Treceți la conținutul principal

Portabilitatea datelor personale


Conform art. 20 din Regulamentul  nr. 679 din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date „persoana vizată are dreptul de a primi datele cu caracter personal care o privesc şi pe care le-a furnizat operatorului într-un format structurat, utilizat în mod curent şi care poate fi citit automat şi are dreptul de a transmite aceste date altui operator, fără obstacole din partea operatorului căruia i-au fost furnizate datele cu caracter personal...”.



Această reglementare este cunoscută drept dreptul la portabilitatea datelor. Acesta dă dreptul persoanelor vizate (persoanele ale căror date personale sunt prelucrate) să solicite preluarea, copierea, transmiterea datelor personale dintr-un mediu IT în altul.

Exercitarea acestui drept nu împiedică exercitarea altor drepturi în legătură cu datele personale.



Situații în care se aplică acest drept:

1.       Se aplică la orice prelucrare automată a datelor furnizate de către persoana vizată. Aceasta implică unele limitări. Pe de o parte, nu se aplică prelucrărilor neautomate, de exemplu, pe suport de hârtie. Pe de altă parte, nu se aplică datelor produse chiar de către cel care prelucrează datele (de exemplu concluzii pe care le trage pe baza aplicării unor algoritmi asupra datelor personale). În fine, nu se aplică în cazurile în care este vorba de prelucrări de date făcute în executarea unor obligații legale, precum datele prelucrate de bănci în legătură cu obligațiile ce le revin în combaterea spălării banilor și terorismului.

2.       Exclude datele care au referințe la alte persoane. Datele altor persoane chiar în legătură cu persoana vizată nu fac obiectul acestui drept.



Obligații ce revin operatorului de date personale:



1.       Trebuie să asigure proceduri care să asigure că datele transmise corespund cererii persoanei vizate. În cadrul acestora o confirmare într-o etapă timpurie a procedurii din partea vizate este de dorit.

2.       O metodă de autentificare din partea persoanei vizate trebuie implementată pentru a verifica dacă cererea provine de la aceasta.

3.       Un răspuns negativ la această cerere nu poate fi dat decât în situații excepționale, precum  cereri vădit repetate făcute abuziv. Costul procedurilor și de asigurare al portabilității nu poate constitui un motiv de respingere.

4.       Operatorul nu poate fi ținut să răspundă pentru procesări făcute chiar de către persoana vizată sau de un alt operator.



Dacă datele sunt procesate de o persoană împuternicită contractul dintre operator și persoana împuternicită trebuie să conțină clauze privind obligațiile tehnice și organizaționale prin care persoana împuternicită se obligă să asigure portabilitatea datelor.



Operatorul care primește datele



Photo by Sticker Mule on Unsplash
Acesta trebuie să arate de la început care este scopul prelucrării. În cazul în care datele primite sunt excesive față de acest scop, acele date nu trebuie păstrate.



Formatul datelor



Nu există cereri imperative. Importantă este asigurarea interoperabilității. Totuși, dacă costurile pentru realizarea interoperabilității pentru persoana vizată sau operatorul care primește datele sunt excesive poate fi considerat că nu este îndeplinit criteriul interoperabilității. Trebuie însoțite cu un set de metadata care să facă inteligibile datele transmise. Dacă este vorba de seturi de date extinse, de dimensiuni mari, un sumar explicativ este necesar a fi transmis împreună cu datele.



Măsuri de luat:



Operatorii trebuie:



-          Să informeze persoanele vizate ori de câte ori închid un cont de date asupra existenței acestui drept.

-          Să informeze persoana vizată asupra acestui drept de câte ori inițiază colectarea de date de la aceașta.

-          Dacă colectarea de date nu se face direct de la persoana vizată, informarea trebuie făcută într-un termen de o lună, cu ocazia primei comunicări, sau cu ocazia primei transmiteri de date către un terț,

-          Să-și pregătească sistemele pentru a putea face față unei cereri în maxim o lună, trei luni pentru cazuri foarte complexe. Va fi o dovadă de bune practici dacă operatorul va face cunoscut termenele în care va răspunde cererilor persoanei vizate.

-          Să pregătească sistemele pentru a oferi posibilitatea de download de date personale, care să poată răspunde la criterii selective asupra datelor. De asemenea, trebuie puse la dispoziție servicii de transmitere directă către noul operator.

-          Să sigure proceduri de securitate privind transmiterea datelor (end-to-end ecryption și măsuri adecvate de autentificare).

Etichete

Etichete:

Comentarii

Trimiteți un comentariu

Postări populare de pe acest blog

Big Mac... dar nu cu carne de pui

 Ținând seama de notorietatea mărcii este interesant cazul  T-58/23 soluționat recent de instanțele europene, după parcurgerea tuturor etapelor de jurisdicție. O companie irlandeză    Supermac’s, a cerut înregistrarea mărcii Big Mac inclusiv pentru produse de tip hamburger. Cum e ușor de presupus,  McDonald’s International Property Company, Ltd., deținătorul mărcii Big Mac, s-a opus la această cerere. În final, însă, instanțele europene au reținut că opoziția nu este întemeiată în ce privește produsele conținând carne de pui, pentru că, deținătorul mărcii nu a făcut dovada că ar fi utilizat această marcă pentru produse din carne de pui. Iată că până și o marcă extrem de cunoscută precum Big Mac trebuie să treacă testul utilizării efective pentru a putea fi invocată protecția legală. 
Trimiteți un comentariu
Citiți mai multe

Studiu de caz: GDPR si acuzele aduse d-lui Simion și AUR

  Legat de campania cu casele la preț abordabil făcute de partidul AUR, campanie în care se folosește intensiv imaginea d-lui George Simion, liderul partidului, au apărut din cei care acuză că această campanie ar avea aspecte ilegale din punct de vedere al GDPR. Ne place sau nu ne place legislația din România, ne place sau nu ne place partidul AUR (sau liderul acestuia), trebuie să fim atenți la ce spun textele legale. Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor)  a fost făcute de politicieni astfel încât să fie permisivă cu partidele politice raportat la prelucrarea datelor.  „Art. 9. -   (1) În vederea asigurării proporţionalităţii ...
Trimiteți un comentariu
Citiți mai multe

V-ati dat datele medicale în timpul pandemiei? Guvernul le va păstra pentru toată durata vieții

Photo by Daniel Schludi on Unsplash  Guvernul României a emis Ordonanța nr.7/2025 pentru modificarea Legii nr. 95/2006 privind reforma în domeniul sănătăţii şi pentru modificarea şi completarea unor acte normative în domeniul sănătăţii. care printre altele la art. V vine cu o reglementare care își bate joc de tot ce înseamnă protecția datelor personale.  Și anume: „În vederea raportării şi supravegherii evoluţiei bolilor transmisibile, Serviciul de Telecomunicaţii Speciale dezvoltă o nouă aplicaţie care va prelua toate datele înregistrate în aplicaţia informatică «Corona-forms».. .” Mai țineți minte că atunci când v-ați vaccinat sau vă făceați analize privind SARS-COVID semnați niște documente în care toată lumea se jura că datele dumneavoastră personale vor fi prelucrate numai în scopurile legate de combaterea pandemiei? Ei, uite că onorat guvernul s-a răzgândit și va prelua aceste date într-o altă aplicație, deși nu i-ați dat nicidecum acordul să facă asta, și nici ...
Trimiteți un comentariu
Citiți mai multe