Acest site foloseste Cookie-uri, conform noului Regulament de Protectie a Datelor (GDPR), pentru a va asigura cea mai buna experienta online. In esenta, Cookie-urile ne ajuta sa imbunatatim continutul de pe site, oferindu-va dvs., cititorul, o experienta online personalizata si mult mai rapida. Ele sunt folosite doar de site-ul nostru si partenerii nostri de incredere. Click AICI pentru detalii despre politica de Cookie-uri.
Acest site foloseste Cookie-uri, conform noului Regulament de Protectie a Datelor (GDPR), pentru a va asigura cea mai buna experienta online. In esenta, Cookie-urile ne ajuta sa imbunatatim continutul de pe site, oferindu-va dvs., cititorul, o experienta online personalizata si mult mai rapida. Ele sunt folosite doar de site-ul nostru si partenerii nostri de incredere. Click AICI pentru detalii despre politica de Cookie-uri. Sunt de acord cu politica de cookie
X

Autentificare cont

Tine-ma minte

Ati uitat parola? Click aici pentru a recupera user/parola

Nu aveti cont?
X

Recuperare user/parola

Te rugam sa introduci adresa de email pe care ai folosit-o la inregistrarea contului tau.

X

Deblocare automata cont

Te rugam sa introduci adresa de email pe care ai folosit-o la inregistrarea contului tau.

Autentificare Inregistrare cont
Portal actualizat la 17 Februarie 2020
Contine toate actele normative din domeniu, actualizate la zi - parteneriat Legis
portalprotectiadatelor.ro Un produs marca Rentrop&Straton

Drepturile clientilor cu privire la datele personale colectate

02 Mai 2018
Laurentiu Petre Raspuns oferit de
Laurentiu Petre
Avocat


Ce informatii trebuie sa le oferim clientilor ale caror date sunt colectate?
In momentul in care colectati datele, persoanele trebuie clar informate despre:
  • identitatea si datele de contact ale operatorului si, dupa caz, ale reprezentantului acestuia;
  • datele de contact ale responsabilului cu protectia datelor, dupa caz;
  • scopurile in care sunt prelucrate datele cu caracter personal, precum si temeiul juridic al prelucrarii;
  • in cazul in care prelucrarea se face in temeiul articolului 6 alineatul (1) litera (f) (prelucrare determinata de interesele legitime urmarite de operator sau de o parte terta, cu exceptia cazului in care prevaleaza interesele sau drepturile si libertatile fundamentale ale persoanei vizate, care necesita protejarea datelor cu caracter personal, in special atunci cand persoana vizata este un copil), interesele legitime urmarite de operator sau de o parte terta;
  • destinatarii sau categoriile de destinatari ai datelor cu caracter personal;
  • daca este cazul, intentia operatorului de a transfera date cu caracter personal catre o tara terta sau o organizatie internationala si existenta sau absenta unei decizii a Comisiei privind caracterul adecvat sau, in cazul transferurilor mentionate la articolul 46 sau 47 sau la articolul 49 alineatul (1) al doilea paragraf, o trimitere la garantiile adecvate sau corespunzatoare si la mijloacele de a obtine o copie a acestora, in cazul in care acestea au fost puse la dispozitie.
  • perioada pentru care vor fi stocate datele cu caracter personal sau, daca acest lucru nu este posibil, criteriile utilizate pentru a stabili aceast perioada;
  • existenta dreptului de a solicita operatorului, in ceea ce priveste datele cu caracter personal referitoare la persoana vizata, accesul la acestea, rectificarea sau stergerea acestora sau restrictionarea prelucrarii sau a dreptului de a se opune prelucrarii, precum si a dreptului la portabilitatea datelor;
  • atunci cand prelucrarea se bazeaza pe articolul 6 alineatul (1) litera (a) - persoana vizata si-a dat consimtamantul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice - sau pe articolul 9 alineatul (2) litera (a) - persoana vizata si-a dat consimtamantul explicit pentru prelucrarea acestor date cu caracter personal pentru unul sau mai multe scopuri specifice -, existenta dreptului de a retrage consimtamantul in orice moment, fara a afecta legalitatea prelucrarii efectuate pe baza consimtamantului inainte de retragerea acestuia;
  • dreptul de a depune o plangere in fata unei autoritati de supraveghere;
  • daca furnizarea de date cu caracter personal reprezinta o obligatie legala sau contractuala sau o obligatie necesara pentru incheierea unui contract, precum si daca persoana vizata este obligata sa furnizeze aceste date cu caracter personal si care sunt eventualele consecinte ale nerespectarii acestei obligatii;
  • existenta unui proces decizional automatizat incluzand crearea de profiluri, mentionat la articolul 22 alineatele (1) si (4), precum si, cel putin in cazurile respective, informatii pertinente privind logica utilizata si privind importanta si consecintele preconizate ale unei astfel de prelucrari pentru persoana vizata.
Aceste informatii trebuie furnizate in scris, verbal la solicitarea persoanei vizate, daca identitatea acesteia a fost dovedita prin alte mijloace, sau prin mijloace electronice atunci cand este oportun. Operatorul trebuie sa furnizeze informatiile intr-un mod concis, transparent, inteligibil si usor accesibil, intr-un limbaj clar si simplu si in mod gratuit.
Stiati ca: Informatiile care urmeaza sa fie furnizate persoanelor vizate pot fi furnizate in combinatie cu pictograme standardizate pentru a oferi intr-un mod usor vizibil, inteligibil si clar lizibil o imagine de ansamblu semnificativa asupra prelucrarii avute in vedere. In cazul in care pictogramele sunt prezentate in format electronic, acestea trebuie sa poata fi citite automat.
Cand datele sunt obtinute de la un alt operator, acesta ar trebui sa ii furnizeze persoanei informatiile necesare in termen de o luna de la momentul la care au fost obtinut datele cu caracter personal; sau, in cazul in care operatorul comunica cu persoana fizica, in momentul in care datele sunt utilizate pentru comunicarea cu aceasta; sau, daca se intentioneaza divulgarea datelor catre un alt operator, la data la care datele cu caracter personal au fost divulgate pentru prima oara.
Stiati ca: Operatorul are obligatia de a informa persoana fizica in legatura cu categoriile de date si cu sursa din care a obtinut datele, inclusiv daca au fost obtinute din surse disponibile public.
IMPORTANT: RGPD prevede c obligatia de informare nu subzista in situatia in care persoana vizata detine deja informatiile respective.
De asemenea, in situatia in care datele cu caracter personal nu au fost obtinute in mod direct de la persoana vizata, lipsa obligatiei de informare poate fi incidenta si in urmatoarele cazuri:
  • furnizarea acestor informatii se dovedeste a fi imposibila sau ar implica eforturi disproportionate, in special in cazul prelucrarii in scopuri de arhivare in interes public, in scopuri de cercetare stiintifica sau istorica ori in scopuri statistice, sau in masura in care obligatia de informare este susceptibila sa faca imposibila sau sa afecteze in mod grav realizarea obiectivelor prelucrarii respective. In astfel de cazuri, operatorul ia masuri adecvate pentru a proteja drepturile, libertatile si interesele legitime ale persoanei vizate, inclusiv punerea informatiilor la dispozitia publicului;
  • obtinerea sau divulgarea datelor este prevazuta in mod expres de dreptul Uniunii sau de dreptul intern sub incidenta caruia intra operatorul si care prevede masuri adecvate pentru a proteja interesele legitime ale persoanei vizate; sau
  • in cazul in care datele cu caracter personal trebuie sa ramana confidentiale in temeiul unei obligatii statutare de secret profesional reglementate de dreptul Uniunii sau de dreptul intern, inclusiv al unei obligatii legale de a pastra secretul.
Asadar, lipsa unei necesitati de a furniza informatii in cazul in care persoana vizata detine deja informatiile, in cazul in care inregistrarea sau divulgarea datelor cu caracter personal este prevazuta in mod expres de lege sau in cazul in care informarea persoanei vizate se dovedeste imposibila sau ar implica eforturi disproportionate, ar putea fi incidenta in special atunci cand prelucrarea se efectueaza in scopuri de arhivare in interes public, in scopuri de cercetare stiintifica sau istorica ori in scopuri statistice. In aceasta privinta, ar trebui luate in considerare numarul persoanelor vizate, vechimea datelor si orice garantii adecvate adoptate.

Accesul la datele cu caracter personal
O persoana vizata trebuie sa aiba drept de acces la datele cu caracter personal colectate care o privesc si sa isi exercite acest drept cu usurinta si la intervale de timp rezonabile, pentru a fi informata cu privire la prelucrare si pentru a verifica legalitatea acesteia.

Acest lucru include dreptul persoanelor vizate de a avea acces la datele lor privind sanatatea, de exemplu datele din registrele lor medicale continand informatii precum diagnostice, rezultate ale examinarilor, evaluari ale medicilor curanti si orice tratament sau interventie efectuata.

Orice persoana vizata trebuie, prin urmare, sa aiba dreptul de a cunoaste si de a i se comunica in special scopurile in care sunt prelucrate datele, daca este posibil perioada pentru care se prelucreaza datele cu caracter personal, destinatarii datelor cu caracter personal, logica de prelucrare automat a datelor cu caracter personal si, cel putin in cazul in care se bazeaza pe crearea de profiluri, consecintele unei astfel de prelucrari.

Fata de prevederile Legii nr. 677/2001, GDPR vine cu o idee inovatoare: acolo unde este posibil, operatorii de date ar trebui sa poata furniza acces de la distanta la un sistem sigur, care sa ofere persoanei vizate acces direct la datele sale cu caracter personal. Acest drept nu ar trebui sa aduca atingere drepturilor sau libertatilor altora, inclusiv secretului comercial sau proprietatii intelectuale si, in special, drepturilor de autor care asigura protectia programelor software (GDPR Considerentul 63). Desi acest tip de acces nu este posibil in toate cazurile, exista unele sectoare in care acest lucru ar fi posibil, prin integrarea in sistemele CRM (Customer Relationship Management).

Cu toate acestea, apreciem ca aspectele de mai sus nu ar trebui sa aiba drept rezultat refuzul de a furniza toate informatiile persoanei vizate. Atunci cand operatorul prelucreaza un volum mare de informatii privind persoana vizata, operatorul ar trebui sa poata solicita ca, inainte de a ii fi furnizate informatiile, persoana vizata sa precizeze informatiile sau activitatile de prelucrare la care se refera cererea sa.

Persoana vizata are, asadar, dreptul de a obtine din partea operatorului o confirmare ca se prelucreaza sau nu date cu caracter personal care o privesc si, in caz afirmativ, acces la datele respective si la urmatoarele informatii:
a) scopurile prelucrarii;
b) categoriile de date cu caracter personal vizate;
c) destinatarii sau categoriile de destinatari carora datele cu caracter personal le-au fost sau urmeaza sa le fie divulgate, in special destinatari din tari terte sau organizatii internationale;
d) acolo unde este posibil, perioada pentru care se preconizeaza ca vor fi stocate datele cu caracter personal sau, daca acest lucru nu este posibil, criteriile utilizate pentru a stabili aceasta perioada;
e) existenta dreptului de a solicita operatorului rectificarea sau stergerea datelor cu caracter personal ori restrictionarea prelucrarii datelor cu caracter personal referitoare la persoana vizata sau a dreptului de a se opune prelucrarii;
f) dreptul de a depune o plangere in fata unei autoritati de supraveghere;
g) in cazul in care datele cu caracter personal nu sunt colectate de la persoana vizata, orice informatii disponibile privind sursa acestora;
h) existenta unui proces decizional automatizat incluzand crearea de profiluri, mentionat la articolul 22 alineatele (1) si (4), precum si, cel putin in cazurile respective, informatii pertinente privind logica utilizata si privind importanta si consecintele preconizate ale unei astfel de prelucrari pentru persoana vizata.

In cazul in care datele cu caracter personal sunt transferate catre o tara terta sau o organizatie internationala, persoana vizata are dreptul sa fie informata cu privire la garantiile adecvate in temeiul articolului 46 referitoare la transfer.

Operatorul furnizeaza o copie a datelor cu caracter personal care fac obiectul prelucrarii. Pentru orice alte copii solicitate de persoana vizata, operatorul poate percepe o taxa rezonabila, bazata pe costurile administrative. In cazul in care persoana vizata introduce cererea in format electronic si cu exceptia cazului in care persoana vizata solicita un alt format, informatiile sunt furnizate intr-un format electronic utilizat in mod curent.

Dreptul de a obtine o copie a datelor cu caracter personal care fac obiectul prelucrarii nu trebuie sa aduca atingere drepturilor si libertatilor altora.

In consecinta, cand o persoana solicita acces la datele sale cu caracter personal, operatorul trebuie:
  • sa confirme daca prelucreaza sau nu date cu caracter personal care vizeaza persoana in cauza;
  • sa ii furnizeze o copie a datelor cu caracter personal pe care le detine in leg tura cu aceasta;
  • sa furnizeze informatii privind prelucrarea (cum ar fi scopurile, categoriile de date cu caracter personal, destinatarii etc.).

Prevederile Legii nr. 677/ 2001 arata ca o persoana poate solicita accesul la date in mod gratuit doar o data pe an. Regulamentul nu specifica perceperea vreunei taxe, dar lasa libertatea fiecarui membru UE s stabileasca in ce conditii pot fi percepute anumite taxe, mai ales cand implica un volum considerabil de lucru din partea operatorului sau atunci cand o cerere este vadit nefondata, excesiva sau repetitiva.

Regulamentul ofera operatorilor o perioada rezonabila de pana la o luna pentru a raspunde solicitarilor de acces la datele personale. In anumite situatii, acest termen poate fi prelungit cu inca o luna, caz in care trebuie anuntate persoanele vizate de aceasta prelungire, cu justificarile de rigoare in termen de cel mult o luna de la primirea solicitarii.

Important: Cererile de acces ale persoanelor vizate

Esti obligat sa revizuiesti procedurile si sa planifici cum cererile persoanelor vizate ale caror date le detineti vor fi manipulate, astfel ca trebuie sa tineti cont de urmatoarele reguli:
  • In cele mai multe cazuri nu veti putea sa oferiti serviciul contra cost;
  • Aveti o luna sa va conformati cererii;
  • Puteti refuza sau sa oferiti acest serviciu contra cost daca cererea este nefondata sau excesiva;
  • Daca refuzati o astfel de cerere, trebuie sa comunicati motivul deciziei si totodata ca acestia au dreptul sa se planga autoritatii de supraveghere.

Newsletter portalprotectiadatelor.ro

Top 3 studii de caz bazate pe amenzile GDPR

Ramai la curent cu toate solutiile propuse de specialisti.
Aboneaza-te ACUM la Newsletterul portalprotectiadatelor.ro si primesti cadou Raportul special "Top 3 studii de caz bazate pe amenzile GDPR"!

Da, doresc sa ma abonez si sa primesc informatii despre produsele, serviciile, evenimentele etc. oferite de Rentrop & Straton. Termeni si conditii de utilizare a site-ului Nota de informare

x