DREPTURILE PERSOANELOR VIZATE Extras
din Regulamentul U.E. nr. 679/2016
privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date
Drepturile persoanei vizate (art. 12)
În esenţă, protecţia datelor cu caracter personal nu se limitează doar la asigurarea securităţii datelor (aşa cum a fost împământenită ideea la nivelul societăţii române), ci la crearea unui mix (care se doreşte a fi perfect) între obligaţiile/sarcinile operatorului de date cu caracter personal şi drepturile persoanei vizate. Protecţia datelor trebuie să reprezinte rezultatul acţiunilor coordonate ale operatorului de date cu caracter personal realizate în considerarea principiilor prelucrării datelor (art. 5 din Regulament - protecţia datelor = prelucrare legală, echitabilă şi transparentă, în scopuri determinate explicite şi legitime a datelor cu caracter personal adecvate, relevante şi neexcesive, exacte şi, după caz, actualizate, pentru o perioad ă care nu o depăşeşte pe cea necesară atingerii scopurilor, într-un mediu care să asigure securitatea necesară), coroborate cu acțiuni de informare specifice ale persoanei vizate, conştiente de drepturile sale, prin exercitarea cărora urmăreşte limitarea prelucrărilor la ceea ce este necesar.
În acest sens, pentru asigurarea unei protecţii reale a datelor cu caracter personal, persoana vizată trebuie să aibă posibilitatea creării unei imagini clare asupra prelucrărilor la care sunt supuse datele care o privesc.
În acest condiţii, Regulamentul insistă pe transparenţa prelucrărilor de date cu caracter personal dar şi pe modul în care persoana vizată este informată direct de către operatorul de date cu caracter personal asupra prelucrărilor realizate.
Art. 12 stabileşte obligaţia operatorului de a adopta măsurile adecvate pentru a furniza persoanei vizate orice informaţii şi orice comunicări referitoare la prelucrare, într-o formă concisă, transparentă, inteligibilă şi uşor accesibilă, utilizând un limbaj clar şi simplu, în special pentru orice informaţii adresate în mod specific unui copil.
Informaţiile se furnizează în scris sau prin alte mijloace, inclusiv, atunci când este oportun, în format electronic. La solicitarea persoanei vizate, informaţiile pot fi furnizate verbal, cu condiţia ca identitatea persoanei vizate să fie dovedită prin alte mijloace.
În cazul în care operatorul de date cu caracter personal are îndoieli întemeiate cu privire la identitatea persoanei fizice care a formulat o cerere în exercitarea drepturilor prevăzute de lege, poate solicita furnizarea de informaţii suplimentare necesare pentru a confirma identitatea persoanei vizate.
Informaţiile care urmează să fie transmise persoanelor vizate pot fi furnizate în combinaţie cu pictograme standardizate pentru a oferi într-un mod uşor vizibil, inteligibil şi clar lizibil o imagine de ansamblu semnificativă asupra prelucrării avute în vedere. În cazul în care pictogramele sunt prezentate în format electronic, acestea trebuie să poată fi citite automat.
Comisia Europeană a primit delegarea legislativă pentru a stabili tipurile şi forma pictogramelor care pot fi utilizate.
În cazul în care operatorul intenţionează să prelucreze ulterior datele cu caracter personal într-un alt scop decât cel pentru care acestea au fost colectate, operatorul furnizează persoanei vizate, înainte de această prelucrare ulterioară, informaţii privind scopul secundar respectiv şi orice informaţii suplimentare relevante.
În situaţia în care datele nu sunt colectate direct de la persoana vizată (art. 14), aceasta trebuie să fie informată suplimentar (faţă de informaţiile de mai sus) cu privire la:
- interesul legitim urmărit de operator sau terţul căruia i-au fost comunicate datele, în măsura în
care prelucrarea s-a bazat pe un interes legitim;
- sursa datelor cu caracter personal.
În situaţia colectării indirecte, operatorul este obligat să furnizeze informaţiile de mai sus:
a) într-un termen rezonabil după obţinerea datelor cu caracter personal, dar nu mai mare de o lună, ţinându-se seama de circumstanţele specifice în care sunt prelucrate datele cu caracter personal;
b) dacă datele cu caracter personal urmează să fie utilizate pentru comunicarea cu persoana vizată, cel târziu în momentul primei comunicări către persoana vizată respectivă; sau
c) dacă se intenţionează divulgarea datelor cu caracter personal către un alt destinatar, cel mai târziu la data la care acestea sunt divulgate pentru prima oară.
Drepturile consacrate ale persoanelor vizate, dreptul de acces (art.15), dreptul la rectificare(art.16) nu au suferit schimbări majore şi păstrează, în esenţă, aceleaşi coordonate.
Dreptul la ştergerea datelor („dreptul de a fi uitat”-art.17
Persoana vizată are dreptul de a obţine din partea operatorului ştergerea datelor cu caracter personal care o privesc, fără întârzieri nejustificate, iar operatorul are obligaţia de a şterge datele
cu caracter personal fără întârzieri nejustificate în cazul în care se aplică unul dintre următoarele motive:
a) datele cu caracter personal nu mai sunt necesare pentru îndeplinirea scopurilor pentru care au
fost colectate sau prelucrate;
b) persoana vizată îşi retrage consimţământul pe baza căruia are loc prelucrarea şi nu există
niciun alt temei juridic pentru prelucrarea;
c) persoana vizată se opune prelucrării şi nu există motive legitime care să prevaleze în ceea ce priveşte prelucrarea sau persoana vizată se opune prelucrării ;
d) datele cu caracter personal au fost prelucrate ilegal;
e) datele cu caracter personal trebuie şterse pentru respectarea unei obligaţii legale care revine operatorului în temeiul dreptului Uniunii sau al dreptului intern sub incidenţa căruia se află
operatorul;
f) datele cu caracter personal au fost colectate în legătură cu oferirea de servicii ale societăţii informaţionale în mod direct unui copil [prev. la art. 8 alin.(1)].
În cazul în care operatorul a făcut publice datele cu caracter personal şi este obligat să le şteargă, operatorul, ţinând seama de tehnologia disponibilă şi de costul implementării, ia măsuri rezonabile, inclusiv măsuri tehnice, pentru a informa operatorii care prelucrează datele cu caracter personal că persoana vizată a solicitat ştergerea de către aceşti operatori a oricăror link- uri către datele respective sau a oricăror copii sau reproduceri ale acestor date cu caracter personal.
Dispoziţiile referitoare la dreptul de a fi uitat nu se aplică în măsura în care prelucrarea este necesară:
a) pentru exercitarea dreptului la liberă exprimare şi la informare;
b) pentru respectarea unei obligaţii legale care prevede prelucrarea în temeiul dreptului Uniunii sau al dreptului intern care se aplică operatorului sau pentru îndeplinirea unei sarcini executate în
interes public sau în cadrul exercitării unei autorităţi oficiale cu care este învestit operatorul;
c) din motive de interes public în domeniul sănătăţii publice;
d) în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice, în măsura în care exercitarea dreptului în cauză este susceptibil să facă imposibilă sau să afecteze în mod grav realizarea obiectivelor prelucrării respective; sau
e) pentru constatarea, exercitarea sau apărarea unui drept în instanţă.
Dreptul la restricţionarea prelucrării (art. 18)
Persoana vizată are dreptul de a obţine din partea operatorului restricţionarea prelucrării în cazul în care se aplică unul din următoarele cazuri:
a) persoana vizată contestă exactitatea datelor, pentru o perioadă care îi permite operatorului să
verifice exactitatea datelor;
b) prelucrarea este ilegală, iar persoana vizată se opune ştergerii datelor cu caracter personal, solicitând în schimb restricţionarea utilizării lor;
c) operatorul nu mai are nevoie de datele cu caracter personal în scopul prelucrării, dar persoana
vizată i le solicită pentru constatarea, exercitarea sau apărarea unui drept în instanţă; sau
d) persoana vizată s-a opus prelucrării, pentru intervalul de timp în care se verifică dacă
drepturile legitime ale operatorului prevalează asupra celor ale persoanei vizate.
În cazul în care prelucrarea a fost restricţionată datele cu caracter personal pot, cu excepţia stocării, să fie prelucrate numai cu consimţământul persoanei vizate sau pentru constatarea, exercitarea sau apărarea unui drept în instanţă sau pentru protecţia drepturilor unei alte persoane fizice sau juridice sau din motive de interes public important al Uniunii sau al unui stat membru.
Persoana vizată care a obţinut restricţionarea prelucrării este informată de către operator înainte de ridicarea restricţiei de prelucrare.
Obligaţia de notificare privind rectificarea sau ştergerea datelor cu caracter personal sau restricţionarea prelucrării (art.19)
Operatorul comunică fiecărui destinatar căruia i-au fost divulgate datele cu caracter personal orice rectificare sau ştergere a datelor cu caracter personal sau restricţionare a prelucrării, cu excepţia cazului în care acest lucru se dovedeşte imposibil sau presupune eforturi disproporţionate. Operatorul informează persoana vizată cu privire la destinatarii respectivi dacă persoana vizată solicită acest lucru.
Dreptul la portabilitatea datelor (art. 20)
Persoana vizată are dreptul de a primi datele cu caracter personal care o privesc şi pe care le-a furnizat operatorului într-un format structurat, utilizat în mod curent şi care poate fi citit automat şi are dreptul de a transmite aceste date altui operator, fără obstacole din partea operatorului căruia i-au fost furnizate datele cu caracter personal, în cazul în care:
a) prelucrarea se bazează pe consimţământ sau pe un contract ; şi b) prelucrarea este efectuată prin mijloace automate.
În exercitarea dreptului său la portabilitatea datelor, persoana vizată are dreptul ca datele cu caracter personal să fie transmise direct de la un operator la altul acolo unde acest lucru este fezabil din punct de vedere tehnic.
Exercitarea dreptului la portabilitatea datelor nu aduce atingere dreptului la ştergerea datelor.
Dreptul la portabilitatea datelor nu se aplică prelucrării necesare pentru îndeplinirea unei sarcini executate în interes public sau în cadrul exercitării unei autorităţi oficiale cu care este învestit operatorul.
Exercitarea dreptului la portabilitatea datelor nu aduce atingere drepturilor şi libertăţilor altora.