Spre exemplu, realizarea și mentinerea unui Registru al Operatiunilor de Prelucrare de către operatori sau împuterniciți are, în primul rând, rolul de a obliga organizația să fie atentă la datele personale pe care le prelucrează, la fluxurile pe care le presupune managementul acestor date etc.
Printre drepturile recunoscute de GDPR persoanelor vizate, dreptul la informare este unul dintre cele mai importante. În GDPR, el nu e menționat, neapărat, ca un drept, ci mai degrabă sub forma unei obligații pe care o au operatorii.
Ce este dreptul de informare?
Este dreptul pe care îl are orice persoană vizată să știe cum sunt prelucrate datele sale, de către operator, și care sunt consecințele acestei prelucrări.
Cine ar trebui să informeze persoanele vizate?
Respectarea drepturilor persoanelor vizate este o obligație care aparține operatorului. Prin urmare, întotdeauna operatorul va fi cel care trebuie să informeze persoanele vizate și să aibă grija ca această informare să poată fi probată. Împuterniciții acestuia, pe de altă parte, au obligația de a-l asista pe operator în procesul de informare, în măsura în care sunt punct de contact cu persoanele vizate sau dau prelucrării o notă specială pe care operatorul are nevoie de ajutor pentru a o explica.
Când trebuie să fie informate persoanele vizate?
Persoanele vizate trebuie informate întotdeauna. Există puține excepții de la această regulă și le vom detalia în secțiunea următoare.
În situația în care datele personale sunt colectate direct de la persoana vizată (colectarea nu se face prin intermediul unei entități "intermediar" sau, dacă se face prin intermediul unei astfel de entități, aceasta este împuternicit al operatorului), atunci informarea trebuie făcută chiar la momentul la care datele respective sunt colectate.
Atunci când datele personale sunt colectate indirect de la persoana vizată (colectarea se face prin intermediul unei alte entități "intermediar", care nu este împuternicit al operatorului), atunci vorbim despre alte termene de informare:
- ”un termen rezonabil”, dar nu mai mult de o lună de la momentul obținerii datelor;
- dacă se comunică cu persoana vizată înainte de termenul de o lună de mai sus, atunci la prima comunicare cu persoana vizată;
- în cazul în care se intenționează divulgarea datelor către alți destinatari, atunci cel mai târziu la momentul divulgării acestor date.
Când nu trebuie informată persoana vizată?
Excepția de la informarea persoanelor vizate, atunci când datele sunt obținute direct de la acestea, vizează situația în care persoana vizată deține deja aceste informații (persoana fusese informată, anterior, asupra acestui tip de prelucrare, dar datele nu fuseseră colectate efectiv).
Atunci când datele sunt colectate indirect de la persoana vizată, excepțiile de la informare sunt mai multe:
- în cazul în care persoana deținea deja aceste informații (vezi cazul de mai sus);
- furnizarea acestor informații se dovedește a fi imposibilă sau ar implica eforturi disproporționate (dacă se încearcă realizarea unei statistici a datelor preluate de la un alt agent economic sau arhivarea acestora, scopul nu ar justifica eforturile de informare);
- atunci când datele trebuie să rămână confidențiale în temeiul unei obligații statutare de secret profesional ori a unei obligații legale de a păstra secretul. Unul dintre exemplele de aici ar fi dobândirea datelor dintr-un dosar, de către un avocat, de la partea pe care o reprezintă. Nu ar putea informa persoanele din dosar, pentru că are o obligație statutară de secret profesional;
- atunci când obținerea sau divulgarea datelor sunt obligații impuse de lege (Inspectoratele Teritoriale de Muncă dobândesc date ale angajaților unei companii, din declarațiile pe care le depune aceasta).
Ar trebui ca această informare să aibă o anumită formă impusă de lege?
GDPR nu vorbește despre o formă anume pentru această informare. Mai mult, GDPR vorbește mai degrabă despre flexibilitatea în exprimare, impunând câteva reguli importante referitoare la informare: formă concisă, transparentă, inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu, în special pentru orice informații adresate în mod specific unui copil.
În plus, se vorbește despre faptul că informațiile pot fi furnizate în combinație cu pictograme standardizate pentru a oferi într-un mod ușor vizibil, inteligibil și clar lizibil o imagine de ansamblu semnificativă asupra prelucrării avute în vedere. Exemplul clasic de pictograma e reprezentat de imaginea camerelor de supraveghere, expusă pe o informare succintă, chiar în aria în care acționează aceste camere.
Ce ar trebui să conțină informarea?
Pentru ușurinta explicării, am conceput mai jos un tabel cu punctele importante care trebuie menționate într-o astfel de informare pentru ca aceasta să își atingă scopul, potrivit GDPR. Ar mai trebui menționat faptul că informarea trebuie realizată pe categorii de persoane vizate. Nu e o obligație legală această realizare pe categorii de persoane vizate, ci o nevoie funcțională. Unora dintre categorii li se vor aplica anumite drepturi (de exemplu, retragerea consimțământului), altora - nu, iar menționarea într-o informare a unor drepturi inaplicabile celui care o citește ar putea fi o eroare importantă de comunicare.
Ce trebuie să conțină informarea pentru date obținute direct de la persoana vizată? | Date obtinute direct / Date obtinute indirect |
---|---|
Identitatea și datele de contact ale operatorului (spre exemplu: denumire companie, cod fiscal, adresa poștală, adresa de e-mail etc.), precum și o datele de contact ale responsabilului cu protecția datelor (cunoscut și ca DPO) din compania în cauză; | în toate cazurile |
Scopul prelucrării datelor, precum și temeiul prelucrării acestora (spre exemplu: prelucrăm e-mail în scopul realizării activității de direct marketing, în baza consimțământului dumneavoastră); | în toate cazurile |
Descrierea interesului legitim al operatorului ori al unei terțe părți, acolo unde este aplicabil acest lucru; | în toate cazurile |
Categoriile de date personale prelucrate; | doar la datele obținute indirect |
Destinatarii datelor personale, dacă acestea sunt transferate undeva; | dacă este cazul |
Detalii și garanții de securitate adecvate, în cazul în care datele sunt transferate în afara UE; | în toate cazurile |
Perioada de retenție a datelor, ori un criteriu pentru a defini această perioadă de retenție; | în toate cazurile |
Detalierea fiecăruia dintre drepturile pe care le au persoanele vizate; | în toate cazurile |
Dreptul de a-și retrage consimțământul, dacă este aplicabil; | dacă este cazul |
Dreptul de a depune o plângere la Autoritatea de Supraveghere; | în toate cazurile |
Sursa din care sunt colectate datele, precum și menționarea faptului că sursa este una accesibilă public; | doar la datele obținute indirect |
Dacă furnizarea de date cu caracter personal reprezintă o obligație legală sau contractuală sau o obligație necesară pentru încheierea unui contract, precum și dacă persoana vizată este obligată să furnizeze aceste date cu caracter personal și care sunt eventualele consecințe ale nerespectării acestei obligații; | dacă este cazul |
Existența unui proces decizional automatizat incluzând crearea de profiluri și, cel puțin în acele cazuri, informații pertinente privind logica utilizată și privind importanța și consecințele preconizate ale unei astfel de prelucrări. | dacă este cazul |
Date privitoare la formularele / metodele prin care se pot exercita drepturile, dacă este cazul | dacă este cazul |