Articol furnizat de catre Alina S., Managing Partner la Advice Accounting – una dintre cele mai experimentate companii de Accounting & Legal din Romania. Advice Accounting are in portofoliu atat clienti din Romania, cat si clienti Europeni si a ajutat cateva sute de firme sa creasca eficient in ecosistemul fiscal & legal din Romania.
LEGISLAȚIE
- Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (denumit în continuare “Regulamentul”);
- Legea nr. 102 din 3 mai 2005 privind înfiinţarea, organizarea şi funcţionarea Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal (denumită în continuare “Legea nr. 102/2005”);
- Legea nr. 190 din 18 iulie 2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (denumită în continuare “Legea nr. 190/2018”);
- Legea nr. 363 din 28 decembrie 2018 privind protecţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, descoperirii, cercetării, urmăririi penale şi combaterii infracţiunilor sau al executării pedepselor, măsurilor educative şi de siguranţă, precum şi privind libera circulaţie a acestor date (denumită în continuare “Legea nr. 363/2018”).
NOȚIUNE
Conform art. 4 pct. 1 din Regulament, persoana vizată de prelucrarea datelor cu caracter personal este persoana fizică identificabilă direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.
Persoana vizată de prelucrarea datelor cu caracter personal nu trebuie confundată cu destinatarul, care este persoana fizică sau juridică, autoritatea publică, agenția sau alt organism căreia/căruia îi sunt divulgate datele cu caracter personal, indifferent dacă este sau nu o parte terță. Cu toate acestea, autoritățile publice cărora li se pot comunica date cu caracter personal în cadrul unei anumite anchete în conformitate cu dreptul Uniunii sau cu dreptul intern nu sunt considerate destinatari.
Conform art. 8 din Regulament, dacă prelucrarea datelor se face în baza consimțământulului, persoana vizată poate să fie și un copil cu vârsta stabilită la nivel de drept intern de cel puțin 13 ani, respectiv, la nivel de Regulament de cel puțin 16 ani, pentru care consimțământul este acordat/autorizat de către reprezentantul legal.
DATELE PERSONALE
- datele genetice, referitoare la caracteristicile genetice moștenite sau dobândite ale unei persoane fizice, care oferă informații unice privind fiziologia sau sănătatea persoanei respective și care rezultă în special în urma analizei unei mostre de material biologic recoltate de la persoana în cauză;
- datele biometrice, rezultate în urma unor tehnici de prelucrare specifice referitoare la caracteristicile fizice, fiziologice sau comportamentale ale unei persoane fizice care permit sau confirmă identificarea unică a respectivei persoane, cu mar fi imaginile faciale sau datele dactiloscopice;
- datele privind sănătatea, legate de sănătatea fizică sau mentală a unei persoane fizice, inclusiv prestarea de servicii de asistență medicală.
Categoria de informații care pot face obiectul prelucrării include și:
DREPTURILE PERSOANEI VIZATE
1. Dreptul la informare
Persoana vizată are dreptul de a i se comunica următoarele informații:
- identitatea și datele de contact ale operatorului și, după caz, ale reprezentantului acestuia;
- datele de contact ale responsabilului cu protecția datelor;
- scopurile în care sunt prelucrate datele cu caracter personal, precum și temeiul juridic al prelucrării;
- interesele legitime urmărite de operator sau de o parte terță, în cazul în care prelucrarea se face în temeiul acestora;
- destinatarii sau categoriile de destinatari ai datelor cu caracter personal;
- dacă este cazul, intenția operatorului de a transfera date cu caracter personal către o țară terță sau o organizație internațională;
- perioada pentru care vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă;
- existența dreptului de a solicita operatorului, în ceea ce privește datele cu caracter personal referitoare la persoana vizată, accesul la acestea, rectificarea sau ștergerea acestora sau restricționarea prelucrării sau a dreptului de a se opune prelucrării, precum și a dreptului la portabilitatea datelor;
- existența dreptului de a retrage consimțământul în orice moment, fără a afecta legalitatea prelucrării efectuate pe baza consimțământului înainte de retragerea acestuia, atunci când prelucrarea se bazează pe consimțământul persoanei vizate;
- dreptul de a depune o plângere în fața unei autorități de supraveghere;
- dacă furnizarea de date cu caracter personal reprezintă o obligație legală sau contractuală sau o obligație necesară pentru încheierea unui contract, precum și dacă persoana vizată este obligată să furnizeze aceste date cu caracter personal și care sunt eventualele consecințe ale nerespectării acestei obligații;
- existența unui proces decizional automatizat incluzând crearea de profiluri, precum și informații pertinente privind logica utilizată și privind importanța și consecințele preconizate ale unei astfel de prelucrări pentru persoana vizată.
Informațiile de mai sus trebuie comunicate persoanei vizate într-o manieră concisă, transparentă, inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu, în special pentru orice informații adresate în mod specific unui copil. Modalitatea de transmitere a informațiilor poate fi scrisă, electronică sau chiar verbală, dacă există solicitarea persoanei vizate în acest sens.
2. Dreptul de acces
Persoana vizată are dreptul de a obține din partea operatorului o confirmare că se prelucrează sau nu date cu caracter personal care o privesc, iar în caz afirmativ, are dreptul de acces la respectivele date.
Operatorul furnizează o copie a datelor cu caracter personal care fac obiectul prelucrării. Pentru orice alte copii solicitate de persoana vizată, operatorul poate percepe o taxă rezonabilă, bazată pe costurile administrative.
3. Dreptul la rectificare
Persoana vizată are dreptul de a obține de la operator, fără întârzieri nejustificate, rectificarea datelor cu caracter personal inexacte care o privesc. Ținându-se seama de scopurile în care au fost prelucrate datele, persoana vizată are dreptul de a obține completarea datelor cu caracter personal care sunt incomplete, inclusiv prin furnizarea unei declarații suplimentare.
4. Dreptul la ștergere
În cazurile anume prevăzute de Regulament, asupra cărora vom reveni cu ocazia altui studiu, persoana vizată are dreptul de a obține din partea operatorului ștergerea datelor cu caracter personal care o privesc, iar operatorul are obligația de a le șterge, fără întârzieri nejustificate.
5. Dreptul la restricționarea prelucrării
Pentru că și acest aspect va fi tratat separat, persoana vizată are dreptul de a obține din partea operatorului restricționarea prelucrării dacă este incident unul dintre cazurile prevăzute de Regulament.
6. Dreptul la portabilitatea datelor
Persoana vizată are dreptul de a primi datele cu caracter personal care o privesc și pe care le-a furnizat operatorului într-un format structurat, utilizat în mod curent și care poate fi citit automat și are dreptul de a transmite aceste date altui operator, fără obstacole din partea operatorului căruia i-au fost furnizate datele inițial, în cazul în care prelucrarea se bazează pe consimțământ sau pe un contract și este efectuată prin mijloace automate.
În exercitarea dreptului său la portabilitatea datelor, persoana vizată are dreptul ca datele cu caracter personal să fie transmise direct de la un operator la altul acolo unde acest lucru este posibil din punct de vedere tehnic.
7. Dreptul la opoziție
În orice moment, persoana vizată are dreptul de a se opune, din motive legate de situația particulară în care se află, prelucrării datelor cu caracter personal care o privesc, inclusiv creării de profiluri pe baza respectivelor dispoziții. Ca efect, operatorul nu mai prelucrează datele cu caracter personal, cu excepția cazului în care acesta demonstrează că are motive legitime și imperioase care justifică prelucrarea și care prevalează asupra intereselor, drepturilor și libertăților persoanei vizate sau că scopul este constatarea, exercitarea sau apărarea unui drept în instanță.
Atunci când prelucrarea datelor cu caracter personal are drept scop marketingul direct, persoana vizată are dreptul de a se opune în orice moment prelucrării în acest scop a datelor cu caracter personal care o privesc, inclusiv creării de profiluri, în măsura în care este legată de marketingul direct respectiv.
În ipoteza în care datele cu caracter personal sunt prelucrate în scopuri de cercetare științifică, istorică sau în scopuri statistice, persoana vizată, din motive legate de situația sa particulară, are dreptul de a se opune prelucrării datelor cu caracter personal care o privesc, cu excepția cazului în care prelucrarea este necesară pentru îndeplinirea unei sarcini din motive de interes public.
Potrivit art. 2 alin. (1) lit. f) din Legea nr. 190/2018, îndeplinirea unei sarcini care servește unui interes public include activitățile partidelor politice sau ale organizațiilor cetățenilor aparținând minorităților naționale, ale organizațiilor neguvernamentale, care servesc realizării obiectivelor prevăzute de dreptul constituțional sau de dreptul internațional public ori funcționării sistemului democratic, incluzând încurajarea participării cetățenilor în procesul de luare a deciziilor și a pregătirii politicilor publice, respectiv promovarea principiilor și valorilor democrației.
8. Dreptul la procesul decizional individual automatizat
Persoana vizată are dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri, care produce efecte juridice referitoare la persoana vizată sau o afectează în mod similar într-o măsură semnificativă, cu excepția în care decizia este necesară pentru încheierea sau executarea unui contract între persoana vizată și operatorul de date, este autorizată prin dreptul Uniunii sau dreptul intern care se aplică operatorului și care prevede, măsuri corespunzătoare pentru protejarea drepturilor, libertăților și intereselor legitime ale persoanei vizate sau are la bază consimțământul explicit al persoanei vizate.
Conform art. 14 alin. (5) și (6) din Legea nr. 190/2018, încălcarea de către autoritățile/organismele publice a dispozițiilor din Regulament referitoare la drepturile persoanelor vizate constituie contravenție și se sancționează cu amendă între 10.000 și 200.000 lei.