« Secţiuni « Arii de practică « BusinessProtectiveLitigation
Cyberlaw
CărţiProfesionişti

Și persoanele vizate se împușcă, nu-i așa? Despre drepturile operatorilor în confruntarea cu persoanele vizate
27.04.2022 | Andrei SĂVESCU

Drept Timisoara
Secţiuni: Cyberlaw, Data protection, Selected, Studii | Toate secţiunile

Cuvinte cheie: , , , , ,
JURIDICE - In Law We Trust
Andrei Săvescu

Andrei Săvescu

1. Persoanele ale căror date cu caracter personal sunt prelucrate de operator, numite persoane vizate, au câteva drepturi importante, izvorâte din prevederile GDPR: dreptul de a fi informate cu privire la modalitatea în care sunt prelucrate datele lor cu caracter personal, dreptul de acces la date, dreptul la rectificarea datelor, dreptul la ștergerea datelor ș.a., prevăzute de art. 15-22 GDPR. Dar nu doar persoanele vizate au drepturi, ci și operatorii.

Iată în continuare câteva drepturi ale operatorilor, însoțite de evidențierea opțiunilor și câteva sugestii.

2. În cazul în care operatorul colectează date cu caracter personal chiar de la persoanele vizate, acestea au dreptul să le fie furnizate o serie de informații, o listă lungă, prevăzută de art. 13 alin. 1-3 GDPR. Această obligație a operatorului este nuanțată de prevederile alin. 4 din același articol, în sensul că nu este necesar ca informarea să fie făcută dacă și în măsura în care persoana vizată deține deja informațiile respective.

De exemplu, dacă între operator și persoana vizată există un raport contractual, ceea ce înseamnă că persoana vizată are deja numeroase informații dintre cele la care se referă art. 13 alin. 1-3.

La fel, dacă persoana vizată a consimțit să primească newsletter sau comunicări comerciale, atunci ea are deja cea mai mare parte a informațiilor.

În acest context, este important de remarcat că operatorul se poate apăra de “acuzația” сă nu a informat persoanele vizate nu doar demonstrând că a realizat anterior informare, ci mult mai simplu, arătând că persoana vizată deține deja informațiile respective. Cu alte cuvinte, informațiile persoanei vizate pot să provină din orice sursă, nu doar de la operatorul “acuzat”.

Așadar, în astfel de situații operatorul nu va informa persoana vizată.

3. În cazul în care datele cu caracter personal nu au fost colectate de la persoana vizată, ci provin din alte surse, ipoteză reglementată de art. 14 GDPR, operatorul are, și de această dată, obligația să furnizeze o lungă listă de informații persoanei vizate ale cărei date cu caracter personal le prelucrează. Această obligație a operatorului este nuanțată de prevederile alin. 5 din același articol, care cuprinde derogări mai ample decât în cazul în care datele cu caracter personal ar fi fost colectate de la persoană vizată însăși.

Prima derogare se referă la ipoteza discutată mai sus: persoana vizată deține deja informațiile respective.

O derogare mai importantă decât aceasta constă în faptul că operatorul poate să nu informeze persoana vizată în cazul în care furnizarea acestor informații se dovedește a fi imposibilă sau ar implica eforturi disproporționate. De exemplu, este vorba despre un număr foarte mare de persoane vizate. Alt exemplu: operatorul a obținut date cu caracter personal ale persoanelor vizate, dar nu și date de identificare și contact suficiente pentru a transmite o informare.

Pe de altă parte, operatorul nu va realiza informare și în cazul în care este aceasta ar putea să facă imposibilă sau să afecteze în mod grav realizarea obiectivelor prelucrării respective. De exemplu, operatorul urmează să se adreseze justiției cu o acțiune menită să conserve dovezi, sau cu o ordonanță prezidențială menită să-l ia prin surprindere pe debitorul unei obligații.

În același sens, dar cu o motivare diferită, operatorul nu va realiza informarea atunci când obținerea sau divulgarea datelor cu caracter personal este prevăzută în mod expres de lege.

De asemenea, operatorul nu va realiza informarea în cazul în care datele cu caracter personal trebuie să rămână confidențiale în temeiul unei obligații de păstrare a secretului. De exemplu, avocații nu realizează astfel de informări.

Așadar, în astfel de situații operatorul nu va informa persoana vizată.

4. Potrivit art. 15 GDPR, persoana vizată are dreptul de a obține din partea operatorului o confirmare că se prelucrează sau nu date cu caracter personal care o privesc și, în caz afirmativ, acces la datele respective și la informații de tipul celor la care ne-am referit mai sus. Totuși, deși textul GDPR nu precizează în mod expres, excepțiile de la obligațiile de informare la care ne-am referit mai sus rămân aplicabile. În plus, operatorul poate percepe o taxă rezonabilă, bazată pe costurile administrative, pentru transmiterea confirmării și, eventual, copii ale datelor prelucrate. Se impune aici o precizare: costurile administrative nu trebuie să fie prohibitive pentru persoana vizată.

În cazul în care dreptul de acces la propriile date cu caracter personal ale persoanei vizate ar putea fi de natură să aducă atingere drepturilor și libertăților altor persoane, operatorul va refuza să elibereze copii. De exemplu, în cazul în care datele cu caracter personal sunt cuprinse într-un document care conține date cu caracter personal ale persoanei vizate dar și date ale altor persoane, a comunica persoanei vizate conținutul documentului are semnificația afectării dreptului celorlalte persoane la protecția datelor cu caracter personal, motiv pentru care operatorul este îndreptățit să refuze. Textul art. 15 alin. 4 nu se referă însă doar la eventuala atingere adusă dreptului la protecția datelor cu caracter personal ale altei persoane vizate, ci se referă la “drepturile și libertățile altora”, fără a distinge cu privire la drepturi și fără a distinge cu privire la cei protejați, care pot fi, așadar, persoane fizice sau persoane juridice.

Așadar, în astfel de situații operatorul are o libertate de apreciere considerabilă.

5. Potrivit art. 16 GDPR, persoana vizată are dreptul de a obține de la operator, fără întârzieri nejustificate, rectificarea datelor cu caracter personal inexacte care o privesc. Chiar dacă uneori persoana vizată “pune presiune” pe operator, acesta are posibilitatea de a temporiza conformarea sa, adică posibilitatea de a reacționa cu întârziere, cu condiția ca întârzierea să fie justificată. Iată câteva exemple de cauze ale întârzierilor: lipsa de claritate a solicitării adresate de persoana vizată, care necesită, așadar, clarificări; lipsa temporară a personalului necesar, cauzată de un concediu medical sau concediu de odihnă programat; dificultăți tehnice de accesare a datelor cu caracter personal; necesitatea obținerii unor aprobări speciale pentru intervenția asupra datelor; verificarea identității titularului cererii de acces.

Așadar, în astfel de situații operatorul trebuie să reacționeze precaut dar ferm.

6. Potrivit art. 17 alin. 1 GDPR, „Persoana vizată are dreptul de a obține din partea operatorului ștergerea datelor cu caracter personal care o privesc, fără întârzieri nejustificate, iar operatorul are obligația de a șterge datele cu caracter personal fără întârzieri nejustificate în cazul în care se aplică unul dintre următoarele motive…”. Textul prevede că, în lipsa unor motive, datele cu caracter personal nu se șterg.

Prin urmare, regula este păstrarea datelor cu caracter personal, iar excepțiile de la această regulă, adică ștergerea, sunt cele menționate de lit. a)-f) ale aceluiași alineat. Excepțiile sunt de strictă interpretare, astfel încât abaterile de la regula ne-ștergerii datelor cu caracter personal să fie cât mai reduse.

Așadar, în astfel de situații operatorul trebuie să manifeste precizie în interpretarea solicitării și să aibă o bună comunicare cu persoana vizată, încercând să dezamorseze tensiunea litigioasă din solicitarea persoanei vizate.

7. Cu titlu general, trebuie remarcat faptul că, potrivit art. 12 GDPR, informațiile furnizate în temeiul articolelor 13 și 14 și orice comunicare și orice măsuri luate în temeiul articolelor 15-22 și 34 sunt oferite gratuit, iar în cazul în care cererile din partea unei persoane vizate sunt în mod vădit nefondate sau excesive, în special din cauza caracterului lor repetitiv, operatorul poate fie să perceapă o taxă rezonabilă ținând cont de costurile administrative pentru furnizarea informațiilor sau a comunicării sau pentru luarea măsurilor solicitate, fie să refuze să dea curs cererii.

Refuzul de a da curs cererii nu este o decizie prudentă, întrucât scopul GDPR este asigurarea protecției persoanelor vizate, chiar și când acestea nu înțeleg drepturile lor și, cu atât mai mult când nu înțeleg drepturile și obligațiile operatorului.

8. În încheiere, menționăm că una dintre apărările importante ale operatorului confruntat cu abordări agresive ale persoanelor vizate este art. 15 Cod civil, potrivit căruia niciun drept nu poate fi exercitat în scopul de a vătăma sau păgubi pe altul ori într-un mod excesiv şi nerezonabil, contrar bunei-credinţe.

Aceasta înseamnă că, deși persoana vizată are un drept, exercitarea lui trebuie făcută în mod rezonabil și fără excese.

Av. dr. Andrei Săvescu, SĂVESCU & ASOCIAȚII

 
Vă invităm să publicaţi şi dvs., chiar şi opinii cu care nu suntem de acord. JURIDICE.ro este o platformă de exprimare. Publicarea nu semnifică asumarea de către noi a mesajului. Totuşi, vă rugăm să vă familiarizaţi cu obiectivele şi valorile Societătii de Stiinţe Juridice, despre care puteti ciţi aici. Pentru a publica vă rugăm să citiţi Condiţiile de publicare, Politica privind protecţia datelor cu caracter personal şi să ne scrieţi la adresa de e-mail redactie@juridice.ro!

Lex Discipulo Laus
Gratuit pentru studenţi
Securitatea electronică este importantă pentru avocaţi
Mesaj de conştientizare susţinut de FORTINET
JURIDICE utilizează SmartBill
VIDEO
Codul muncii









Subscribe
Notify of

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

0 Comments
Inline Feedbacks
View all comments
Important: Descurajăm publicarea de comentarii defăimatoare. Vor fi validate doar comentariile care respectă Politica JURIDICE.ro şi Condiţiile de publicare.