avocatnet.ro 
Potrivit articolului 13 din Regulament, „[î]n cazul în care datele cu caracter personal referitoare la o persoană vizată sunt colectate de la aceasta, operatorul, în momentul obținerii acestor date cu caracter personal, furnizează persoanei vizate toate informațiile următoare:
- identitatea și datele de contact ale operatorului și, după caz, ale reprezentantului acestuia;
- datele de contact ale responsabilului cu protecția datelor, după caz;
- scopurile în care sunt prelucrate datele cu caracter personal, precum și temeiul juridic al prelucrării;
- în cazul în care prelucrarea se face în temeiul (interesului legitim), interesele legitime urmărite de operator sau de o parte terță;
- destinatarii sau categoriile de destinatari ai datelor cu caracter personal;
- dacă este cazul, intenția operatorului de a transfera date cu caracter personal către o țară terță sau o organizație internațională și existența sau absența unei decizii a Comisiei privind caracterul adecvat sau, în cazul transferurilor menționate la articolul 46 sau 47 sau la articolul 49 alineatul (1) al doilea paragraf (toate țin de transferurile către țări terțe - n. red.), o trimitere la garanțiile adecvate sau corespunzătoare și la mijloacele de a obține o copie a acestora, în cazul în care acestea au fost puse la dispoziție”.
Pe lângă informațiile de mai sus, firmele care prelucrează date trebuie să le furnizeze persoanelor vizate de prelucrare, când obțin datele personale ale acestora, și:
- informații legate de drepturile lor - inclusiv informații despre cum pot fi făcute plângeri la autoritățile cu competențe în domeniul protecției datelor;
- perioada de stocare a datelor;
- dacă furnizarea datelor este obligatorie potrivit legii sau potrivit clauzelor unui contract și ce riscă persoana vizată dacă nu furnizează datele respective;
- existența unui proces decizional automatizat, incluzând crearea de profiluri, precum și, cel puțin în cazurile respective, informații pertinente privind logica utilizată și privind importanța și consecințele preconizate ale unei astfel de prelucrări pentru persoana vizată.
Chiar dacă GDPR nu conține nicio referire directă la ideea de politici de confidențialitate. Însă acest lucru contează mai puțin. Pentru că a devenit, deja, o practică răspândită ca informarea să se facă printr-o politică de confidențialitate.
În plus, dacă ne uităm la considerentele care apar în partea preambulară a Regulamentului (prima parte a acestuia, care explica logica lui, politicile din spatele adoptării acestui act normativ etc.; această parte nu este obligatorie, prin ea însăși, însă ajută la înțelegerea și aplicarea regulilor relevante), lucrurile devin mai clare. De pildă, potrivit considerentului nr. 58 din Regulament, „[p]rincipiul transparenței prevede că orice informații care se adresează publicului sau persoanei vizate să fie concise, ușor accesibile și ușor de înțeles și să se utilizeze un limbaj simplu și clar, precum și vizualizare acolo unde este cazul. Aceste informații ar putea fi furnizate în format electronic, de exemplu atunci când sunt adresate publicului, prin intermediul unui site”.
În acest context, poate fi mai ușor de înțeles de ce existența unei politici de confidențialitate are la bază ideea de îndeplinire a obligației de informare și reprezintă, în același timp, cel mai eficient și la îndemână mod prin care această îndatorire poate fi îndeplinită.
De asemenea, publicarea unei politici de confidențialitate mai are un scop: de a demonstra că firma care prelucrează date își îndeplinește obligațiile existente în temeiul GDPR. Obligația de demonstrare a conformării reprezintă o îndatorire separată, precizată expres în Regulament.
Important! Ce am precizat în paragraful anterior nu trebuie înțeles ca însemnând că redactarea și publicarea unei politici de confidențialitate este suficientă pentru a demonstra conformarea cu GDPR. Mai există și alte obligații, cum e deținerea unor documente care să ateste cum se face prelucrarea în situații concrete etc.
ina2007