Prelucrarea datelor personale, cand acestea pot fi sterse
Prelucrarea datelor personale impune anumite obligatii din partea operatorului. In numeroase cazuri s-a dovedit ca o parte dintre utilizatorii de internet nu au inteles ce riscuri isi asuma prin expunerea datelor personale. Uneori, nici nu au luat masuri minime de protectie a datelor si a vietii private.
Regulamentul general pentru protectia datelor (GDPR) a fost adoptat tocmai din necesitatea de protejare a datelor personale, in mediul on-line.
Acest aspect rezulta din continutul Regulamentului nr. 679 din 27 aprilie 2016. Se refera la protecţia persoanelor fizice in ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date. Motivul este datorat evolutilei tehnologice rapide şi globalizarea, care au generat noi provocări pentru protecţia datelor cu caracter personal.
In plus, amploarea colectării şi a schimbului de date cu caracter personal a crescut în mod semnificativ. Tehnologia permite atât societăţilor private şi autorităţilor publice să utilizeze date cu caracter personal la un nivel fără precedent.
Prelucrarea datelor personale si evolutia tehnologiei
Din ce în ce mai mult, persoanele fizice fac publice la nivel mondial informaţii cu caracter personal. Tehnologia a transformat deopotrivă economia şi viaţa socială şi ar trebui să faciliteze în continuare libera circulaţie a datelor cu caracter personal în cadrul Uniunii.
Aceste evoluţii impun un cadru solid şi mai coerent în materie de protecţie a datelor. Trebuie însoţit de o aplicare riguroasă a normelor, luând în considerare importanţa creării unui climat de încredere care va permite economiei digitale să se dezvolte pe piaţa internă;
Persoanele fizice ar trebui să aibă control asupra propriilor date cu caracter personal. Securitatea juridică şi practică pentru persoane fizice, operatori economici şi autorităţi publice ar trebui să fie consolidată.
In ce consta obligatia de informare in legatura cu prelucrarea datelor persoanale
Prelucrarea datelor personale trebuie facuta cu respectarea conditiilor legale. Intre acestea este dreptul la informare a persoanei vizate si obtinerea consimtamantului in vederea prelucrarii datelor.
In acest sens, Regulamentul prevede urmatoarele.
Orice prelucrare de date cu caracter personal ar trebui să fie legală şi echitabilă. Ar trebui să fie transparenta pentru persoanele fizice că sunt colectate, utilizate, consultate sau prelucrate în alt mod datele cu caracter personal care le privesc. Si în ce măsură datele cu caracter personal sunt sau vor fi prelucrate.
Principiul transparenţei in prelucrarea datelor personale
Principiul transparenţei prevede că orice informaţii şi comunicări referitoare la prelucrarea respectivelor date cu caracter personal sunt uşor accesibile şi uşor de înţeles şi că se utilizează un limbaj simplu şi clar.
Acest principiu se referă în special la informarea persoanelor vizate privind identitatea operatorului şi scopurile prelucrării, precum şi la oferirea de informaţii suplimentare, pentru a asigura o prelucrare echitabilă şi transparentă în ceea ce priveşte persoanele fizice vizate şi dreptul acestora de a li se confirma şi comunica datele cu caracter personal care le privesc care sunt prelucrate.
Informarea persoanelor cu privire la riscuri
Persoanele fizice ar trebui informate cu privire la riscurile, normele, garanţiile şi drepturile în materie de prelucrare a datelor cu caracter personal. Si cu privire la modul în care să îşi exercite drepturile în legătură cu prelucrarea. În special, scopurile specifice în care datele cu caracter personal sunt prelucrate ar trebui să fie explicite şi legitime şi să fie determinate la momentul colectării datelor respective. Datele cu caracter personal ar trebui să fie adecvate, relevante şi limitate la ceea ce este necesar pentru scopurile în care sunt prelucrate.
Aceasta necesită, în special, asigurarea faptului că perioada pentru care datele cu caracter personal sunt stocate este limitată strict la minimum. Datele cu caracter personal ar trebui prelucrate doar dacă scopul prelucrării nu poate fi îndeplinit în mod rezonabil prin alte mijloace. În vederea asigurării faptului că datele cu caracter personal nu sunt păstrate mai mult timp decât este necesar, ar trebui să se stabilească de către operator termene pentru ştergere sau revizuirea periodică.
Consimtamantul persoanei vizate la prelucrarea datelor cu caracter personal
Pentru ca prelucrarea datelor cu caracter personal să fie legală, aceasta ar trebui efectuată pe baza consimţământului persoanei vizate. Sau în temeiul unui alt motiv legitim, prevăzut de lege, fie în regulament, fie în alt act din dreptul Uniunii sau din dreptul intern. Inclusiv necesitatea respectării obligaţiilor legale la care este supus operatorul. Sau necesitatea de a executa un contract la care persoana vizată este parte sau pentru a parcurge etapele premergătoare încheierii unui contract, la solicitarea persoanei vizate.
Dreptul la rectificarea sau stergerea datelor personale ce au fost prelucrate
Odata obtinut consimtamantul persoanei vizate si datele personale prelucrate, acestea pot fi mentinute in baza de date doar in anumite cazuri. Regulament prevede cazurile cand persoana vizată ar trebui să aibă dreptul la rectificarea datelor cu caracter personal care o privesc şi “dreptul de a fi uitată”. Cand păstrarea acestor date încalcă regulamentul sau dreptul Uniunii sau dreptul intern sub incidenţa căruia intră operatorul.
Datele cu caracter personal nu mai sunt necesare pentru scopurile în care sunt colectate sau sunt prelucrate. Persoanele vizate şi-au retras consimţământul pentru prelucrare.
Acestea se opun prelucrării datelor cu caracter personal care le privesc.
Prelucrarea datelor cu caracter personal ale acestora nu este conformă cu regulamentul.
Regulamentul acorda o importanta speciala protectiei datelor prsonale ale copiilor
Acest drept este relevant în special în cazul în care persoana vizată şi-a dat consimţământul când era copil şi nu cunoştea pe deplin riscurile pe care le implică prelucrarea. Ulterior doreşte să elimine astfel de date cu caracter personal, în special de pe internet.
Persoana vizată ar trebui să aibă posibilitatea de a-şi exercita acest drept în pofida faptului că nu mai este copil.
Cand este necesara pastrarea in continuare a datelor cu caracter personal
Este necesară pentru exercitarea dreptului la libertatea de exprimare şi de informare.
Pentru respectarea unei obligaţii legale. Pentru îndeplinirea unei sarcini care serveşte unui interes public care rezultă din exercitarea autorităţii publice cu care este învestit operatorul.
Din motive de interes public în domeniul sănătăţii publice.
In scopuri de arhivare în interes public. In scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice;
Pentru constatarea, exercitarea sau apărarea unui drept în instanţă.
Ce obligatii are operatorul in cazul exercitarii dreptului la stergere
Pentru a se consolida “dreptul de a fi uitat” în mediul online, dreptul de ştergere ar trebui să fie extins astfel încât un operator care a făcut publice date cu caracter personal ar trebui să aibă obligaţia de a informa operatorii care prelucrează respectivele date cu caracter personal să şteargă orice linkuri către datele respective sau copii sau reproduceri ale acestora.
În acest scop, operatorul în cauză ar trebui să ia măsuri rezonabile, ţinând seama de tehnologia disponibilă şi de mijloacele aflate la dispoziţia lui, inclusiv măsuri tehnice, pentru a informa operatorii care prelucrează datele cu caracter personal în ceea ce priveşte cererea persoanei vizate.
Studiu de caz privind obligatia de informare si dreptul la stergerea datelor personale
Reclamanta a solicitat stergerea datelor sale personale din baza de date a SC Biroul de Credit. Prelucrarea acestor date incalca dispozitiile legii privind protectia persoanelor cu privire la prelucrarea datelor cu caracter personal. de asemenea, libera circulatie a acestor date.
Instanta de fond si instanta de apel au admis cererea.
Instanta de apel a retinut ca mentiunea din contractul de credit pentru a invoca existenta consimtamantului era facuta pe verso. Literele erau greu lizibile si intr-o scriere incorecta a formularului tipizat-cerere de credit. Se arata ca debitorul consimte ca datele prezentate in cererea de credit sa fie utilizate de catre banci pentru efectuarea de date statistice si de marketing. E de acord ca aceste date sa fie prelucrate in scopul imbunatatirii serviciilor si produselor oferite de banci si alte analize financiare.
Ce a retinut instanta despre prelucrarea datelor personale
Desi datele personale urmau sa fie prelucrate de BDC, acestea urmau sa fie utilizate de banca in cauza, dar si de alte banci. In ce priveste ca prelucrarea datelor personale in scopuri statistice, aceasta poate fi facuta si prin anonimizarea.
Nu se poate sustine ca persoana vizata si-a dat consimtamantul in mod expres si neechivoc ori informat pentru ca Biroul de de Credit sa poata prelucra datele sale personale. Mentiunea de pe verso din contractul de credit se refera doar la prelucrarea datelor din cererea de credit. Nu se refera la operatorul de date efectiv-Biroul de Credit. Are o formulare vaga, ce poate induce in eroare persoana vizata.
Nu poate fi valabil un astfel de consimtamant, dat nu operatorului, ci bancii.
Obligatia de informare nu a fost indeplinita de biroul de Credit. Nici BRD nu si-a indeplinit obligatia de informare. Se poate vorbi de doi operatori distincti, insa niciunul dintre acestia nu si-a indeplinit obligatia de informare a prelucrarii datelor. Astfel incat prelucrarea s-a facut fara respectarea unei conditii legale.