilor, temeiurile prelucrarilor, durata prelucrarii, tertii destinatari, garantiile adecvate pentru securitatea prelucrarilor.
- Datele ce trebuie cuprinse in informare, se obtin printr-un Audit GDPR prin care se analizeaza toate categoriile de date prelucrate, in fiecare departament, potrivit tuturor fluxurilor si proceselor existente in societate/organizatie.
-
DREPTUL DE ACCES LA DATE
Dreptul persoanei vizate:
- Persoana vizata are dreptul de a obtine de la operatorul de date confirmarea faptului ca datele cu caracter personal sunt sau nu prelucrate de catre acesta, precum si o copie a lor.
- Accesul la date este gratuit, cu exceptia cazului in care solicitarea de acces este mult prea frecventa (poate avea caracter sicanator, de exemplu) sau volumul de date sau mijloacele prin care vi se pot pune la dispozitie datele sunt costisitoare, cazuri in care operatorul poate pretinde ca persoana vizata sa acopere aceste costuri (taxa administrativa).
Obligatia corelativa a operatorului
- Operatorul este obligat sa raspunda cererilor de acces la date in cel mai scurt timp posibil, dar nu mai tarziu de 1 luna de la data primirii cererii. In situatii speciale (exemplu, volum mare de date) termenul poate fi prelungit cu pana la 2 luni, cu anuntarea persoanei vizate despre acest fapt. Atentie, termenul de 1 luna de zile, este un termen maxim, ceea ce nu inseamna ca va trebui sa furnizati un raspuns la implinirea termenului, ci cat mai curand posibil, pana maxim la implinirea acestuia.
- Operatorul este obligat sa puna la dispozitia persoanei vizate o copie a datelor prelucrate, la cererea acesteia. Aceasta insa va trebui sa se faca doar cu respectarea drepturilor altor persoane vizate (de exemplu, inregistrarea video a persoanei vizate alaturi de o alta persoana se va face doar dupa blurarea celei de a doua persoane, pentru protejarea confidentialitatii prelucrarilor pentru aceasta din urma).
- Raspunsul si aventualele copii se pun la dispozitie gratuit, cu exceptia unei taxe administrative rezonabile in situatii exceptionale.
-
DREPTUL LA RECTIFICARE
Dreptul persoanei vizate:
- Orice persoana vizata are dreptul de a obtine rectificarea datelor inexacte, precum si completarea datelor incomplete.
- Persoana vizata va formula o cerere catre operator solicitand sa rectifice si dupa caz sa completeze datele incomplete.
Obligatia corelativa a operatorului:
- Operatorul este obligat sa rectifice sau sa completeze datele inexacte imediat, atat din oficiu cat si la cererea persoanei vizate in cauza.
-
DREPTUL LA STERGEREA DATELOR („DREPTUL DE A FI UITAT”)
Dreptul persoanei vizate:
- Persoana vizata are dreptul de a obtine, in masura in care sunt indeplinite conditiile legale, stergerea datelor cu caracter personal.
- Pentru ca datele cu caracter personal sa poata fi sterse, este necesar ca acestea sa se incadreze in unele situatii pe care le regasiti la obligatiile operatorului.
Obligatia corelativa a operatorului
- Operatorul este obligat sa stearga datele cu caracter personal prelucrate daca primeste o cerere de stergere a datelor, cu exceptia unor situatii pe care le regasesti mai jos.
- Operatorul NU este obligat sa stearga cand prelucrarea are ca temei obligatia legala (facturare, angajare etc.) sau interesul public in domeniul sanatatii (date medicale privind o pandemie, epidemie etc.).
- Operatorul NU este obligat sa stearga atunci cand temeiul prelucrarii este interesul legitim temeinic justificat, iar scopul prelucrarii este apararea unui drept in instanta.
- Operatorul NU este obligat sa stearga atunci cand scopul prelucrarii este statistica sau arhivarea in interes public, cercetarea stiintifica si/sau istorica.
- Pe durata analizarii posibilitatii stergerii datelor cu caracter personal, datele vor fi restrictionate de la prelucrare.
Scopurile si temeiurile prelucrarii sunt stabilite prin intermediul Auditului GDPR, care este prima etapa a implementarii GDPR in cadrul organizatiei/societatii.
-
DREPTUL LA RESTRICTIONAREA PRELUCRARII
Dreptul persoanei vizate:
- Persoana vizata are dreptul de a obtine, in masura in care sunt indeplinite conditiile legale, marcarea datelor cu caracter personal stocate, cu scopul de a limita prelucrarea ulterioara a acestora.
- Persoana vizata isi poate manifesta dreptul la restrictionarea prelucrarilor atunci cand: contesta exactitatea datelor, prelucrarea este nelegala, se opune stergerii atunci cand operatorul decide sa stearga aceste date.
Obligatia corelativa a operatorului:
- Operatorul are obligatia sa restrictioneze prelucrarile atunci cand persoana vizata solicita acest lucru, pe perioada cat verifica daca solicitarea este legala.
- Operatorul va restrictiona prelucrarile si atunci cand persoana vizata a solicitat stergerea datelor care o privesc. Prelucrarea va fi restrictionata pana la momentul la care a incetat verificarea, moment in care sterge sau raspunde persoanei vizate la cererea de stergere, aratand motivele pentru care nu poate sterge acele categorii de date.
- Operatorul va restrictiona prelucrarile atunci cand persoana vizata se opune prelucrarii, pana la momentul la care inceteaza verificarile privind intereseul legitim de a prelucra in continuare datele (de exemplu pentru aparararea unui drept in instanta).
- Operatorul va restrictiona prelucrarile pana la completarea sau actualizarea datelor inexacte.
-
DREPTUL LA PORTABILITATEA DATELOR
Dreptul persoanei vizate:
- Persoana vizata are dreptul de a primi datele cu caracter personal intr-o modalitate structurata, folosita in mod obisnuit si intr-un format usor de citit, precum si dreptul ca aceste date sa fie transmise de catre alt operator de date, in masura in care sunt indeplinite conditiile legale.
- Conditiile legale pentru ca dreptul la portabilitate sa poata opera sunt: datele sa fie prelucrate prin mijloace automate si temeiul prelucrarii sa fie contractul sau consimtamantul.
Obligatia corelativa a operatorului
- Operatorul este obligat sa porteze datele conform solicitarii persoanei vizate, fara intarzieri nejustificate si fara a intrerupe furnizarea serviciului sau incetarea contractului fata de persoana vizata
-
DREPTUL DE OPOZITIE
Dreptul persoanei vizate:
- Persoana vizata are dreptul de a se opune in orice moment, din motive intemeiate si legitime legate de situatia sa particulara, ca datele cu caracter personal sa faca obiectul unei prelucrari, in masura in care sunt indeplinite conditiile legale.
- Persoana se poate opune oricand prelucrarilor in scop de marketing iar operatorul trebuie sa inceteze prelucrarea (sa nu prelucreze).
Obligatia corelativa a operatorului:
- Operatorul va da curs opozitiei la prelucrare, atunci cand prelucrarea se face mai ales in scop de marketing.
- Operatorul va continua prelucrarea, atunci cand aceasta are ca temei cercetarea istorica, stiintifica sau statistica dar si atunci cand scopul este apararea unui drept in instanta.
-
DREPTUL DE A NU FI SUPUS UNEI DECIZII AUTOMATE
Dreptul persoanei vizate:
- Persoana vizata are dreptul de a cere si de a obtine retragerea, anularea sau reevaluarea oricarei decizii bazate exclusiv pe prelucrari efectuate prin mijloace automate (incluzand crearea de profiluri) care produce efecte juridice sau afecteaza in mod similar, intr-o masura semnificativa, persoanele vizate.
- Persoana vizata are dreptul de a solicita si primi interventia umana atunci cand prelucrarea se face prin mijloace automate si are efecte juridice semnificative asupra persoanei vizate.
- Persoana vizata are dreptul de a primi informatii, de a cere explicatii privind logica utilizata (despre algoritmul folosit) si deciziile luate in aceasta maniera, precum si de a contesta decizia luata astfel.
-
DREPTUL DE A SE ADRESA JUSTITIEI SAU AUTORITATII NATIONALE DE SUPRAVEGHERE A PRELUCRARII DATELOR CU CARACTER PERSONAL
Dreptul persoanei vizate:
- Persoana vizata are dreptul de a se adresa cu plangere Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal (ANSPDCP), respectiv de a se adresa justitiei pentru apararea oricaror drepturi garantate de legislatia aplicabila in domeniul protectiei datelor cu caracter personal, care au fost incalcate.
Obligatia corelativa a operatorului:
- Operatorul are obligatia de a furniza informatii dar si dreptul de a se apara atunci cand considera ca plangerea/actiunea este nelegala. De aceea operatorii trebuie sa fie apti de a dovedi ca au respectat toate drepturile persoanelor vizate.