Despre drepturile operatorilor in confruntarea cu persoanele vizate
Persoanele ale caror date cu caracter personal sunt prelucrate de operator, numite persoane vizate, au cateva drepturi importante, izvorate din prevederile GDPR: dreptul de a fi informate cu privire la modalitatea in care sunt prelucrate datele lor cu caracter personal, dreptul de acces la date, dreptul la rectificarea datelor, dreptul la stergerea datelor s.a., prevazute de art. 15-22 GDPR. Dar nu doar persoanele vizate au drepturi, ci si operatorii.
Iata in continuare cateva drepturi ale operatorilor, insotite de evidentierea optiunilor si cateva sugestii.
1. In cazul in care operatorul colecteaza date cu caracter personal chiar de la persoanele vizate, acestea au dreptul sa le fie furnizate o serie de informatii cu privire la acestea, o lista lunga, prevazuta de art. 13 alin. 1-3 GDPR. Aceasta obligatie a operatorului este nuantata de prevederile alin. 4 din acelasi articol, in sensul ca nu este necesar ca informarea sa fie facuta daca si in masura in care persoana vizata detine deja informatiile respective.
De exemplu, daca intre operator si persoana vizata exista un raport contractual, ceea ce inseamna ca persoana vizata are deja numeroase informatii dintre cele la care se refera art. 13 alin. 1-3.
La fel, daca persoana vizata a consimtit sa primeasca newsletter sau comunicari comerciale, atunci ea are deja cea mai mare parte a informatiilor.
In acest context, este important de remarcat ca operatorul se poate apara de acuzatia a nu a informat persoanele vizate nu doar demonstrand ca a realizat anterior informarea, ci mult mai simplu, aratand ca persoana vizata detine deja informatiile respective. Cu alte cuvinte, informatiile persoanei vizate pot sa provina din orice sursa, nu doar de la operatorul acuzat .
Asadar, in astfel de situatii operatorul nu va informa persoana vizata.
2. In cazul in care datele cu caracter personal nu au fost colectate de la persoana vizata, ci provin din alte surse, ipoteza reglementata de art. 14 GDPR, operatorul are, si de aceasta data, obligatia sa furnizeze o lunga lista de informatii persoanei vizate ale carei date cu caracter personal le prelucreaza. Aceasta obligatie a operatorului este nuantata de prevederile alin. 5 din acelasi articol, care cuprinde derogari mai ample decat in cazul in care datele cu caracter personal ar fi fost colectate de la persoana vizata insasi.
Prima derogare se refera la ipoteza discutata mai sus: persoana vizata detine deja informatiile respective.
O derogare mai importanta decat aceasta consta in faptul ca operatorul poate sa nu informeze persoana vizata in cazul in care furnizarea acestor informatii se dovedeste a fi imposibila sau ar implica eforturi disproportionate. De exemplu, este vorba despre un numar foarte mare de persoane vizate. Alt exemplu: operatorul a obtinut date cu caracter personal ale persoanelor vizate, dar nu si date de identificare si contact suficiente pentru a transmite o informare.
Pe de alta parte, operatorul nu va realiza informare si in cazul in care este aceasta ar putea sa faca imposibila sau sa afecteze in mod grav realizarea obiectivelor prelucrarii respective. De exemplu, operatorul urmeaza sa se adreseze justitiei cu o actiune menita sa conserve dovezi, sau cu o ordonanta prezidentiala menita sa-l ia prin surprindere pe debitorul unei obligatii.
In acelasi sens, dar cu o motivare diferita, operatorul nu va realiza informarea atunci cand obtinerea sau divulgarea datelor cu caracter personal este prevazuta in mod expres de lege.
De asemenea, operatorul nu va realiza informarea in cazul in care datele cu caracter personal trebuie sa ramana confidentiale in temeiul unei obligatii de pastrare a secretului. De exemplu, avocatii nu realizeaza astfel de informari.
Asadar, in astfel de situatii operatorul nu va informa persoana vizata.
3. Potrivit art. 15 GDPR, persoana vizata are dreptul de a obtine din partea operatorului o confirmare ca se prelucreaza sau nu date cu caracter personal care o privesc si, in caz afirmativ, acces la datele respective si la informatii de tipul celor la care ne-am referit mai sus. Totusi, desi textul GDPR nu precizeaza in mod expres, exceptiile de la obligatiile de informare la care ne-am referit mai sus raman aplicabile. In plus, operatorul poate percepe o taxa rezonabila, bazata pe costurile administrative, pentru transmiterea confirmarii si, eventual, copii ale datelor prelucrate. Se impune aici o precizare: costurile administrative nu trebuie sa fie prohibitive pentru persoana vizata.
In cazul in care dreptul de acces la propriile date cu caracter personal ale persoanei vizate ar putea fi de natura sa aduca atingere drepturilor si libertatilor altor persoane, operatorul va refuza sa elibereze copii. De exemplu, in cazul in care datele cu caracter personal sunt cuprinse intr-un document care contine date cu caracter personal ale persoanei vizate dar si date ale altor persoane, a comunica persoanei vizate continutul documentului are semnificatia afectarii dreptului celorlalte persoane la protectia datelor cu caracter personal, motiv pentru care operatorul este indreptatit sa refuze. Textul art. 15 alin. 4 nu se refera insa doar la eventuala atingere adusa dreptului la protectia datelor cu caracter personal ale altei persoane vizate, ci se refera la drepturile si libertatile altora , fara a distinge cu privire la drepturi si fara a distinge cu privire la cei protejati, care pot fi, asadar, persoane fizice sau persoane juridice.
Asadar, in astfel de situatii operatorul are o libertate de apreciere considerabila.
4. Potrivit art. 16 GDPR, persoana vizata are dreptul de a obtine de la operator, fara intarzieri nejustificate, rectificarea datelor cu caracter personal inexacte care o privesc. Chiar daca uneori persoana vizata pune presiune pe operator, acesta are posibilitatea de a temporiza conformarea sa, adica posibilitatea de a reactiona cu intarziere, cu conditia ca intarzierea sa fie justificata. Iata cateva exemple de cauze ale intarzierilor: lipsa de claritate a solicitarii adresate de persoana vizata, care necesita, asadar, clarificari; lipsa temporara a personalului necesar, cauzata de un concediu medical sau concediu de odihna programat; dificultati tehnice de accesare a datelor cu caracter personal; necesitatea obtinerii unor aprobari speciale pentru interventia asupra datelor; verificarea identitatii titularului cererii de acces.
Asadar, in astfel de situatii operatorul trebuie sa reactioneze precaut dar ferm.
5. Potrivit art. 17 alin. 1 GDPR, Persoana vizata are dreptul de a obtine din partea operatorului stergerea datelor cu caracter personal care o privesc, fara intarzieri nejustificate, iar operatorul are obligatia de a sterge datele cu caracter personal fara intarzieri nejustificate in cazul in care se aplica unul dintre urmatoarele motive . Textul prevede ca, in lipsa unor motive, datele cu caracter personal nu se sterg.
Prin urmare, regula este pastrarea datelor cu caracter personal, iar exceptiile de la aceasta regula, adica stergerea, sunt cele mentionate de lit. a)-f) ale aceluiasi alineat. Exceptiile sunt de stricta interpretare, astfel incat abaterile de la regula ne-stergerii datelor cu caracter personal sa fie cat mai reduse.
Asadar, in astfel de situatii operatorul trebuie sa manifeste precizie in interpretarea solicitarii si sa aiba o buna comunicare cu persoana vizata, incercand sa dezamorseze tensiunea litigioasa din solicitarea persoanei vizate.
6. Cu titlu general, trebuie remarcat faptul ca, potrivit art. 12 GDPR, informatiile furnizate in temeiul articolelor 13 si 14 si orice comunicare si orice masuri luate in temeiul articolelor 15-22 si 34 sunt oferite gratuit, iar in cazul in care cererile din partea unei persoane vizate sunt in mod vadit nefondate sau excesive, in special din cauza caracterului lor repetitiv, operatorul poate fie sa perceapa o taxa rezonabila tinand cont de costurile administrative pentru furnizarea informatiilor sau a comunicarii sau pentru luarea masurilor solicitate, fie sa refuze sa dea curs cererii.
Refuzul de a da curs cererii nu este o decizie prudenta, intrucat scopul GDPR este asigurarea protectiei persoanelor vizate, chiar si cand acestea nu inteleg drepturile lor si, cu atat mai mult cand nu inteleg drepturile si obligatiile operatorului.
In incheiere, mentionam ca una dintre apararile importante ale operatorului confruntat cu abordari agresive ale persoanelor vizate este art. 15 Cod civil, potrivit caruia niciun drept nu poate fi exercitat in scopul de a vatama sau pagubi pe altul ori intr-un mod excesiv i nerezonabil, contrar bunei-credin e.
Aceasta inseamna ca, desi persoana vizata are un drept, exercitarea lui trebuie facuta in mod rezonabil si fara excese.
Iata in continuare cateva drepturi ale operatorilor, insotite de evidentierea optiunilor si cateva sugestii.
1. In cazul in care operatorul colecteaza date cu caracter personal chiar de la persoanele vizate, acestea au dreptul sa le fie furnizate o serie de informatii cu privire la acestea, o lista lunga, prevazuta de art. 13 alin. 1-3 GDPR. Aceasta obligatie a operatorului este nuantata de prevederile alin. 4 din acelasi articol, in sensul ca nu este necesar ca informarea sa fie facuta daca si in masura in care persoana vizata detine deja informatiile respective.
De exemplu, daca intre operator si persoana vizata exista un raport contractual, ceea ce inseamna ca persoana vizata are deja numeroase informatii dintre cele la care se refera art. 13 alin. 1-3.
La fel, daca persoana vizata a consimtit sa primeasca newsletter sau comunicari comerciale, atunci ea are deja cea mai mare parte a informatiilor.
In acest context, este important de remarcat ca operatorul se poate apara de acuzatia a nu a informat persoanele vizate nu doar demonstrand ca a realizat anterior informarea, ci mult mai simplu, aratand ca persoana vizata detine deja informatiile respective. Cu alte cuvinte, informatiile persoanei vizate pot sa provina din orice sursa, nu doar de la operatorul acuzat .
Asadar, in astfel de situatii operatorul nu va informa persoana vizata.
2. In cazul in care datele cu caracter personal nu au fost colectate de la persoana vizata, ci provin din alte surse, ipoteza reglementata de art. 14 GDPR, operatorul are, si de aceasta data, obligatia sa furnizeze o lunga lista de informatii persoanei vizate ale carei date cu caracter personal le prelucreaza. Aceasta obligatie a operatorului este nuantata de prevederile alin. 5 din acelasi articol, care cuprinde derogari mai ample decat in cazul in care datele cu caracter personal ar fi fost colectate de la persoana vizata insasi.
Prima derogare se refera la ipoteza discutata mai sus: persoana vizata detine deja informatiile respective.
O derogare mai importanta decat aceasta consta in faptul ca operatorul poate sa nu informeze persoana vizata in cazul in care furnizarea acestor informatii se dovedeste a fi imposibila sau ar implica eforturi disproportionate. De exemplu, este vorba despre un numar foarte mare de persoane vizate. Alt exemplu: operatorul a obtinut date cu caracter personal ale persoanelor vizate, dar nu si date de identificare si contact suficiente pentru a transmite o informare.
Pe de alta parte, operatorul nu va realiza informare si in cazul in care este aceasta ar putea sa faca imposibila sau sa afecteze in mod grav realizarea obiectivelor prelucrarii respective. De exemplu, operatorul urmeaza sa se adreseze justitiei cu o actiune menita sa conserve dovezi, sau cu o ordonanta prezidentiala menita sa-l ia prin surprindere pe debitorul unei obligatii.
In acelasi sens, dar cu o motivare diferita, operatorul nu va realiza informarea atunci cand obtinerea sau divulgarea datelor cu caracter personal este prevazuta in mod expres de lege.
De asemenea, operatorul nu va realiza informarea in cazul in care datele cu caracter personal trebuie sa ramana confidentiale in temeiul unei obligatii de pastrare a secretului. De exemplu, avocatii nu realizeaza astfel de informari.
Asadar, in astfel de situatii operatorul nu va informa persoana vizata.
3. Potrivit art. 15 GDPR, persoana vizata are dreptul de a obtine din partea operatorului o confirmare ca se prelucreaza sau nu date cu caracter personal care o privesc si, in caz afirmativ, acces la datele respective si la informatii de tipul celor la care ne-am referit mai sus. Totusi, desi textul GDPR nu precizeaza in mod expres, exceptiile de la obligatiile de informare la care ne-am referit mai sus raman aplicabile. In plus, operatorul poate percepe o taxa rezonabila, bazata pe costurile administrative, pentru transmiterea confirmarii si, eventual, copii ale datelor prelucrate. Se impune aici o precizare: costurile administrative nu trebuie sa fie prohibitive pentru persoana vizata.
In cazul in care dreptul de acces la propriile date cu caracter personal ale persoanei vizate ar putea fi de natura sa aduca atingere drepturilor si libertatilor altor persoane, operatorul va refuza sa elibereze copii. De exemplu, in cazul in care datele cu caracter personal sunt cuprinse intr-un document care contine date cu caracter personal ale persoanei vizate dar si date ale altor persoane, a comunica persoanei vizate continutul documentului are semnificatia afectarii dreptului celorlalte persoane la protectia datelor cu caracter personal, motiv pentru care operatorul este indreptatit sa refuze. Textul art. 15 alin. 4 nu se refera insa doar la eventuala atingere adusa dreptului la protectia datelor cu caracter personal ale altei persoane vizate, ci se refera la drepturile si libertatile altora , fara a distinge cu privire la drepturi si fara a distinge cu privire la cei protejati, care pot fi, asadar, persoane fizice sau persoane juridice.
Asadar, in astfel de situatii operatorul are o libertate de apreciere considerabila.
4. Potrivit art. 16 GDPR, persoana vizata are dreptul de a obtine de la operator, fara intarzieri nejustificate, rectificarea datelor cu caracter personal inexacte care o privesc. Chiar daca uneori persoana vizata pune presiune pe operator, acesta are posibilitatea de a temporiza conformarea sa, adica posibilitatea de a reactiona cu intarziere, cu conditia ca intarzierea sa fie justificata. Iata cateva exemple de cauze ale intarzierilor: lipsa de claritate a solicitarii adresate de persoana vizata, care necesita, asadar, clarificari; lipsa temporara a personalului necesar, cauzata de un concediu medical sau concediu de odihna programat; dificultati tehnice de accesare a datelor cu caracter personal; necesitatea obtinerii unor aprobari speciale pentru interventia asupra datelor; verificarea identitatii titularului cererii de acces.
Asadar, in astfel de situatii operatorul trebuie sa reactioneze precaut dar ferm.
5. Potrivit art. 17 alin. 1 GDPR, Persoana vizata are dreptul de a obtine din partea operatorului stergerea datelor cu caracter personal care o privesc, fara intarzieri nejustificate, iar operatorul are obligatia de a sterge datele cu caracter personal fara intarzieri nejustificate in cazul in care se aplica unul dintre urmatoarele motive . Textul prevede ca, in lipsa unor motive, datele cu caracter personal nu se sterg.
Prin urmare, regula este pastrarea datelor cu caracter personal, iar exceptiile de la aceasta regula, adica stergerea, sunt cele mentionate de lit. a)-f) ale aceluiasi alineat. Exceptiile sunt de stricta interpretare, astfel incat abaterile de la regula ne-stergerii datelor cu caracter personal sa fie cat mai reduse.
Asadar, in astfel de situatii operatorul trebuie sa manifeste precizie in interpretarea solicitarii si sa aiba o buna comunicare cu persoana vizata, incercand sa dezamorseze tensiunea litigioasa din solicitarea persoanei vizate.
6. Cu titlu general, trebuie remarcat faptul ca, potrivit art. 12 GDPR, informatiile furnizate in temeiul articolelor 13 si 14 si orice comunicare si orice masuri luate in temeiul articolelor 15-22 si 34 sunt oferite gratuit, iar in cazul in care cererile din partea unei persoane vizate sunt in mod vadit nefondate sau excesive, in special din cauza caracterului lor repetitiv, operatorul poate fie sa perceapa o taxa rezonabila tinand cont de costurile administrative pentru furnizarea informatiilor sau a comunicarii sau pentru luarea masurilor solicitate, fie sa refuze sa dea curs cererii.
Refuzul de a da curs cererii nu este o decizie prudenta, intrucat scopul GDPR este asigurarea protectiei persoanelor vizate, chiar si cand acestea nu inteleg drepturile lor si, cu atat mai mult cand nu inteleg drepturile si obligatiile operatorului.
In incheiere, mentionam ca una dintre apararile importante ale operatorului confruntat cu abordari agresive ale persoanelor vizate este art. 15 Cod civil, potrivit caruia niciun drept nu poate fi exercitat in scopul de a vatama sau pagubi pe altul ori intr-un mod excesiv i nerezonabil, contrar bunei-credin e.
Aceasta inseamna ca, desi persoana vizata are un drept, exercitarea lui trebuie facuta in mod rezonabil si fara excese.
Newsletter PortalProtectiaDatelor.ro
Ramai la curent cu toate solutiile propuse de specialisti.
Aboneaza-te ACUM la Newsletterul PortalProtectiaDatelor.ro si primesti cadou Raportul special "Munca la domiciliu - Aspecte practice privind GDPR"!
Articole similare din categoria Obligatiile persoanelor juridice
31Mai2022
Despre obligatia de informare a persoanelor vizate cu privire la prelucrarea datelor cu caracter personal
de Andrei Savescu
31 Mai 2022
23Feb2022
Problema transparentei in cazul concursurilor pentru ocuparea unor posturi
de Andrei Savescu
23 Feb 2022
03Mar2020
Pastrarea pentru totdeauna a datelor cu caracter personal
de Andrei Savescu
03 Mar 2020
31Mar2019
LIAnt pentru interesul legitim
de Colectivul de Specialisti Rentrop&Straton
31 Mar 2019
17Mar2019
Completare on-line a formularului privind responsabilul cu protectia datelor
de Laurentiu Petre
17 Mar 2019
Un produs marca