Informarea persoanelor vizate

Situatii cand trebuie facuta informarea

Informarea persoanelor vizate (salariati, locatari, proprietari etc.) este obligatorie ori de cate ori prelucrati date cu caracter personal care ii vizeaza. Dreptul de a fi informat se refera la obligatia de a furniza informatii corecte de prelucrare , de regula printr-o notificare, in scris. Acesta subliniaza transparenta in ceea ce priveste modul in care sunt utilizate datele cu caracter personal. Prin dreptul de a fi informat, Regulamentul stabileste informatiile care trebuie furnizate si cand trebuie subiectii prelucrarii datelor cu caracter personal sa fie informati.

Regulamentul prevede cerinte de informare mult mai detaliate fata de reglementarea anterioara, in scopul informarii persoanelor vizate si prelucrarii datelor cu caracter personal intr-un mod transparent, si aici apreciem ca vor fi multe provocari in practica pentru toti cei obligati sa-l respecte. In mod evident, trebuie avuta in vedere calitatea informarii, eficienta acesteia, intrucat, trebuie in mod clar sa ne distantam de criteriul cantitativ si sa ne raportam la cel calitativ, si anume, ca mesajul sa fie foarte clar si sa ajunga la persoana vizata.

Personalul responsabil sau cu responsabilitati in materia prelucrarii datelor cu caracter personal ale persoanelor vizate este recomandat sa fie un specialist in domeniu sau, instruit in privinta regulilor instituite de RGPD, prin intermediul unor cursuri de pregatire corespunzatoare. Contractul acestora ar trebui sa includa o clauza de confidentialitate, precum si clauze specifice protectiei datelor cu caracter personal. Ei trebuie sa fie atenti la posibilele consecinte negative ale prelucrarii in mod ilegal a datelor cu caracter personal, atat pentru persoanele fizice a caror date cu caracter personal sunt prelucrate cat si pentru Operatorul pentru care lucreaza. In lipsa unei instruiri adecvate a angajatilor in privinta gestionarii datelor cu caracter personal ale locatarilor, proprietarilor sau altor persoane vizate, nu se va putea asigura un cadru adecvat respectarii vietii private a persoanelor vizate, existand riscul ca Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal sa nu aprecieze masurile adoptate ca fiind suficiente si sa procedeze la aplicarea unei sanctiuni.
Principalele categorii de informatii care trebuie furnizate in situatia in care acestea au fost obtinute direct de la persoana vizata, conform art. 13 din GDPR sunt:

  • Identitatea si datele de contact ale operatorului si, dupa caz, ale reprezentantului acestuia
  • Datele de contact ale responsabilului cu protectia datelor cu caracter personal, dupa caz, ca ofiter de protectie a datelor cu caracter personal
  • Scopurile in care se doreste prelucrarea datelor cu caracter personal, precum si temeiul juridic al prelucrarii (baza legala)
  • Interesele legitime pe care operatorul le urmareste (ca operator sau ca o terta parte)
  • Care sunt destinatarii sau categoriile de destinatari ai datelor cu caracter personal
  • Intentia operatorului de a transfera date cu caracter personal catre o tara terta si care sunt garantiile pe care operatorul le ofera pentru ca transferul sa fie legal si sa nu lezeze interesele persoanei vizate.

In plus, conform art. 13 alin. (2) din Regulament, trebuie sa furnizati ca operator persoanelor vizate o serie de informatii suplimentare, necesare pentru a asigura transparenta prelucrarii:

  • Perioada de retinere a datelor sau criteriile folosite pentru a stabili aceasta perioada
  • Dreptul la rectificare, stergere, restrictionare, obiectii
  • Dreptul la portabilitatea datelor
  • Dreptul de a retrage consimtamantul in orice moment, daca este cazul
  • Dreptul de a depune o plangere la autoritatea de supraveghere
  • Daca solicitarea face parte dintr-o cerinta sau obligatie legala sau contractuala si posibilele consecinte ale nefurnizarii
  • Existenta unui proces automat de luare a deciziilor (inclusiv profilarea) si modul in care sunt luate deciziile, semnificatia si consecintele acestora.

Daca dumneavoastra, ca operator, doriti sa prelucrati datele cu caracter personal intr-un alt scop decat cel pentru care acestea au fost colectate, atunci, inainte de orice prelucrare ulterioara, sunteti obligati sa furnizati persoanelor vizate toate informatiile relevante privitoare la scopul sau scopurile secundare.
In situatia in care datele personale nu v-au fost furnizate in mod direct de catre persoana vizata, conform art. 14 din Regulament, sunteti obligat sa furnizati acestuia intregul set de informatii descrise mai sus. Suplimentar, va trebui sa furnizati persoanei vizate urmatoarele informatii:

  • care sunt categoriile de date personale pe care le aveti la dispozitie;
  • care este sursa publica de date cu caracter personal, dupa caz, care provine de la surse accesibile publicului.

Exceptiile de la dreptul persoanelor vizate de a fi informate sunt urmatoarele:

  • daca si in masura in care persoana vizata detine deja informatiile respective (in situatiile in care informatiile au fost obtinute direct de la acesta, precum si atunci cand acestea au fost obtinute din alte surse);
  • furnizarea acestor informatii se dovedeste a fi imposibila sau ar implica eforturi disproportionate, in special in cazul prelucrarii in scopuri de arhivare in interes public, in scopuri de cercetare stiintifica sau istorica ori in scopuri statistice, sub rezerva conditiilor si a garantiilor corespunzatoare (masuri tehnice si organizatorice corespunzatoare, spre exemplu, pseudonimizarea, respectarea principiului reducerii la minimum a datelor), sau in masura in care informarea persoanei vizate este susceptibila sa faca imposibila sau sa afecteze in mod grav realizarea obiectivelor prelucrarii respective;
  • obtinerea sau divulgarea datelor este prevazuta in mod expres de legislatia in materie; sau
  • in cazul in care datele cu caracter personal trebuie sa ramana confidentiale in temeiul unei obligatii statutare de secret profesional reglementate de dreptul Uniunii sau de dreptul intern, inclusiv al unei obligatii legale de a pastra secretul.

Organizati campanii de constientizare a personalului 
In cadrul acestor campanii de informare si constientizare cu privire la cerintele GDPR, ar trebui sa organizati actiuni de indrumare, sesiuni de informare, la care sa participe, atat salariatii, cat si membrii organelor din conducerea Asociatiei de proprietari, in vederea conformarii la cerintele legislatiei in domeniul protectiei datelor cu caracter personal.

Printre obiectivele campaniei ar putea fi incluse, spre exemplu:

  • informarea referitoare la punerea in aplicare a Regulamentului nr. 679/2016 si constientizarea personalului cu privire la initierea adaptarii contractelor individuale de munca, fise de post, acte aditionale, regulament intern, politici, proceduri etc.;
  • clarificarea unor aspecte cu privire la modul de interpretare si aplicare a prevederilor legale referitoare la GDPR si a mecanismelor, masurilor tehnice si organizatorice pe care trebuie sa le instituiti;
  • cresterea gradului de constientizare a consecintelor care se pot produce in situatia incalcarii prevederilor legale ale GDPR.

Desi aceste drepturi si limitarile lor pot parea greoaie, ele trebuie tratate cu mare atentie, caci abordarea lor formala sau cu neglijenta poate cauza tensionarea relatiei cu persoana vizata in cauza, ceea ce poate conduce la plangeri adresate Autoritatii, urmate de o evaluare generala a modului in care Asociatia de proprietari se conformeaza prevederilor Regulamentului.

 

Sursa aici

About the Author: