Drepturile persoanelor vizate și conformitatea cu GDPR

GDPR preia mai multe drepturi ale persoanelor vizate de la predecesorul său, Directiva privind protecția datelor. Cu toate acestea, pe lângă extinderea și înăsprirea regulilor privind anumite drepturi ale persoanelor vizate, regulamentul general privind protecția datelor introduce, de asemenea, noi drepturi pentru persoanele vizate.

Este clar că respectarea de către GDPR înseamnă că ați făcut tot ce ați putut pentru a permite persoanelor vizate să exercite aceste drepturi ale persoanelor vizate. Și asta nu este suficient. Conformitatea cu GDPR înseamnă, de asemenea, că ați informat în mod corespunzător persoanele vizate într-un mod transparent și clar cu privire la aceste drepturi.

Drepturile persoanelor vizate: dreptul de acces și de informații

Dreptul de acces este, de asemenea, un drept de informare, de transparență și de retragere a consimțământului.

Persoanele vizate pot solicita controlorului de date dacă datele personale referitoare la ele sunt prelucrate sau nu, de ce, unde și cum se procedează astfel încât să obțină o copie electronică.

Drepturile persoanelor vizate :  dreptul de a fi uitat sau ștergerea datelor

Persoanele vizate pot cere operatorilor de date să ștergă datele lor cu caracter personal. În plus, dacă există un consimțământ clar pentru difuzarea datelor și / sau terțele părți procesează datele, acest consimțământ poate fi retras. Cu toate acestea, există condiții care se aplică.

O privire mai atentă la dreptul la ștergerea datelor sau la dreptul de a fi uitat. Persoanele vizate au dreptul să ceară ștergerea datelor cu caracter personal care o privesc în anumite condiții.

Motivele pentru care dreptul de a fi uitat pot fi invocate (și prin care operatorul trebuie să ștergă datele fără întârzieri nejustificate și, de asemenea, să raporteze asupra acestuia) sunt:

  • Faptul că datele cu caracter personal nu mai sunt necesare în raport cu scopul pentru care au fost colectate sau prelucrate,
  • Retragerea consimțământului în cazul în care consimțământul este ales drept bază pentru prelucrarea legală (sau consimțământul explicit în cazul categoriilor speciale de date), cu prevederea suplimentară că nu există alt motiv juridic pentru procesare în afara consimțământului,
  • Persoana vizată se opune prelucrării (cu dreptul de opoziție fiind un alt subiect de date din dreapta) , astfel cum este prevăzut în primul paragraf al GDPR articolului 21 cu normele generale cu privire la acest drept de a se opune sau în cazul în care datele cu caracter personal sunt prelucrate pentru marketing direct ( inclusiv profilarea în domeniul marketingului direct) ;
  • Datele cu caracter personal solicitate să fie șterse au fost procesate în mod ilegal, pentru a începe,
  • Există o obligație legală la care este supus controlorul și care necesită ștergerea pentru a respecta această obligație legală,
  • Datele cu caracter personal se referă la copii și au fost colectate pentru a oferi servicii societății informaționale direct unui copil, așa cum se menționează în GDPR.

În plus, dacă datele personale care sunt solicitate să fie șterse au fost făcute publice de un controlor (de exemplu, punerea la dispoziție de date personale pe Internet, unde alții le pot consulta) , controlorul trebuie să încerce să se asigure că link-urile către aceste date , copiile și replicările sunt eliminate.

Cu toate acestea, acest lucru nu este absolut: trebuie să țină seama de tehnologia care există în acest scop și de costurile implementării acestuia, iar eforturile operatorului trebuie să fie „măsuri rezonabile, inclusiv măsuri tehnice”.

Excepțiile de la dreptul de a fi uitate sau dreptul la ștergere includ următoarele motive pentru care este necesară prelucrarea (în proporție) :

  • Exercitarea dreptului la libertatea de exprimare și de informare,
  • Activitățile de procesare pentru a îndeplini o obligație legală,
  • Motive în domeniul sănătății publice ,
  • Scopurile arhivării în interes public, în scopuri de cercetare științifică sau istorică și în scopuri statistice,
  • Înființarea, exercitarea sau apărarea revendicărilor legale.

Drepturile persoanelor vizate dreptul la portabilitatea datelor

Dreptul la portabilitatea datelor este un concept nou care vine cu GDPR. Pe scurt: persoanele vizate au dreptul să primească date cu caracter personal despre ele (după cum se menționează) în condiții specifice, dar, în plus, au dreptul să le transmită altui operator de date; acest lucru este valabil numai atunci când prelucrarea datelor se face folosind mijloace automate.

Dreptul la portabilitatea datelor oferă persoanei vizate dreptul de a primi date cu caracter personal care o privesc într-un format structurat, utilizat în mod obișnuit și care poate fi citit de mașină, precum și dreptul de a transmite aceste date unei alte organizații. Este un subiect de date corect pentru datele digitale și vârsta digitală.

  • Este datoria operatorului să facă posibil acest lucru, astfel încât persoana vizată să poată transmite datele sale personale unui alt controlor.
  • Este, de asemenea, datoria controlorului să facă acest lucru fără nici o împiedicare.
  • Dacă este posibil din punct de vedere tehnic, persoana vizată ar trebui, de asemenea, să poată transmite în mod direct acele date de la controlorul A la controlorul B. Cu alte cuvinte: fără a fi nevoie ca operatorul să intervină, dar, din nou, numai atunci când este realizabil din punct de vedere tehnic.

Dreptul la portabilitatea datelor implică faptul că:

  • fie prelucrarea se întâmplă deoarece persoana vizată și-a dat consimțământul (și, prin urmare, consimțământul este utilizat ca bază sau prelucrarea legală) sau, în cazul în care se referă la categorii speciale de date cu caracter personal, persoana vizată a dat un consimțământ explicit;
  • fie prelucrarea este necesară pentru executarea unui contract în care persoana vizată este parte (a doua bază pentru prelucrarea legală) ;
  • procesarea se face folosind mijloace automate ( digitale și electronice) .

Alte elemente cheie și / sau modificări în GDPR

Lista de mai sus este departe de a fi epuizată. În resurse, infografice și alte materiale din acest articol veți găsi o mulțime de schimbări și elemente.

Pentru a putea demonstra conformitatea cu prezentul regulament, controlorul ar trebui să adopte politici interne și să pună în aplicare măsuri care îndeplinesc în special principiile protecției datelor prin proiectare și protecția datelor în mod automat (GDPR)

Acestea, printre altele, includ:

  • Confidențialitatea prin design și protecția datelor în mod implicit sunt două principii-cheie care au un impact asupra multor domenii, după cum vom vedea. De exemplu, confidențialitatea prin design joacă la nivelul gestionării înregistrărilor.
  • Așa-numitul ghișeu unic, ceea ce înseamnă că organizațiile internaționale trebuie defapt să colaboreze cu o autoritate de supraveghere a protecției datelor.
  • Flexibilitate cu privire la articole specifice . Spre deosebire de convingerile populare, există mai multe domenii în care autoritățile naționale de reglementare pot interpreta și / sau elabora prevederi din GDPR. Acest lucru se întâmplă, printre altele, în contextul datelor sensibile.
  • Principiile internaționale de transfer de date fac parte din GDPR.
  • Organizațiile trebuie să poată demonstra că au fost luate măsuri tehnice și organizatorice adecvate. Certificări precum ISO 27001 vă pot ajuta să demonstrați acest lucru.
  • Prelucrarea legală : după cum s-a spus, consimțământul este prezentat în GDPR; cu toate acestea, există mai multe elemente care contează în contextul mai larg al prelucrării legale.
  • Măsurile specifice de reducere a riscului, cu criptarea principală, sunt promovate de GDPR. După cum s-a spus, de asemenea, redarea datelor pseudonime este o modalitate de a reduce riscul.
  • Reguli noi privind DPIA : există mai multe cazuri în care este obligatorie o evaluare a impactului protecției datelor , din nou, cu accent pe „noile tehnologii”.