avocatnet.ro 
GDPR prevede că o firmă care prelucrează date personale are o obligație de informare a persoanei vizate de acea prelucrare. În primul rând, trebuie adus la cunoștință faptul că au fost sau că vor fi colectate date personale.
În al doilea rând, trebuie furnizate următoarele tipuri de informații, care vor ajuta persoana vizată de prelucrare să își exercite drepturile pe care le are în temeiul Regulamentului și să conștientizeze care ar fi impactul prelucrării asupra lor:
- perioada de stocare a datelor sau, dacă aceasta nu este cunoscută anticipat, niște criterii stabilite pentru a identifica acea perioadă;
- posibilitatea pentru persoana vizată de prelucrare de a solicita accesul la date, rectificarea sau ștergerea lor, precum și restricționarea prelucrării;
- dreptul de a se opune prelucrării;
- dreptul la portabilitatea datelor;
- dreptul la retragerea consimțământului, atunci când acesta reprezintă temeiul prelucrării;
- dreptul de a depune o plângere la o autoritate de protecție a datelor din Uniunea Europeană;
- în cazurile în care furnizarea de date are la bază o obligație legală sau o obligație necesară pentru încheierea unui contract, existența unor unor astfel de obligații și consecințele nerespectării lor;
- informații legate de procese automatizate de prelucrare, dacă sunt folosite.
După aceea, trebuie furnizate și următoarele informații:
- elemente care să ducă la identificarea operatorului (firmei care prelucrează datele) și, eventual, la identificarea reprezentantului acestui operator;
- datele de contact ale DPO-ului (responsabilului cu protecția datelor), dacă e cazul;
- scopul pentru care se face prelucrarea de date și temeiul juridic care justifică prelucrarea (este foarte importantă identificarea temeiului obiectiv aplicabil într-o anume situație);
- dacă temeiul prelucrării este interesul legitim al operatorului (sau al unui terț), indicarea acestui interes legitim;
- cui vor fi trimise acele date colectate;
- intenția de a trimite datele către un stat din afara Uniunii Europene sau către o organizație internațională; în acest conctext, trebuie verificat dacă există vreo decizie a Comisiei Europene care abordează caracterul adecvat al unei astfel de trimiteri.
Atenție! Dacă datele nu sunt obținute de la persoana vizată de prelucrare, se vor furniza și informații legate de sursa de proveniență a acelor date. Într-o astfel de situație, de asemenea, persoana vizată va fi informată de prelucrare într-un termen rezonabil, dar nu mai târziu de o lună de la momentul prelucrării. În cazul în care datele vor fi folosite pentru a intra în contact cu persoana ale cărei date sunt colectate, informarea va avea loc, cel mai târziu, la momentul primei comunicări. În situația în care datele sunt transferate unei alte persoane, persoana ale cărei date sunt transferate trebuie informată cel mai târziu la momentul la care datele sunt divulgate pentru prima oară.
Exemple de sancțiuni s-au aplicat pentru nerespectarea dreptului la informare
1. O companie franceză prelucrase date personale, fără să fi informat persoanele vizate. Acele date au fost folosite, ulterior, pentru a contacta telefonic acele persoane. De asemenea, conversațiile telefonice au fost înregistrate, din nou, fără să fi existat o informare prealabilă. Amenda dată a fost de 500 de mii de euro.
2. Nu toate amenzile sunt la fel de mari, însă. De exemplu, o entitate spaniolă a primit o amendă de 900 de euro pentru că a colectat date personale, fără să fi făcut o informare corespunzătoare, în cadrul declarației ei cu privire la prelucrarea de date personale.
3. O problemă mai subtilă a apărut când o entitate din Grecia a prelucrat date personale în baza temeiului greșit. Din cauză că persoanele vizate de prelucrare au ajuns să fie induse în eroare cu privire la temeiul aplicabil, s-a considerat că și informarea acestora a fost necorespunzătoare, încălcându-se, astfel, dreptul la informare. Sancțiunea aplicată a fost de 150 de mii de euro. Puteți citi mai multe despre această problemă, aici.
ina2007