Drepturile persoanelor vizate: dreptul la restricționarea prelucrării datelor

Temei legal: articolul 18 din GDPR

Ce înseamnă dreptul la restricționarea prelucrării?

Potrivit articolului 18 din GDPR, ”persoana vizată are dreptul de a obține de la operator, fără întârzieri nejustificate, rectificarea datelor cu caracter personal inexacte care o privesc.”

 

Aceasta înseamnă că o persoană vizată poate limita modul în care o organizație îi utilizează datele. Practic, este o alternativă la solicitarea ștergerii datelor.

 

Pe scurt, trebuie să știi că:

    • Persoanele vizate au dreptul de a solicita restricționarea datelor lor personale.
    • Acesta nu este un drept absolut și se aplică numai în anumite circumstanțe.
    • Când prelucrarea este restricționată, ai permisiunea de a stoca datele personale, dar nu le poți utiliza.
    • Persoana vizată poate formula o cerere de restricționare verbal sau în scris.
    • Ai o lună calendaristică pentru a răspunde cererii.
    • Are legături strânse cu dreptul la rectificare (articolul 16 din GDPR) și cu dreptul la opoziție (articolul 21 din GDPR).

Când se aplică?

Persoana vizată are dreptul de a obține din partea operatorului restricționarea prelucrării în cazul în care se aplică unul din următoarele cazuri:

  1. persoana vizată contestă exactitatea datelor, pentru o perioadă care îți permite să verifici exactitatea datelor;
  2. prelucrarea este ilegală, iar persoana vizată se opune ștergerii datelor cu caracter personal, solicitând în schimb restricționarea utilizării lor;
  3. nu mai ai nevoie de datele cu caracter personal în scopul prelucrării, dar persoana vizată ți le solicită pentru constatarea, exercitarea sau apărarea unui drept în instanță; sau
  4. persoana vizată s-a opus prelucrării în conformitate cu articolul 21 alineatul (1) GDPR, pentru intervalul de timp în care se verifică dacă drepturile legitime ale tale prevalează asupra celor ale persoanei vizate.

Deși este diferit de dreptul la rectificare și dreptul de a se opune, există legături strânse între aceste drepturi și dreptul de a restricționa prelucrarea:

    • dacă o persoană a contestat exactitatea datelor și a cerut să le rectifici (articolul 16 GDPR), ei au, de asemenea, dreptul de a îți solicita să restricționezi prelucrarea în timp ce analizezi cererea lor de rectificare; sau
    • dacă o persoană își exercită dreptul de a formula opoziție în conformitate cu articolul 21 alineatul (1) GDPR, acestea au, de asemenea, dreptul de a îți solicita să restricționezi prelucrarea în timp ce analizezi  cererea de opoziție.

 

Sfat: Ar trebui să restricționezi automat prelucrarea în timp ce iei în considerare exactitatea datelor sau motivele legitime de prelucrare a datelor cu caracter personal în cauză.

 

Vizual, situația este așa:

Ce trebuie să fac?

Trebuie să ai la dispoziție procese care îți permit să restricționezi prelucrarea datele personale, dacă este necesar. Este important de menționat că definiția prelucrării include o gamă largă de operațiuni, inclusiv colectarea, structurarea, difuzarea și ștergerea datelor. Prin urmare, ar trebui să folosești metode de restricționare potrivite pentru tipul de prelucrare pe care îl faci.

GDPR sugerează o serie de metode diferite care ar putea fi utilizate pentru a restricționa datele, cum ar fi:

    • mutarea temporară a datelor către un alt sistem de prelucrare;
    • făcând datele indisponibile utilizatorilor; sau
    • eliminarea temporară a datelor publicate de pe un site web.

Ce pot face cu datele restricționate?

Regula: În cazul în care prelucrarea a fost restricționată, poți doar să le stochezi.

Excepția: poți să le prelucrezi:

    • numai cu consimțământul persoanei vizate; sau
    • pentru constatarea, exercitarea sau apărarea unui drept în instanță; sau
    • pentru protecția drepturilor unei alte persoane fizice sau juridice; sau
    • din motive de interes public important al Uniunii Europene sau al unui stat membru.

Când putem ridica restricția?

În multe cazuri, restricționarea prelucrării este doar temporară, în special când aceasta se bazează pe faptul că:

    • persoana vizată a contestat exactitatea datelor cu caracter personal și o investighezi; sau
    • persoana vizată s-a opus prelucrării în baza temeiului privind interesele legitime sau în baza faptului că prelucrarea este necesară îndeplinirii unei sarcini în interes public.

După ce ai luat o decizie cu privire la exactitatea datelor sau dacă drepturile tale legitime prevalează asupra celor ale persoanei vizate, puteți decide să ridici restricția.

Atenție! Trebuie să informezi persoana vizată înainte de a ridica restricția.

Cum recunoaștem o cerere?

Aici vine partea frumoasă și ar trebui să avem în vedere următoarele aspecte:

    • GDPR nu impune/nu solicită o anumită formă pentru cererea de restricționare;
    • Cererea de restricționare nu trebuie să aibă neapărat sintagma ”cerere de rectificare”/”articolul 18 GDPR”/”vreau să-mi restricționați datele” etc., ci poate fi formulată oricum de persoană vizată;
    • Cererea poate fi adresată oricărei persoane/departament al operatorului;
    • Cererea poate fi adresată prin orice fel de canal de comunicare (inclusiv rețelele sociale – Facebook/Instagram).

 

Sfat: Recomandarea noastră este să implementezi o procedură de răspuns în cazul cererilor care vin din partea persoanelor vizate, pentru că trebuie să ai o trasabilitate a acestora (adică să le urmărești cap-coadă, de când primești o cerere până ce o soluționezi). Având în vedere că GDPR impune anumite termene de răspuns care îți pot aduce sancțiuni dacă nu le respecți, e mai bine să previi acest situații neplăcute. Dacă te interesează mai multe detalii, intră pe avocatoo.ro și vezi mai multe la produsul nostru (___).

Ar trebui să avem un model-tip de cerere?

Cum ziceam, NU – GDPR nu vine la pachet cu un model-tip de cerere. Însă este recomandat să ai un model, indiferent că îl oferi persoanelor pe site ca să îl trimită pe e-mail, în format fizic sau sub formă de pagină separată pe internet. De ce un model? Imaginează-ți cum e să primești 100 cereri scrise diferit. Dacă te interesează un model de cerere care poate fi pus la dispoziția persoanelor, intră pe avocatoo.ro și vezi mai multe la produsul nostru (___).

Pot verifica identitatea persoanei care face cererea?

Nu doar că poți, recomandat este să o și faci. Având în vedere că vorbim de protecția datelor cu caracter personal, a restricționa datele personale la cererea unei persoane care nu are dreptul de acces la ele este considerat a fi o breșă de securitate.

 

Atenție! Dacă soliciți persoanei un document de identitate, trebuie să ții cont că și asta este o prelucrare a datelor personale și ar trebui inclusă în nota de informare și politica de prelucrare a datelor personale.

Putem percepe o taxă pentru a răspunde?

În majoritatea situațiilor, NU. Totuși, în cazul în care cererea este vădit nefondată sau excesivă, poți percepe o taxă suplimentară, care să acopere costurile administrative.

În cât timp trebuie să răspundem?

Termenul pentru răspuns este de 1 lună de la primirea cererii de acces. De aceea este foarte important ca procedura de răspuns să fie bine pusă la punct și fiecare persoană să știe ce are de făcut. Iar un workflow bine documentat și implementat te va scuti de o mare bătaie de cap.

Trebuie să calculați termenul limită din ziua următoare primirii cererii (dacă ziua următoare este o zi lucrătoare sau nu) până la data calendaristică corespunzătoare din luna următoare.

Exemplul 1:

Primești o cerere de rectificare la 3 septembrie. Termenul limită va începe de a doua zi, 4 septembrie. Trebuie să răspunzi cererii până la data de 4 octombrie.

Dacă acest lucru nu este posibil deoarece luna următoare este mai scurtă (și nu există o dată calendaristică corespunzătoare), data răspunsului este ultima zi a lunii următoare.

Dacă data respectivă se încadrează într-un weekend sau într-o zi de sărbătoare legală, termenul se prorogă până la următoarea zi lucrătoare.

Acest lucru înseamnă că numărul exact de zile în care să răspunzi unei cereri variază, în funcție de luna în care a fost făcută solicitarea.

Exemplul 2:

Primești o cerere la 30 martie. Termenul începe să curgă din ziua următoare, 31 martie. Deoarece nu există o dată echivalentă în luna aprilie, ai termen până la 30 aprilie să te conformezi cererii.

Dacă data de 30 aprilie se împlinește într-un weekend sau într-o zi de sărbătoare legală, trebuie să răspunzi până la sfârșitul următoarei zile lucrătoare.

În scopuri practice, dacă este necesar un număr constant de zile (de exemplu în scopuri operaționale sau de sistem), poate fi util să adopți o perioadă de 28 de zile pentru a asigura respectarea întotdeauna a unei luni calendaristice.

Putem extinde termenul?

Poți prelungi timpul pentru a răspunde cu încă două luni dacă:

(a) cererea este complexă și astfel ai nevoie de mai mult timp pentru a răspunde sau

(b) dacă ai primit un număr semnificativ de solicitări din partea respectivei persoane vizate (dar nu intri pe cerere vădit excesivă).

În toate cazurile, trebuie să anunțați informezi vizată despre prelungirea termenului în maxim o lună de la primirea cererii, precum și să explici de ce prelungești termenul de răspuns.

Cu toate acestea, este puțin probabil să fie rezonabilă prelungirea termenului dacă:

    • cererea este vădit nefondată sau excesivă;
    • se aplică o excepție; sau
    • soliciți dovada identității persoanei care face cererea înainte de a examina cererea.

Trebuie să spunem și altora că am restricționat datele?

Regula: Dacă ai transmis datele personale și altor organizații, trebuie să iei legătura cu fiecare destinatar și să îl informezi cu privire la rectificarea sau completarea datelor cu caracter personal.

Excepția: dacă acest lucru se dovedește imposibil sau implică un efort disproporționat.

Dacă ți se cere, trebuie să informezi persoana vizată despre acești destinatari.

Putem să refuzăm să răspundem cererii?

Poți refuza să răspunzi unei solicitări de acces la subiect dacă este:

  1. vădit nefondată sau
  2. excesivă, luând în considerare dacă cererea are o natură repetitivă.

Dacă consideri că o cerere este vădit nefondată sau excesivă, poți:

    • solicita o “taxă rezonabilă” pentru răspunde cererii; sau
    • refuza să răspunzi cererii.

În ambele cazuri trebuie să justifici decizia și să i-o comunici solicitantului, alături de:

  1. Dreptul acestuia de a înainta o plângere la ASPDCP;
  2. Dreptul acestuia de a obține despăgubiri în fața instanțelor judecătorești competente.

Dacă te interesează o documentație elaborată de specialiști ”cum trebuie” ca să știi cum să răspunzi cererilor de acces, intră pe avocatoo.ro și verifică produsul (denumire produs cu link).

Comment

This post doesn't have any comment. Be the first one!

hide comments
Follow
...
Back

Your cart

0

No products in the cart.

Total
0,00 lei
Checkout
Empty

This is a unique website which will require a more modern browser to work!

Please upgrade today!

Dacă vrei să nu mai cauți

Îți livrăm tot ce e nou la noi direct la tine în inbox.
VREAU
close-link
Our site uses cookies. Learn more about our use of cookies: cookie policy.
I accept