GDPR: Firmele trebuie să fie pregătite să dea acces la datele personale pe care le folosesc

GDPR va reprezenta, începând cu data de 25 mai 2018, cadrul legal european unic în materie de prelucrare a datelor personale, acesta urmând să înlocuiască reglementările naționale în vigoare în momentul de față. Spre deosebire de directivele europene, regulamentele europene se aplică direct în toate statele membre, fără să fie nevoie ca autoritățile naționale să vină cu legislație de implementare.

Unul dintre drepturile pe care firmele vor trebui să le respecte, în baza GDPR, este cel de acces la datele personale prelucrate. Practic, orice persoană fizică ale cărei date sunt folosite de o companie în activitatea ei curentă va putea să ceară acces la ele.

„Fiecare companie care procesează date cu caracter personal va trebui să se asigure că persoanelor vizate li se acordă dreptul de acces la datele prelucrate. Dreptul de acces reprezintă posibilitatea oricărei persoane de a solicita, printr-o cerere scrisă, informațiile care o privesc, informații ce sunt înregistrate într-un sistem de evidență. Operatorul este obligat să comunice informațiile solicitate în termen de o lună de la data solicitării. În caz contrar, persoana vizată poate face plângere la ANSPDCP (Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal - n. red.)”, a lămurit, la solicitarea avocatnet.ro, Andreea Manolache, senior associate la Accace România.

Astfel, companiile trebuie să-și pregătească terenul în avans, ca să se asigure că pot prelua și rezolva eventualele cereri de acces pe care le vor primi din 25 mai 2018. În esență, vorbim de proceduri interne de lucru, dar și de mijloace tehnice adecvate.

„Pentru a putea răspunde, în mod eficient, la aceste solicitări, operatorii (firmele, în principal - n. red.) vor trebui să se asigure că dețin mijloacele tehnice necesare. În aceeași măsură, este indicată punerea la punct a unor proceduri interne, astfel încât să poată fi preluate și finalizate aceste cereri în termenul prevăzut de regulament (GDPR - n. red.)”, a precizat Andreea Manolache.

Totodată, specialista a spus că cererile de acces vor putea veni în scris, la sediul firmei, sau pe orice canal oficial de comunicare al acesteia. De exemplu, putem vorbi despre e-mail-urile de contact ale companiei sau de pagina oficială de Facebook.

În continuare, abonații avocatnet.ro premium pot afla:

• care sunt categoriile de informații pe care sunt obligate firmele să le dea românilor în baza unei cereri de acces la datele personale;
• în ce situație poate cere firma o taxă pentru cererile persoanelor fizice.

Informațiile pe care firmele trebuie să le dea la cerere

Înainte de orice, o companie trebuie să confirme dacă prelucrează sau nu datele personale ale celui care trimite o cerere de acces, potrivit prevederilor GDPR. Dacă răspunsul este afirmativ, compania trebuie să dea acces la:

• datele prelucrate;
• scopurile prelucrării;
• categoriile de date personale vizate;
• destinatarii sau categoriile de destinatari cărora datele personale le-au fost sau urmează să le fie divulgate, în special destinatari din țări terțe sau organizații internaționale;
• acolo unde este posibil, perioada pentru care se preconizează că vor fi stocate datele personale sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă;
• existența dreptului de a cere rectificarea sau ștergerea datelor personale ori restricționarea prelucrării datelor personale referitoare la persoana vizată sau a dreptului de a se opune prelucrării;
• dreptul de a depune o plângere la ANSPDCD;
• în cazul în care datele personale nu sunt colectate de la persoana vizată, orice informații disponibile privind sursa acestora;
• existența unui proces decizional automatizat (inclusiv profilarea), precum și, cel puțin în cazurile respective, informații pertinente privind logica folosită și importanța și consecințele preconizate ale unei astfel de prelucrări pentru persoana vizată.

Companiile trebuie să dea o copie a datelor personale prelucrate, se arată în regulament. Însă, dacă aceeași persoană mai cere și alte copii, firma este îndreptățită să ceară o taxă rezonabilă, judecând după costurile administrative implicate.

„În cazul în care persoana vizată introduce cererea în format electronic și cu excepția cazului în care persoana vizată solicită un alt format, informațiile sunt furnizate într-un format electronic utilizat în mod curent”, scrie în GDPR referitor la cererile transmise online.

Notă: Informații mai multe despre prevederile GDPR pot fi găsite aici.