Brief: GDPR #21

Săptămânal, înțelegi tot mai bine noul cadru legal al

prelucrărilor de date personale.

Știai că persoanele fizice pot cere portarea datelor

personale pe care le prelucrează firma ta?

::: INTRODUCERE ÎN TEMĂ :::

→ Regulamentul general privind protecția datelor (GDPR) a introdus, odată cu

aplicarea sa, un nou drept pentru persoanele vizate: dreptul la
portabilitatea datelor (art. 20 al GDPR): „Persoana vizată are dreptul de a primi
datele cu caracter personal care o privesc și pe care le-a furnizat operatorului
într-un format structurat, utilizat în mod curent și care poate fi citit automat și
are dreptul de a transmite aceste date altui operator, fără obstacole din partea
operatorului căruia i-au fost furnizate datele cu caracter personal”.

→ Grupul de Lucru Art. 29 a elaborat, la 27 octombrie 2017, un ghid care

dezvoltă și lămurește aspecte importante ale aplicării dreptului la portabilitatea
datelor personale.

→ Acest nou drept se aplică dacă sunt îndeplinite patru condiții, potrivit
Autorității de Supraveghere din Franța:

dreptul la portabilitate este limitat la datele personale furnizate de

persoana vizată;
se aplică numai în cazul în care datele sunt prelucrate automat (deci
nu sunt afectate dosarele de hârtie);
se aplică numai atunci când temeiul de prelucrare
este consimțământul prealabil al persoanei vizate sau executarea unui
contract încheiat cu persoana vizată;
 exercitarea dreptului la portabilitate nu trebuie să afecteze drepturile și
libertățile terților ale căror date se găsesc în datele transmise în urma
unei cereri de portabilitate.

→ Pentru a înțelege ce sunt datele personale furnizate de persoana vizată,

e util de amintit punctul de vedere Autorității de Supraveghere din Franța, care
menționează faptul că aici se încadrează datele furnizate în mod activ de
persoană (de exemplu, datele furnizate la completarea unui formular pe un
site), precum și datele generate de activitatea persoanei în cauză (istoricul
de cumpărături, istoricul de navigare, istoricul căutărilor etc.).

→ Sunt excluse, deci, din categoria datelor furnizate de persoana vizată acele
date derivate, calculate sau deduse (de exemplu, profilarea realizată pe baza
informațiilor furnizate direct sau generate de activitatea persoanei vizate) pe
baza datelor amintite mai sus.

::: DETALIERI, EXPLICAȚII ȘI RECOMANDĂRI :::

→ E foarte important de menționat faptul că persoanele vizate trebuie

informate despre existența dreptului la portabilitatea datelor la momentul
colectării acestor date (în cazul datelor obținute direct), respectiv în cel mult
30 de zile de la momentul obținerii datelor sau, dacă se contactează persoana
vizată mai devreme, la momentul contactării persoanei vizate (în cazul datelor
obținute indirect). În informare, trebuie menționat exact căror date li se aplică
portarea.

→ De asemenea, se poate recomanda, în informare sau ulterior, la momentul

primirii cererilor de portare, parcurgerea unui anumit tip de acțiune pentru
realizarea automată a portării. Potrivit GDPR, este interzisă condiționarea
portării de parcurgerea unui anumit gen de acțiuni, prin urmare nu vorbim
despre o condiționare, ci despre o recomandare. De regulă, recomandarea e
urmată de un procent foarte mare de persoane vizate, care își doresc, de fapt,
o rezolvare rapidă a solicitării lor.

→ Practic, portabilitatea datelor poate fi afectată de trei tipuri de probleme

mari:

1. ce date pot fi portate?

2. cum ar trebui să se pregătească operatorul pentru respectarea acestui
drept?
 3. ce acțiuni ar trebui urmate pentru a răspunde la cererile de portare venite
de la persoanele vizate?

→ În privința datelor care vor fi portate, am discutat deja mai sus despre
condițiile aplicării dreptului la portabilitatea datelor.

→ În privința celorlalte două tipuri de probleme care apar în aplicarea practică a

dreptului la portabilitate, Autoritatea de Supraveghere din Marea Britanie (ICO)
a conceput o serie de seturi de acțiuni care ar trebui îndeplinite pentru
pregătirea unui operator pentru apariția dreptului la portabilitatea datelor,
respectiv pentru furnizarea de răspunsuri la cererile persoanelor vizate care
solicită portarea datelor personale.

→ Potrivit ICO, pregătirea pentru solicitări de portabilitate a datelor ar

trebui să pornească de la următoarele acțiuni:

știm cum să recunoaștem o solicitare de portabilitate a datelor și

înțelegem când se aplică dreptul;
avem o politică pentru înregistrarea cererilor pe care le primim verbal;
înțelegem când putem refuza o cerere și suntem conștienți de informațiile
pe care trebuie să le furnizăm când facem acest lucru.

→ Tot ICO menționează că, pentru a ne asigura că furnizăm răspunsuri

coerente, corecte și complete la cererile persoanelor vizate, ar trebui să:

putem transmite date personale în formate structurate, utilizate frecvent și

care pot fi citite în mașină;
folosim metode sigure pentru a transmite date personale;
avem procese în vigoare pentru a ne asigura că răspundem la o solicitare
de portabilitate a datelor fără întârzieri nejustificate și în termen de o lună
de la primire;
suntem conștienți de circumstanțele în care putem prelungi termenul
pentru a răspunde la o solicitare.

→ Unul dintre punctele cele mai importante care trebuie atinse în procesul de
construire a unui plan de portare e legat de identificarea clară și fără echivoc
a persoanei vizate. Practic, de identificarea persoanei va depinde, ulterior,
dacă portarea este o acțiune legală sau un incident de securitate în care datele
au fost dezvăluite unor persoane care nu aveau dreptul de a le cunoaște.

::: FOCUS: Avem responsabilitatea pentru datele personale

pe care le transmitem altora? :::
→ Autoritatea de Supraveghere din Marea Britanie dezbate foarte interesant
acest tip de problemă, concluzionând astfel:

→ Dacă furnizați informații direct unei persoane fizice sau unei alte
organizații ca răspuns la o cerere de portabilitate a datelor, nu sunteți
responsabil pentru orice procesare ulterioară efectuată de către persoana
fizică sau de către cealaltă organizație. Cu toate acestea, sunteți responsabil
pentru transmiterea datelor și trebuie să luați măsurile adecvate pentru a vă
asigura că acestea sunt transmise în siguranță și către persoana / organizația
potrivită.

→ Dacă furnizați date unei persoane, este posibil ca aceștia să stocheze

informațiile într-un sistem cu o securitate mai mică decât cea proprie. Prin
urmare, ar trebui să îi informați pe indivizi despre acest lucru, astfel încât
aceștia să poată lua măsuri pentru a proteja informațiile pe care le-au
primit.

→ De asemenea, trebuie să vă asigurați că respectați celelalte prevederi

din GDPR. De exemplu, deși nu există nicio obligație specifică în temeiul
dreptului la portabilitatea datelor pentru verificarea calității datelor pe care le
transmiteți, ar fi trebuit deja să luați măsuri rezonabile pentru a asigura
exactitatea acestor date pentru a se conforma cerințelor principiului acurateții
din GDPR.

::: BIBLIOTECĂ DIGITALĂ - RESURSE UTILE :::

Iată câteva resurse utile apropo de subiectul alertei de azi:

Ghidul ”Guidelines on the right to data portability”, al European Data

Protection Board (fișier .pdf, limba engleză);
Ghid al Autorității de Supraveghere din Marea Britanie privind dreptul la
portabilitatea datelor;
Ghid al Autorității de Supraveghere din Franța privind dreptul la
portabilitatea datelor.

Autor: Alin Popescu, fondator avocatnet.ro

 Pentru prima oară de la intrarea României în Uniunea Europeană, cadrul
legal al prelucrărilor de date personale este stabilit, la nivelul țării noastre,
direct printr-un act european, fără să fie necesară intervenția autorităților
de la noi. Brief: GDPR reprezintă o lectură săptămânală de câteva
minute, care să te pregătească pentru aplicarea noilor reguli de prelucrare
a datelor personale.

Urmărește-ne pe facebook Intră pe avocatnet.ro

Noi, cei de la avocatnet.ro, știm că, prin afacerile voastre, împingeți economia României mai
departe. Și vă susținem. Nu putem opri haosul legislativ. Dar îl explicăm. De peste 15 ani, zi de zi.
Pentru voi și alte milioane de români și afacerile lor.