miercuri, 25 octombrie 2017

Portabilitatea datelor personale


Conform art. 20 din Regulamentul  nr. 679 din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date „persoana vizată are dreptul de a primi datele cu caracter personal care o privesc şi pe care le-a furnizat operatorului într-un format structurat, utilizat în mod curent şi care poate fi citit automat şi are dreptul de a transmite aceste date altui operator, fără obstacole din partea operatorului căruia i-au fost furnizate datele cu caracter personal...”.



Această reglementare este cunoscută drept dreptul la portabilitatea datelor. Acesta dă dreptul persoanelor vizate (persoanele ale căror date personale sunt prelucrate) să solicite preluarea, copierea, transmiterea datelor personale dintr-un mediu IT în altul.

Exercitarea acestui drept nu împiedică exercitarea altor drepturi în legătură cu datele personale.



Situații în care se aplică acest drept:

1.       Se aplică la orice prelucrare automată a datelor furnizate de către persoana vizată. Aceasta implică unele limitări. Pe de o parte, nu se aplică prelucrărilor neautomate, de exemplu, pe suport de hârtie. Pe de altă parte, nu se aplică datelor produse chiar de către cel care prelucrează datele (de exemplu concluzii pe care le trage pe baza aplicării unor algoritmi asupra datelor personale). În fine, nu se aplică în cazurile în care este vorba de prelucrări de date făcute în executarea unor obligații legale, precum datele prelucrate de bănci în legătură cu obligațiile ce le revin în combaterea spălării banilor și terorismului.

2.       Exclude datele care au referințe la alte persoane. Datele altor persoane chiar în legătură cu persoana vizată nu fac obiectul acestui drept.



Obligații ce revin operatorului de date personale:



1.       Trebuie să asigure proceduri care să asigure că datele transmise corespund cererii persoanei vizate. În cadrul acestora o confirmare într-o etapă timpurie a procedurii din partea vizate este de dorit.

2.       O metodă de autentificare din partea persoanei vizate trebuie implementată pentru a verifica dacă cererea provine de la aceasta.

3.       Un răspuns negativ la această cerere nu poate fi dat decât în situații excepționale, precum  cereri vădit repetate făcute abuziv. Costul procedurilor și de asigurare al portabilității nu poate constitui un motiv de respingere.

4.       Operatorul nu poate fi ținut să răspundă pentru procesări făcute chiar de către persoana vizată sau de un alt operator.



Dacă datele sunt procesate de o persoană împuternicită contractul dintre operator și persoana împuternicită trebuie să conțină clauze privind obligațiile tehnice și organizaționale prin care persoana împuternicită se obligă să asigure portabilitatea datelor.



Operatorul care primește datele



Photo by Sticker Mule on Unsplash
Acesta trebuie să arate de la început care este scopul prelucrării. În cazul în care datele primite sunt excesive față de acest scop, acele date nu trebuie păstrate.



Formatul datelor



Nu există cereri imperative. Importantă este asigurarea interoperabilității. Totuși, dacă costurile pentru realizarea interoperabilității pentru persoana vizată sau operatorul care primește datele sunt excesive poate fi considerat că nu este îndeplinit criteriul interoperabilității. Trebuie însoțite cu un set de metadata care să facă inteligibile datele transmise. Dacă este vorba de seturi de date extinse, de dimensiuni mari, un sumar explicativ este necesar a fi transmis împreună cu datele.



Măsuri de luat:



Operatorii trebuie:



-          Să informeze persoanele vizate ori de câte ori închid un cont de date asupra existenței acestui drept.

-          Să informeze persoana vizată asupra acestui drept de câte ori inițiază colectarea de date de la aceașta.

-          Dacă colectarea de date nu se face direct de la persoana vizată, informarea trebuie făcută într-un termen de o lună, cu ocazia primei comunicări, sau cu ocazia primei transmiteri de date către un terț,

-          Să-și pregătească sistemele pentru a putea face față unei cereri în maxim o lună, trei luni pentru cazuri foarte complexe. Va fi o dovadă de bune practici dacă operatorul va face cunoscut termenele în care va răspunde cererilor persoanei vizate.

-          Să pregătească sistemele pentru a oferi posibilitatea de download de date personale, care să poată răspunde la criterii selective asupra datelor. De asemenea, trebuie puse la dispoziție servicii de transmitere directă către noul operator.

-          Să sigure proceduri de securitate privind transmiterea datelor (end-to-end ecryption și măsuri adecvate de autentificare).

Niciun comentariu: