REGULAMENTUL GENERAL PRIVIND PROTECȚIA DATELOR CU CARACTER PERSONAL

GDPR

Evoluția tehnologiei comunicațiilor, precum și globalizarea au generat provocări majore în ceea ce privește protecția datelor cu caracter personal, motiv pentru care legislația de la nivelul Uniunii Europene din acest domeniu, mai precis Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 nu a mai reușit ”să țină pasul” cu tehnologia folosită în ultimii ani.

Tocmai din acest motiv, a fost adoptat Regulamentul UE nr. 679/2016, aplicabil în mod direct în ordinea juridică a statelor membre, începând cu data de 25 mai 2018, cu scopul de a asigura cadrul legal în ceea ce privește protecția datelor cu caracter personal precum și de a facilita libera circulație a acestor date în condiții de securitate.

În prezent, tehnologia permite atât societăților private, cât și autorităților publice să utilizeze date cu caracter personal la un nivel fără precedent în cadrul activității lor. Tocmai din acest motiv, societățile private care le colectează și administrează, în calitatea lor de operatori de date, au obligația de a respecta exigențele stabilite prin Regulamentul UE, precum și de legislația națională din această materie.

Care este domeniul de aplicare al GDPR?

Prin reglementarea GDPR a fost extinsă definiția noțiunii de date cu caracter personal prin raportare la tehnologia folosită în prezent pentru stocarea și prelucrarea datelor. Astfel, pe lângă datele uzuale precum date de identificare, adresă, Cod numeric personal, număr de telefon, sunt incluse datele genetice și biometrice ale unei persoane, precum amprentele digitale, recunoașterea vocală, scanarea retinei, ori chiar recunoașterea facială, identificatorii online sau parolele utilizate de către o persoană fizică. Curtea de Justiție a Uniunii Europene a decis, în cauza C-582/14, faptul că inclusiv adresele IP dinamice pot să fie considerate, în anumite situații, date cu caracter personal.

Regulamentul UE nr. 679/2016 nu este aplicabil oricărei prelucrări de date personale, ci doar prelucrărilor de date automatizate sau parțial automatizate ori prelucrărilor de date manuale care sunt cuprinse sau destinate să fie cuprinse într-un sistem de evidență.

Ca atare, GDPR nu este aplicabil activităților de prelucrare efectuate de către o persoană fizică în cadrul unei activități exclusiv personale sau domestice, cum este cazul agendei telefonice sau a listei de prieteni de pe o rețea de socializare, cu condiția, desigur, ca activitatea să fie exclusiv personală și să nu aibă vreo implicație profesională sau comercială.

În plus, Regulamentul prevede faptul că, de principiu, nu se includ în categoria de date cu caracter personal protejate prin legislația Europeană dosarele sau seturile de dosare, precum și copertele acestora, care nu sunt structurate în conformitate cu criterii specifice.

Care sunt drepturile persoanelor vizate?

Prin Regulamentul UE nr. 679/2016 s-au reglementat o serie de drepturi de care beneficiază persoanele fizice ale căror date personale sunt prelucrate de către operatori.

Dreptul de acces la datele prelucrate – persoana vizată are dreptul de a solicita operatorului confirmarea că datele sale personale sunt prelucrate, iar în cazul în care obține această confirmare, persoana vizată va avea și dreptul de a obține o copie a acestora precum și informații referitoare la modalitatea de prelucrare, într-o formă concisă, transparentă, inteligibilă și ușor accesibilă.

Dreptul la rectificare – persoana vizată are dreptul de a solicita operatorului corectarea și completarea datelor personale prelucrate, în situația în care acestea sunt inexacte sau incorecte.

Dreptul la ștergere – persoana vizată are dreptul să solicite operatorului ștergerea datelor prelucrate dacă este incidentă una sau mai multe dintre următoarele situații: datele cu caracter personal nu mai sunt necesare pentru îndeplinirea scopurilor pentru care au fost colectate sau prelucrate; persoana vizată își retrage consimțământul pe baza căruia are loc prelucrarea și nu există niciun alt temei juridic pentru prelucrare; persoana vizată se opune prelucrării și nu există motive legitime care să prevaleze în ceea ce privește prelucrarea; datele cu caracter personal au fost prelucrate ilegal; datele cu caracter personal trebuie șterse pentru respectarea legii; datele cu caracter personal au fost prelucrate în legătură cu oferirea de servicii online copiilor.

Dreptul la restricționarea prelucrării – persoana vizată are dreptul la restricționarea prelucrării dacă este incidentă una sau mai multe dintre următoarele situații: persoana vizată contestă exactitatea datelor, pentru o perioadă care îi permite operatorului să verifice exactitatea datelor; prelucrarea este ilegală, iar persoana vizată se opune ștergerii datelor cu caracter personal, solicitând în schimb restricționarea utilizării lor; operatorul nu mai are nevoie de datele cu caracter personal în scopul prelucrării, dar persoana vizată i le solicită pentru constatarea, exercitarea sau apărarea unui drept în instanță; persoana vizată s-a opus prelucrării pentru intervalul de timp în care se verifică dacă drepturile legitime ale operatorului prevalează asupra celor ale persoanei vizate.

Dreptul la portabilitatea datelor – persoana vizată are dreptul să solicite operatorului ca datele personale să fie furnizate într-un format structurat și să transfere datele respective unei alte părți, de exemplu, unui alt operator de servicii. Acest drept se aplică datelor cu caracter personal a căror prelucrare se bazează pe consimțământul persoanei vizate, pe temeiul legal al contractului sau în situația în care prelucrarea este efectuată prin mijloace automate.

Dreptul de a nu fi supus unei decizii automate – persoana vizată are dreptul, în contextul evoluției tot mai rapide a inteligenței artificiale, de a nu fi supusă unei decizii automate, în situația în care această decizie produce efecte juridice care privesc persoana vizată.

Dreptul la opoziție – persoana vizată are dreptul de a se opune prelucrării care se bazează pe interesul legitim al operatorului. Dacă persoana vizată se prevalează de acest drept ia naștere obligația operatorului de a justifica motivele pe care se bazează prelucrarea. Operatorul nu va mai avea dreptul de a prelucra datele cu caracter personal, cu excepția situației în care demonstrează că are motive legitime care justifică prelucrarea și care prevalează intereselor și drepturilor persoanei vizate.

Recomandări adresate operatorilor de date cu caracter personal.

După cum am arătat anterior, protecția datelor cu caracter personal reprezintă un domeniu complex și atent urmărit de autoritățile statului, tocmai din cauza impactului pe care evoluția tehnologiei îl generează asupra acestora.

În situația în care, în activitatea curentă, prelucrați date cu caracter personal, vă recomandăm să vă adresați profesioniștilor din domeniu care, în urma unei analize de impact, vor stabili dacă vă încadrați în sfera de incidență a GDPR, iar în caz afirmativ vor elabora o serie de proceduri, documente și criterii de evaluare periodică cu scopul de a preveni orice abatere de la exigențele legii și orice potențială breșă de securitate care ar putea să cauzeze consecințe în privința protecției datelor cu caracter personal.Echipa NEXUMLEGAL oferă servicii de analiză, consultanță în vederea elaborării procedurilor interne de protecție a datelor, precum și implementarea acestora.