Sunteți pe pagina 1din 21

Pot angajatorul meu să-mi dau

consimțământul de a folosi datele


mele personale?
Răspuns
Situația angajator-salariat este în general considerată o relație
dezechilibrată în care angajatorul are mai multă putere decât
angajatul. Deoarece consimțământul trebuie să fie acordat în mod liber și
având în vedere relația dezechilibrată, angajatorul dvs. în majoritatea
cazurilor nu se poate baza pe consimțământul dvs. de a utiliza datele dvs.
Pot exista situații în care prelucrarea datelor personale ale unui angajat în
baza consimțământului angajatului este legală, mai ales dacă este în
interesul angajatului. De exemplu, dacă o companie acordă beneficii
angajatului sau membrilor familiei acestuia (de exemplu, reduceri la
serviciile societății), prelucrarea datelor cu caracter personal ale angajatului
este permisă și legală, dacă a fost acordat un consimțământ prealabil.

Exemplu
Consimțământul nu este valabil
Angajatorul dumneavoastră consideră că productivitatea muncii trebuie
îmbunătățită. Pentru a face acest lucru, intenționează să instaleze camere
CCTV pe coridoare și la intrarea în băi. El vă cere să vă dați
consimțământul pentru a vă putea monitoriza mișcările și timpul petrecut în
afara funcției. Chiar dacă consimțiți, ar fi considerat invalid și angajatorul
dvs. nu poate instala CCTV pe baza consimțământului respectiv.

Referințe
 Articolele 7 și 88 și considerentul 43 din GDPR
 Articolul 29 Orientările grupului de lucru privind consimțământul în
temeiul Regulamentului (UE) 2016/679 (WP 259)
 Articolul 29 din Avizul 2/2017 al grupului de lucru privind prelucrarea
datelor la locul de muncă (WP 249)

Pot fi colectate date personale


despre copii?
Răspuns
Protecția suplimentară este acordată acestui tip de date cu caracter
personal, deoarece copiii sunt mai puțin conștienți de riscurile și
consecințele schimbului de date și de drepturile lor. Orice informație
adresată în mod specific unui copil ar trebui adaptată pentru a fi ușor
accesibilă, folosind un limbaj clar și clar .
Pentru majoritatea serviciilor online este necesar consimțământul
părintelui sau tutorelui pentru a procesa datele personale ale unui copil
pe baza consimțământului până la o anumită vârstă. Acest lucru se aplică și
rețelelor de socializare, precum și platformelor pentru descărcarea de
muzică și cumpărarea de jocuri online.
Pragul de vârstă pentru obținerea consimțământului părinților este stabilit
de fiecare stat membru al UE și poate fi între 13 și 16
ani. Consultați Autoritatea Națională pentru Protecția Datelor .
Companiile trebuie să facă eforturi rezonabile, ținând cont de tehnologia
disponibilă, pentru a verifica dacă acordul dat este cu adevărat în
conformitate cu legea. Acest lucru poate implica implementarea măsurilor
de verificare a vârstei, cum ar fi punerea la îndoială a faptului că un copil
mediu nu va putea răspunde sau cere ca minorul să furnizeze e-mail-ul
părinților săi pentru a permite consimțământul scris.
Serviciile de prevenire sau consiliere oferite direct copiilor sunt exceptate
de la cerința consimțământului părinților, deoarece acestea urmăresc să
protejeze interesul superior al copilului.

Exemple
Este necesar consimțământul parental
Aveți o fiică de 12 ani. Ea ar dori să se alăture unei rețele media sociale
populare și i se cere consimțământul de a procesa informații despre religia
ei. Va trebui să vă dați consimțământul în cazul în care doriți ca ea să se
alăture acelei rețele media sociale.
Acordul parental nu este necesar
Fiul tău de 17 ani are în vedere participarea la un sondaj online despre
modelele de consum de haine. Site-ul solicită consimțământul de a procesa
datele sale. Deoarece are peste 16 ani, el își poate da consimțământul fără
să ceară a ta.

Referințe
 Articolul 8 și considerentele 38 și 58 din GDPR
Cum sunt protejate datele privind
convingerile mele religioase /
orientarea sexuală / sănătatea /
viziunile politice?
Răspuns
Următoarele categorii speciale de date cu caracter personal sunt
considerate "sensibile" și beneficiază de protecție specifică în temeiul
Regulamentului general privind protecția datelor (GDPR):

 rasială sau etnică;


 opiniile politice;
 credințele religioase sau filosofice;
 apartenența la sindicate;
 prelucrarea datelor genetice;
 date biometrice în scopul identificării unice a unei persoane fizice;
 sănătate;
 viața sexuală sau orientarea sexuală.

Ca regulă generală , prelucrarea tipurilor de date enumerate mai sus


este interzisă . Cu toate acestea, în anumite derogări, o întreprindere sau o
organizație poate fi autorizată să proceseze date cu caracter personal
sensibile atunci când:

 ați făcut datele dvs. sensibile în mod evident;


 ați dat consimțământul dvs. explicit;
 există o lege care reglementează un tip specific de procesare a
datelor pentru un anumit scop legat de interesul public sau sănătatea;
 o lege care include garanții adecvate prevede prelucrarea datelor cu
caracter personal sensibile în domenii precum sănătatea publică,
ocuparea forței de muncă și protecția socială.

Exemplu
Biroul Național de Statistică (o entitate statală) organizează un
recensământ public la fiecare 5 ani. Veți primi un link către un studiu pe
care sunteți obligat să îl completați. Acesta include domenii precum sexul și
originea rasială sau etnică. Într-o astfel de situație, deoarece ancheta se
bazează pe o lege care servește unui scop de interes public și conține
măsuri de protecție pentru a vă proteja datele sensibile (de exemplu, datele
sunt accesate numai de către destinatari autorizați care lucrează la
recensământ) datele dvs. personale sensibile pot fi prelucrate de Oficiul
Național de Statistică.

Referințe
 Articolul 9 și considerentele (51) - (56) din GDPR

Cum ar trebui să fie solicitat


consimțământul meu?
Răspuns
Cererea de consimțământ trebuie prezentată într-un mod clar și concis ,
utilizând un limbaj ușor de înțeles și clar distinct de alte informații cum ar fi
termenii și condițiile. Cererea trebuie să precizeze modul în care vor fi
utilizate datele dvs. personale și să includă datele de contact ale
companiei care prelucrează datele. Consimțământul trebuie să fie dat în
mod liber , specific , informat și lipsit de ambiguitate. Consimțământul
informat înseamnă că trebuie să primiți informații despre prelucrarea datelor
dvs. personale, inclusiv cel puțin:

 identitatea organizației care prelucrează date;


 scopurile pentru care datele sunt procesate;
 tipul de date care vor fi procesate;
 posibilitatea de a retrage consimțământul (de exemplu prin trimiterea
unui e-mail pentru retragerea consimțământului);
 după caz, faptul că datele vor fi utilizate exclusiv pentru luarea
deciziilor pe bază automată, inclusiv profilaxia;
 informații cu privire la faptul dacă consimțământul este legat de
transferul internațional al datelor dvs., riscurile posibile de transfer de
date către țări din afara UE, dacă aceste țări nu fac obiectul unei
decizii a Comisiei privind adecvarea și nu există garanții adecvate.

Exemple
Consimțământul nu a fost solicitat în condițiile legii
Înscrieți-vă la o școală de muzică pentru a lua cursuri de pian. Formularul
de înscriere conține un document de lungă durată redactat în format tipărit,
folosind termeni extrem de legali și tehnici, care includ posibilitatea ca
școala să poată transmite detaliile dvs. personale comercianților cu
amănuntul care vând instrumente muzicale. Școala încalcă legea, deoarece
consimțământul dvs. de a primi materiale de marketing (potențial de la
comercianții cu amănuntul al instrumentelor) nu a fost solicitat conform
legii.
Deschideți un cont bancar online și doriți să confirmați solicitarea dvs. Vă
afișează o pagină cu două casete de bifare care spune "accept termenii și
condițiile" și "sunt de acord că decizia dacă am dreptul la un card de credit
se bazează exclusiv pe profilarea fără intervenție umană". Ambele casete
de bifare sunt activate (verificate) în mod implicit. Trebuie să dezactivați
caseta de bifare dacă nu doriți să vă decideți dacă aveți dreptul la un card
de credit bazat exclusiv pe profil. Chiar dacă nu dezactivați caseta de
bifare, banca nu ar fi obținut consimțământul valabil, deoarece casetele pre-
bifate nu sunt considerate a fi un consimțământ valabil în cadrul GDPR.

Referințe
 Articolele 6 și 7 și considerentele 42 și 43 din GDPR
 Articolul 29 Orientările grupului de lucru privind consimțământul în
temeiul Regulamentului (UE) 2016/679 (WP 259)

Ce se întâmplă dacă datele pe care


le-am partajat sunt pierderi de
informatii?
Răspuns
O încălcare a datelor cu caracter personal apare atunci când există o
încălcare a securității care duce la distrugerea, pierderea, modificarea,
dezvăluirea neautorizată sau accesul la datele personale prelucrate
accidentale sau ilegale. În acest caz, organizația care deține datele cu
caracter personal trebuie să notifice autoritatea de supraveghere fără
întârzieri nejustificate. Dacă încălcarea datelor cu caracter personal este
susceptibilă să ducă la un risc ridicat pentru drepturile și libertățile dvs. și
dacă riscul nu a fost atenuat, trebuie să fiți informat și ca persoană fizică.

Exemplu
Ați rezervat taxiul prin intermediul unei aplicații online. Compania de taxi a
suferit o încălcare masivă a datelor cu caracter personal, iar datele șoferului
și ale utilizatorilor au fost furate. Se pare că nu a fost adoptată nicio măsură
de securitate specifică pentru a proteja datele cu caracter
personal. Compania ar fi trebuit să vă informeze despre încălcare. În acest
caz, puteți depune o plângere împotriva companiei de taxi în fața autorității
naționale pentru protecția datelor ("DPA").

Referințe
 Articolele 32, 34 și considerentele (85) - (88) din GDPR
Care sunt drepturile mele?
Răspuns
Aveți dreptul să:

 informații despre prelucrarea datelor dvs. personale;


 obțineți acces la datele personale deținute despre dvs.;
 solicitați corectarea datelor personale incorecte, inexacte sau
incomplete ;
 să solicite ștergerea datelor cu caracter personal atunci când nu
mai sunt necesare sau dacă prelucrarea acestora este ilegală;
 se opun prelucrării datelor dvs. personale în scopuri de marketing
sau din motive legate de situația dvs. particulară;
 solicitați restricționarea prelucrării datelor dvs. personale în cazuri
specifice;
 să primească datele dvs. personale într-un format care poate fi citit
de mașină și să le trimită altui controlor (" portabilitatea datelor ");
 solicitați ca deciziile bazate pe prelucrarea automată care vizează
dvs. sau care vă afectează în mod semnificativ și pe baza datelor
dvs. personale să fie făcute de persoane fizice, nu numai de
computere. De asemenea, aveți dreptul să vă exprimați punctul de
vedere și să contestați decizia.

Pentru a-ți exercita drepturile, trebuie să contactezi compania sau


organizația care îți procesează datele personale, de asemenea cunoscută
sub numele de controlor. Dacă societatea / organizația deține
un responsabil cu protecția datelor (" Protecția Datelor "), puteți adresa
cererea dvs. RPD. Compania / organizația trebuie să răspundă solicitărilor
dvs. fără întârzieri nejustificate și cel târziu în termen de o lună. În cazul
în care compania / organizația nu intenționează să se conformeze cererii
dvs., trebuie să precizeze motivul. Vi se poate solicita să furnizați informații
pentru a vă confirma identitatea (cum ar fi, făcând clic pe un link de
verificare, introducând un nume de utilizator sau o parolă) pentru a vă putea
exercita drepturile.
Aceste drepturi se aplică în întreaga UE , indiferent de locul în care sunt
procesate datele și unde este stabilită compania. Aceste drepturi se aplică
și în cazul achiziționării de bunuri și servicii de la societăți din afara UE care
operează în UE.

Referinţă
 Capitolul III al GDPR
Ce informații trebuie să primesc
atunci când vă furnizez datele mele
personale?
Răspuns
Când furnizați datele dvs. personale, trebuie să primiți, printre altele,
informații despre:

 numele companiei sau organizației , care prelucrează datele dvs.


(inclusiv datele de contact ale RPD, în cazul în care există unul);
 în scopurile pentru care compania / organizația va utiliza datele;
 categoriile de date cu caracter personal vizate;
 baza legală pentru prelucrarea datelor dvs. personale;
 durata de timp pentru care vor fi stocate datele;
 alte companii / organizații care vă vor primi datele;
 dacă datele vor fi transferate în afara UE;
 drepturile dvs. de bază în domeniul protecției datelor (de exemplu,
dreptul de a accesa și de a transfera date sau a le elimina);
 dreptul de a depune o plângere cu o autoritate pentru protecția
datelor (DPA);
 dreptul de a -și retrage consimțământul în orice moment;
 existența unui proces decizional automatizat și logica implicată,
inclusiv consecințele acestuia.

Informațiile trebuie prezentate în mod concis, transparent, inteligibilși


redactate în limbaj clar și clar.

Referințe
 Articolele 12 și 13 și considerentele 60-62 din GDPR
 Orientările privind transparența în temeiul articolului 29 din Grupul de
lucru în temeiul Regulamentului (UE) 2016/679 (WP 260)

Cum pot accesa datele mele


personale deținute de o companie /
organizație?
Răspuns
Aveți dreptul de a solicita și de a obține de la compania / organizația
confirmarea cu privire la faptul că deține sau nu date personale care vă
privesc.
Dacă aceștia au datele dvs. personale, aveți dreptul să accesați aceste
date , să primiți o copie și să obțineți orice informații suplimentare
relevante (cum ar fi motivele pentru prelucrarea datelor dvs. personale,
categoriile de date cu caracter personal utilizate etc.).
Acest drept de acces ar trebui să fie ușor și să fie posibil la intervale
rezonabile. Compania / organizația ar trebui să furnizeze gratuit o copie a
datelor dvs. personale . Orice alte copii pot fi supuse unei taxe
rezonabile. Atunci când solicitarea se face prin mijloace electronice (de
exemplu printr-un e-mail) și dacă nu vi se solicită altfel, informațiile trebuie
furnizate într-o formă electronică utilizată în mod obișnuit.
Acest drept nu este absolut : utilizarea dreptului de acces la datele dvs.
personale nu trebuie să afecteze drepturile și libertățile altora, inclusiv
secrete comerciale sau proprietate intelectuală.

Exemple
Dreptul de acces
Îți împrumuți cărți dintr-o bibliotecă. Puteți solicita bibliotecii să vă furnizeze
datele personale care vă privesc pe care le dețin. Biblioteca ar trebui să vă
ofere apoi toate informațiile despre dvs. stocate de ele. De exemplu, când
ați început să utilizați serviciile bibliotecii, cărțile pe care le-ați
împrumutat; dacă ați avut vreodată o carte întârziată și amenzi pe care ați fi
putut să le fi suportat.
V-ați înscris la o schemă de carduri de loialitate a unui lanț de
supermarketuri situate în diferite părți ale orașului și în întreaga țară. Dacă
utilizați dreptul dvs. de a solicita informații și de a obține informațiile dvs.
personale stocate de schema de carduri de fidelitate, trebuie să primiți
informații despre, de exemplu, cât de des ați utilizat cardul, la care ați făcut
cumpărăturile dvs. toate reducerile acordate și dacă ați fost vizate prin
folosirea tehnicilor de profilare, și în ce mod, dacă supermarketul, care face
parte dintr-un lanț de companii multinaționale, ți-a dezvăluit datele
companiei sale soră care vând parfumuri și produse cosmetice.

Referințe
 Articolul 15 și considerentele 63, 64 din GDPR
Datele mele sunt incorecte, pot să
le corectez?
Răspuns
Dacă credeți că datele dvs. personale ar putea fi incorecte, incomplete sau
inexacte, puteți cere companiei sau organizației să vă corecteze
datele. Acestea trebuie să facă acest lucru fără întârzieri nejustificate (în
principiu în termen de o lună) sau să justifice în scris motivele pentru care
cererea nu poate fi acceptată.

Exemplu
Un birou de credit prelucrează informațiile furnizate de fostul dvs. proprietar
prin care se afirmă că îi datorați o chirie de 3 luni. Tocmai ați câștigat o
litigiu și cererea sa pentru chiria de 3 luni a fost considerată
neîntemeiată. Puteți solicita biroului de credit să corecteze datele pe care le
deține despre dvs., astfel încât să nu vă dezavantajeze în viitor când se
procesează cererile de credit.

Referințe
 Articolele 12, 16, 19 și 23 și considerentul (65) din GDPR

Pot să ceară unei companii / unei


organizații să-mi trimită datele mele
personale astfel încât să o pot
folosi în altă parte?
Răspuns
Dacă o companie îți procesează datele personale pe baza
consimțământului tău sau a unui contract, poți solicita companiei să-ți
transfere datele personale.
De asemenea, puteți solicita ca datele dvs. personale să fie transferate
direct către o altă companie ale cărei servicii doriți să le utilizați, atunci când
este posibil din punct de vedere tehnic.

Exemplu
Sunteți membru al unei rețele media sociale online. Voi decideți că o nouă
rețea de rețele sociale rivale este mai potrivită scopurilor dvs. și grupului de
vârstă. Puteți să vă întrebați actuala rețea media socială online pentru a vă
transfera datele personale, inclusiv fotografiile, în noua rețea social media.

Referințe
 Articolul 20 și considerentul (68) al GDPR
 Articolul 29 Orientările grupului de lucru privind dreptul la
transferabilitatea datelor, adoptat la 13 decembrie 2016, astfel cum a
fost revizuit și adoptat ultima dată la 5 aprilie 2017 (WP 242 rev.01)

Pot solicita unei companii / unei


organizații să nu mai prelucreze
datele mele personale?
Răspuns
Aveți dreptul să vă opuneți prelucrării datelor dvs. personale și să cereți
unei companii / unei organizații să oprească prelucrarea datelor dvs.
personale dacă este procesată în scopul:

 marketing direct ;
 cercetări științifice / istorice și statistici;
 propriul lor interes legitim sau în îndeplinirea unei sarcini de interes
public / pentru o autoritate oficială.

Dacă vă opuneți marketingului direct, compania trebuie să vă oprească


utilizarea datelor dvs. personale și să vă respecte solicitarea fără a solicita
o taxă.
Cu toate acestea, o companie / organizație poate continua procesarea
datelor dvs. personale, în ciuda obiecțiilor dvs., dacă:

 în cazul prelucrării în scopul cercetării științifice / istorice și al


statisticilor, prelucrarea este necesară pentru îndeplinirea unei sarcini
îndeplinite din motive de interes public;
 în cazul procesării bazate pe interese legitime sau pe îndeplinirea
unei sarcini de interes public / exercitarea autorității publice, aceștia
pot dovedi că au motive legitime convingătoare care depășesc
interesele, drepturile și libertățile dumneavoastră. Prin urmare, este
necesar un exercițiu de echilibrare.

Compania trebuie să vă informeze cu privire la dreptul dvs. de a vă


prezenta obiecții atunci când aceștia vor lua prima dată legătura cu dvs.
Exemplu
Ați cumpărat două bilete pentru a vă vedea live formația preferată prin
intermediul unei companii de ticketing online. După aceea, sunteți
bombardați cu anunțuri pentru concerte și evenimente care nu vă
interesează. Informați compania online de servicii de ticketing că nu doriți
să primiți alte materiale publicitare. Compania ar trebui să oprească
prelucrarea datelor dvs. personale pentru marketingul direct și, la scurt timp
după aceea, nu mai trebuie să primiți e-mailuri de la ei. Nu ar trebui să te
perceapă pentru asta.

Referințe
 Articolele 7, 12 și 21 și considerentele (69) și (70) din GDPR

Pot să ceară unei companii să


ștergă datele mele personale?
Răspuns
Da, puteți cere ca datele dvs. personale să fie șterse atunci când, de
exemplu, datele pe care compania le deține nu mai sunt necesare sau când
datele dvs. au fost utilizate ilegal. Datele personale furnizate când erați
copil pot fi șterse în orice moment.
Acest drept se aplică și online și este adesea denumit "dreptul de a fi
uitat" . În anumite circumstanțe, puteți solicita companiilor care au făcut
datele dvs. personale disponibile online pentru al șterge. Aceste societăți
sunt, de asemenea, obligate să ia măsuri rezonabile pentru a informa alte
companii (controlorii) care procesează datele cu caracter personal pe care
persoana vizată le-a solicitat ștergerea oricărei legături sau a unor copii ale
datelor cu caracter personal.
Merită să ținem cont de faptul că acest drept nu este un drept absolut, ceea
ce înseamnă că sunt protejate și alte drepturi, cum ar fi libertatea de
exprimare și cercetarea științifică.

Exemple
Datele trebuie șterse
Te-ai alaturat unui site de social networking. După un timp, decideți să
părăsiți site-ul de rețea. Aveți dreptul să solicitați companiei să șterge
datele personale care vă aparțin.
Datele nu pot fi șterse imediat
O bancă nouă oferă oferte bune de împrumut pentru locuințe. Cumpăiați o
casă nouă și decideți să treceți la noua bancă. Cereți băncii "vechi" să
închidă toate conturile și să solicite ștergerea tuturor datelor
personale. Banca veche este totuși supusă unei legi care obligă băncile să
stocheze toate detaliile clienților timp de 10 ani. Banca veche nu poate
șterge pur și simplu detaliile tale personale. În acest caz, vă recomandăm
să solicitați restricționarea procesării datelor dvs. personale. Banca poate
apoi să stocheze datele numai pentru perioada de timp cerută de lege și nu
poate efectua alte operațiuni de procesare pe ele.
Datele trebuie șterse
Când efectuați o căutare online utilizând numele și prenumele dvs.,
rezultatele arată un link către un articol din ziar. Informațiile din ziar datează
de mai mulți ani și se referă la o problemă - o licitație imobiliară legată de
procedurile de recuperare a creanțelor - soluționată cu mult timp în urmă,
care este acum irelevantă. Dacă nu sunteți o persoană publică și interesul
dvs. de a elimina articolul depășește interesul publicului larg de a avea
acces la informații, atunci motorul de căutare este obligat să elimine de la
rezultate legăturile către pagini web, inclusiv numele și prenumele dvs.

Referințe
 Articolele 12, 17 și 23 și considerentele (65) și (66) din GDPR
 Articolul 29 Orientări privind punerea în aplicare a hotărârii Curții de
Justiție a Uniunii Europene privind "Google Spania și inc. Agencia
Española de Protección de Datos (AEPD) și Mario Costeja González"
c-131/121 (WP 225)

Când trebuie să-mi exercit dreptul


la restricționarea prelucrării datelor
mele personale?
Răspuns
În general, în cazurile în care nu este clar dacă și când datele personale vor
fi șterse, vă puteți exercita dreptul la restricționarea prelucrării. Acest drept
poate fi exercitat atunci când:

 exactitatea datelor în cauză este contestată;


 nu doriți ca datele să fie șterse;
 datele nu mai sunt necesare în scopul inițial, dar nu pot fi eliminate
încă din motive legale;
 decizia privind obiecția dvs. față de procesare este în așteptare.
"Restricție" înseamnă că datele dvs. cu caracter personal pot fi prelucrate,
cu excepția cazului de stocare, doar cu consimțământul dumneavoastră
pentru stabilirea, exercitarea sau apărarea unor revendicări legale, pentru
protecția drepturilor altei persoane fizice sau juridice sau din motive publice
interesul UE sau al unui stat membru al UE. Trebuie să fiți informat înainte
de ridicarea restricției.

Exemplu
O bancă nouă pe piața internă oferă oferte bune de împrumuturi pentru
locuințe. Cumpăiați o casă nouă și deci decideți să schimbați băncile. Cereți
băncii "vechi" să închidă toate conturile și să solicite ștergerea tuturor
datelor personale. Banca veche este totuși supusă unei legi care obligă
băncile să stocheze toate detaliile clienților timp de 10 ani. Banca veche
este obligată din punct de vedere legal să stocheze datele dvs., dar puteți
solicita în continuare restricționarea datelor pentru a vă asigura că nu este
folosită accidental în scopuri nedorite.

Referințe
 Articolul 18 și considerentul 73 din GDPR

Pot face obiectul unor decizii


individuale automatizate, inclusiv
profilarea?
Răspuns
Profilarea se face atunci când aspectele dvs. personale sunt evaluate
pentru a face predicții despre dvs., chiar dacă nu este luată nicio
decizie. De exemplu, dacă o companie sau o organizație vă evaluează
caracteristicile (cum ar fi vârsta, sexul, înălțimea) sau vă clasifică într-o
categorie, aceasta înseamnă că sunteți profilat.
Decizia bazată exclusiv pe mijloace automate se întâmplă când deciziile
sunt luate despre dvs. prin mijloace tehnologice și fără implicare
umană. Ele pot fi luate chiar și fără profilare.
Legea privind protecția datelor stabilește că aveți dreptul de a nu fi supus
unei decizii bazate exclusiv pe mijloace automate, dacă decizia produce
efecte juridice cu privire la dvs. sau vă afectează în mod semnificativ în
mod similar. Decizia produce efecte juridice atunci când drepturile dvs.
legale sunt afectate (cum ar fi dreptul dvs. de vot). În plus, procesarea vă
poate afecta semnificativ dacă influențează circumstanțele, comportamentul
sau alegerile dvs. De exemplu, procesarea automată poate duce la refuzul
aplicației de credit online.
Profilarea și luarea deciziilor automate sunt o practică obișnuită în mai
multe sectoare, cum ar fi sectorul bancar și financiar, fiscalitatea și
asistența medicală. Poate fi mai eficient, dar poate fi mai puțin transparent
și poate restricționa alegerea dvs.
Deși, ca regulă generală, este posibil să nu faceți obiectul unei decizii
bazate exclusiv pe prelucrarea automată, acest tip de luare a deciziilor
poate fi permis în mod excepțional, dacă legea permite utilizarea
algoritmilor și se oferă garanții adecvate.
Deciziile bazate exclusiv pe mijloace automate sunt de asemenea permise
atunci când:

 decizia este necesară, adică nu trebuie să existe altă modalitate de a


atinge același obiectiv de a intra sau de a încheia un contract cu dvs.;
 v-ați dat consimțământul dvs. explicit.

În ambele cazuri, decizia adoptată trebuie să vă protejeze drepturile și


libertățile, prin aplicarea unor măsuri de protecție adecvate. Compania sau
organizația trebuie, cel puțin, să vă informeze asupra dreptului
dumneavoastră la intervenția umană și să faceți aranjamentele procedurale
necesare. Mai mult, compania sau organizația ar trebui să vă permită să vă
exprimați punctul de vedere și să vă informați că puteți contesta decizia.
Deciziile bazate pe algoritmi nu pot utiliza categorii speciale de date, cu
excepția cazului în care v-ați dat consimțământul dvs. sau dacă prelucrarea
este permisă de legislația UE sau națională (a se vedea mai sus).

Exemplu
Utilizați o bancă online pentru un împrumut. Vi se solicită să introduceți
datele și algoritmul băncii vă informează dacă banca vă va acorda sau nu
împrumutul și vă oferă rata de dobândă sugerată. Trebuie să fiți informat că
puteți să vă exprimați opinia, să contestați decizia și să cereți ca o decizie
să fie revizuită prin intermediul algoritmului.

Referințe
 Articolele 21 și 22 și considerentele (71) și (72) din GDPR
 Orientările Grupului de lucru privind orientările privind luarea deciziei
individuale și profilarea automată în sensul Regulamentului (UE)
2016/679 (WP 251)
Ce ar trebui să fac dacă cred că
drepturile mele personale de
protecție a datelor nu au fost
respectate?
Răspuns
Dacă credeți că drepturile dvs. de protecție a datelor au fost încălcate, aveți
trei opțiuni:

 depuneți o plângere la Autoritatea națională pentru protecția


datelor (DPA)
Autoritatea vă investighează și vă informează cu privire la progresul
sau rezultatul reclamației dvs. în termen de 3 luni;
 să
inițieți o acțiune în justiție împotriva companiei sau a
organizațieiDepuneți o acțiune în instanță împotriva unei companii /
organizații dacă credeți că a încălcat drepturile dvs. de protecție a
datelor. Acest lucru nu vă împiedică să depuneți o plângere la DPA
național dacă doriți;
 luați o acțiune în justiție împotriva DPA
Dacă considerați că DPA nu a tratat corect plângerea dvs. sau dacă
nu sunteți mulțumit de răspunsul său sau dacă nu vă informează cu
privire la progresul sau rezultatul în termen de 3 luni de la ziua în care
ați a depus plângerea dvs., puteți formula o acțiune în fața unei
instanțe împotriva DPA.

Uneori, compania împotriva căreia a fost depusă plângerea procesează


date în diferite state membre ale UE. În acest caz particular, DPA
competentă se ocupă de plângere în cooperare cu DPA din alte state
membre ale UE. Acest sistem, numit "mecanismul ghișeului unic", asigură
că plângerile sunt tratate mai eficient. De exemplu, vă poate ajuta să vă
conectați plângerea cu plângeri similare depuse în alte state membre ale
UE. DPA în care ați depus reclamația este principalul punct de contact.

Exemplu
Vă place să fugiți. Ați cumpărat un ceas care vă calculează ritmul cardiac și
viteza pe kilometru, vă urmărește traseul și colectează alte date
relevante. Încărcați toate datele pe site. Îți dai seama că datele tale au fost
amestecate cu altcineva. Puteți depune o plângere în fața DPA împotriva
site-ului Web.
Referințe
 Articolele 60, 77, 78, 79 și 80 și considerentele (141), (143) și (145)
din GDPR

Ce sunt autoritățile de protecție a


datelor (DPA) și cum le pot
contacta?
Răspuns
DPA sunt autorități publice independente care monitorizează și
supraveghează, prin intermediul competențelor de investigare și de
corecție, aplicarea legii privind protecția datelor. Acestea oferă consultanță
de specialitate cu privire la problemele de protecție a datelor și gestionează
plângerile care ar fi putut încălca legea.
Contactați Autoritatea Națională pentru Protecția Datelor

Referințe
 Articolele 55, 57 și 58 din GDPR

Poate o organizație
neguvernamentală (ONG) să facă
pretenții în numele meu?
Răspuns
Aveți dreptul să mandați un ONG să depună o plângere în numele dvs.
atunci când sunt îndeplinite următoarele condiții:

1. ONG-ul este constituit în conformitate cu legea;


2. ONG urmărește un obiectiv de interes public (de exemplu,
îmbunătățirea vieții cetățenilor în domeniul consumatorilor);
3. ONG-ul este activ în domeniul protecției datelor.

Plângerea poate fi depusă atât în fața autorității competente pentru


protecția datelor, cât și, dacă este cazul, în fața unei autorități judiciare. În
anumite state membre ale UE, legislația națională permite unei ONG-uri să
depună o plângere fără mandatul dumneavoastră.
Referințe
 Articolul 80 și considerentul (142) din GDPR

Pot solicita despăgubiri?


Răspuns
Puteți solicita despăgubiri în cazul în care o companie sau o organizație nu
a respectat legea privind protecția datelor și ați suferit daune materiale (de
exemplu pierderi financiare) sau daune morale (de exemplu, primejdie sau
pierderea reputației). Puteți face o plângere societății sau organizației în
cauză sau în fața instanțelor naționale. Puteți solicita despăgubiri în fața
instanțelor din statul membru UE în care este stabilit operatorul sau
prelucrătorul. În mod alternativ, o astfel de procedură poate fi introdusă în
fața instanțelor din statul membru UE în care se află reședința obișnuită.

Exemplu
Plasați o comandă pe un site Web. Site-ul suferă un atac cibernetic
deoarece nu are o securitate adecvată. Detaliile cărții dvs. de credit au fost
plasate pe un alt site web și au fost folosite pentru a cumpăra elemente pe
care nu le-ați comandat niciodată. Puteți solicita despăgubiri din partea site-
ului pentru pagubele financiare, deoarece acestea au încălcat legea privind
protecția datelor prin faptul că nu oferă o securitate adecvată atunci când
procesează date.

Referințe
 Articolul 82 și considerentele (146) și (147) din GDPR

Ce sunt datele personale?


Răspuns
Datele personale reprezintă orice informație care se referă la un individ viu
identificat sau identificabil . Diferitele informații, colectate împreună pot
conduce la identificarea unei anumite persoane, constituie și date cu
caracter personal.
Datele personale care au fost dezidentificate, criptate sau pseudonime,dar
care pot fi utilizate pentru a re-identifica o persoană rămân date cu caracter
personal și intră în domeniul de aplicare al legii.
Datele personale care au fost anonime în așa fel încât persoana nu este
sau nu mai poate fi identificată nu mai este considerată date cu caracter
personal. Pentru ca datele să fie anonime, anonimatul trebuie să fie
ireversibil.
Legea protejează datele personale , indiferent de tehnologia utilizată
pentru prelucrarea acestor date - este tehnologia neutră și se aplică atât
pentru prelucrarea automată și manuală, cu condiția ca datele sunt
organizate în conformitate cu criteriile pre-definite (de exemplu , ordine
alfabetică). De asemenea, nu contează cum sunt stocate datele - într-un
sistem IT, prin supraveghere video sau pe hârtie; în toate cazurile, datele
cu caracter personal sunt supuse cerințelor de protecție stabilite în GDPR.

Exemple de date cu caracter personal


 un nume și prenume;
 o adresă de domiciliu;
 o adresă de e-mail, cum ar fi name.surname@company.com ;
 un număr de carte de identitate;
 date privind locația (de exemplu, funcția de date privind locația pe un
telefon mobil) *;
 o adresă de protocol Internet (IP);
 un ID cookie *;
 identificatorul de publicitate al telefonului dvs.;
 datele deținute de un spital sau de un medic, care ar putea fi un
simbol care identifică în mod unic o persoană.

* Rețineți că , în unele cazuri, există o legislație sectorială specifică


care reglementează , de exemplu , utilizarea datelor de localizare
geografică sau utilizarea de cookie - uri - Directiva privind confidențialitatea
în mediul ( Directiva 2002/58 / CE a Parlamentului European și a Consiliului
din 12 iulie 2002 ( JO L 201, 31.7.2002, p. 37) și Regulamentul (CE)
nr 2006/2004 ) al Parlamentului European și al Consiliului din 27 octombrie
2004 (JO L 364, 9.12.2004, p. 1).

Exemple de date care nu sunt considerate date


cu caracter personal
 un număr de înregistrare al societății;
 o adresă de e-mail, cum ar fi info@company.com ;
 date anonime.
Referințe
 Articolul 2, articolul 4 alineatele (1) și (5) și considerentele (14), (15),
(26), (27), (29) și (30)
 WP 01245/07 / RO, WP 136 Avizul 4/2007 privind conceptul de date
cu caracter personal
 Articolul 29 din Avizul grupului de lucru din 29 aprilie privind tehnicile
de anonimizare

Ce regulă reglementează
Regulamentul general privind
protecția datelor (GDPR)?

Răspuns
Regulamentul (UE) 2016/679 1 , noul Regulament privind protecția generală
a datelor ("GDPR") al Uniunii Europene ("UE"), reglementează prelucrarea
de către o persoană fizică, o companie sau o organizațiea datelor cu
caracter personal referitoare la persoane fizice din UE.
Nu se aplică prelucrării datelor cu caracter personal ale persoanelor
decedate sau ale persoanelor juridice.
Normele nu se aplică datelor prelucrate de o persoană fizică din motive pur
personale sau pentru activități desfășurate în locuința proprie, cu condiția
să nu existe nicio legătură cu o activitate profesională sau
comercială. Atunci când o persoană utilizează date cu caracter personal în
afara sferei personale, pentru activități socio-culturale sau financiare, de
exemplu, legea privind protecția datelor trebuie respectată.

Exemple
Când se aplică regulamentul
O companie cu un sediu în UE oferă servicii de călătorie clienților din țările
baltice și în acest context procesează datele personale ale persoanelor
fizice.
Atunci când regulamentul nu se aplică
O persoană utilizează propriul agendă privată pentru a invita prieteni prin e-
mail la o petrecere pe care o organizează (excepție de la gospodărie).

Referințe
 Articolele 1 și 2 și considerentele (1), (2), (14), (18) și (27) din GDPR
1Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului
din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește
prelucrarea datelor cu caracter personal și libera circulație a acestor date și
de abrogare a Directivei 95/46 / CE (Regulamentul general privind protecția
datelor) (JO L 119, 4.5.2016, p. 1).

Ce reprezintă prelucrarea datelor?


Răspuns
Procesarea acoperă o gamă largă de operațiuni efectuate asupra datelor cu
caracter personal, inclusiv prin mijloace manuale sau automate. Aceasta
include colectarea, înregistrarea, organizarea, structurarea, stocarea,
adaptarea sau modificarea, regăsirea, consultarea, utilizarea,
dezvăluirea prin transmitere, diseminareasau punerea la dispoziție în alt
mod, alinierea sau combinarea, restricționarea, ștergerea sau
distrugerea datelor cu caracter personal.
Regulamentul general privind protecția datelor (GDPR) se aplică prelucrării
datelor cu caracter personal în întregime sau parțial prin mijloace
automatizate, precum și procesării neautomatizate, dacă face parte dintr-un
sistem structurat de depozitare.

Exemple de procesare
 gestionarea personalului și administrarea salarizării;
 accesul la / consultarea unei baze de date de contacte care conține
date cu caracter personal;
 trimiterea de e-mailuri promoționale *;
 distrugerea documentelor care conțin date cu caracter personal;
 postarea / plasarea unei fotografii a unei persoane pe un site web;
 stocarea adreselor IP sau a adreselor MAC;
 înregistrare video (CCTV).

* Rețineți că pentru a trimite e-mailuri de marketing direct, trebuie să


respectați și regulile de marketing stabilite în Directiva privind
confidențialitatea în mediul electronic.

Referințe
 Articolul 4 alineatele (2) și (6) din GDPR

Reguli pentru afaceri și organizații


Aflați ce trebuie să faceți organizația dvs. pentru a respecta
normele UE privind protecția datelor și aflați cum puteți ajuta
cetățenii să își exercite drepturile în temeiul regulamentului.