Stiai ca datele personale se pot imprumuta? Iata 4 intrebari pe care trebuie neaparat sa ti le pui

05-05-16 Ligia Seceleanu 0 comment





O întreprindere poate împrumuta date personale de la altă întreprindere, iar acest fapt te afectează chiar dacă ești cel ale cărui date sunt împrumutate, sau dacă ești o întreprindere ce participă direct la acest transfer.

În toate cazurile, ești interesat direct să aflii cum se răspunde din punct de vedere legal la trei întrebări, pentru a ști unde să îţi ceri drepturile (în calitate de persoană fizică) și cum să organizezi transferul pentru a fi valabil și în conformitate cu prevederile legale.

 

1.  Când faci un transfer, transferi datele unui operator de date sau unui împuternicit ?

Potrivit Articolului 3 al Legii Nr. 677/2001, punctul e), operatorul este orice persoană fizică sau juridică, de drept privat ori de drept public, inclusiv autorităţile publice, instituţiile şi structurile teritoriale ale acestora, care stabileşte scopul şi mijloacele de prelucrare a datelor cu caracter personal;

 

În cazul nostru, să presupunem că operatorul tău clasic vrea să transfere datele unei alte întreprinderi. Dacă efectuează acest transfer și încadrează voluntar finalităţile (pentru că spre exemplu se va semna o convenţie de acordare de licenţă în care se vor determina mijloacele și finalităţile acestor date, stipulând diverse restricţii) atunci este clar că cealaltă întreprindere va fi un împuternicit al primei.

 

Am putea deci concluziona că prima întreprindere are calitatea de operator în măsura în care determină finalitatea transferului pe care îl efectuează unui împuternicit – spre exemplu stipulând că împuternicitul va primi datele pentru a realiza un studiu, care va cuprinde date personale anonimizate și în urmă căruia, datele care au fost transferate iniţial vor fi șterse.

 

Totuși, dacă operatorul nu semnează o convenţie specifică, un simplu transfer neîncadrat poate deveni un transfer de date nu către un împuternicit, ci către un nou operator. Pe de altă parte, în funcţie de cum este redactată convenţia, se poate stipula expres calitatea de “operator”.

 

Ce este însă mai avantajos pentru cel care transferă datele?

Dacă prin convenţie stipulăm că persoana căreia datele îi sunt transferate este operator, atunci aceasta poate răspunde de sancţiunile legate de nerespectarea obligaţiilor de informare. Este deci mai avantajos din această perspectivă să repercutăm obligaţiile, însă, potrivit legii transferul de date realizat se va realiza întotdeauna între un operator și un împuternicit.

 

2.  Cine este obligat să informeze persoanele ale căror date sunt transferate?

 

Potrivit Articolului 12 al Legii Nr. 677/2001, în cazul în care datele cu caracter personal sunt obţinute direct de la persoana vizată, operatorul este obligat să furnizeze persoanei vizate cel puţin următoarele informaţii, cu excepţia cazului în care această persoană posedă deja informaţiile respective.

 

În cazul nostru, într-adevăr ar fi mai simplu dacă am negocia cu întreprinderea căreia i se transferă datele să execute această obligaţie de informare (modalităţile, conţinutul, sancţiunile ar fi deci problema ei). Totuși, acest lucru nu este recomandat, întrucât consecinţele asupra imaginii operatorului iniţial ar fi prea importante.

 

În primul rând, și în conformitate cu legislaţia pe cale de a fi adoptată, mandatarea unui terţ pentru a gestiona relaţiile cu clientela ar fi contrar „operatorului model” pe piaţă și s-ar traduce în final prin pierderea respectivei clientele (dacă clienţii tăi sunt informaţi de un terţ de drepturile lor, ce părere vor avea de calitatea serviciului?).

 

În al doilea rând, dacă ne mulţumim să facem riscurile să treacă la o altă persoană, printr-un tertip contractual, în fapt este contrat spiritului și literei legislaţiei aplicabile care ne impune o supraveghere constantă a datelor.

 

Așadar, pe termen lung, cel mai bine e sa ne asumăm calitatea de operator și să acţionăm în consecinţă.

 

3.  Dacă încadrăm foarte bine condiţiile de transfer, atunci mai trebuie să informăm persoanele?

Tehnic vorbind, o lectură a Articolului 12 are două consecinţe: în primul rând ne dăm seama că transferul de date nu este în sine interzis.

Astfel, parteneri, alte societăţi exterioare sau filialele dintr-un același grup de societăţi pot fi potrivit legii destinatari ai acestor date colectate iniţial de către operator.

 

În al doilea rând, Articolul 12 poate fi segmentat în două părţi – putem considera că există niște drepturi ale persoanelor la momentul colectării de date și că drepturile acestora se schimbă ulterior colectării.

 

În cazul nostru (de transfer de date personale pentru scopul realizării unui studiu), la o primă vedere, ne-am încadra în al doilea caz, pentru că persoana și-a dat deja consimţământul ca datele să îi fie prelucrate.

Totuși, chiar și în acest caz, notăm potrivit Articolului 15 din Lege, că persoana are drept de opoziţie, în sensul în care, dacă transferul este făcut în scop de marketing direct, aceasta trebuie să își exercite dreptul și o poate face fără justificare.

În cazul unui studiu totuși, având în vedere că datele nu vor fi utilizate decât pentru realizarea unui studiu, persoana ale cărei date sunt transferate nu va mai avea ocazia de a-și exersa dreptul de opoziţie.

4.  Ce trebuie să facem când constatăm că persoana are dreptul să fie informată de împrumutul de date personale?

Lasând la o parte cazul în care concluzionăm că persoana nu mai trebuie să își dea acceptul pentru transferul datelor persoane, este mult mai plauzibil să considerâm că având în vedere cesiunea ce trebuie realizată, persoana trebuie informată întrucât suntem în prezenţa unei noi prelucrări de date.

În acest caz, următoarele date ar trebui furnizate persoanei:

  • Identitatea operatorului
  • Finalitatea transferului
  • Destinatarii
  • Existenţa și modalităţile de exercitare a drepturilor de acces, de rectificare și de opoziţie.

O notă informativă va trebui deci trimisă fiecărei persoane ale cărei date sunt transfera.te

Mai mult, obţinerea unui consimţământ specific și expres este necesarî în fiecare caz unde se va realiza o cesiune.

Astfel, problema în care în loc de o cesiune s-ar efectua o închiriere a datelor de manieră temporară în niște condiţii contractuale bine definite, am putea considera că acest consimţământ expres nu este necesar și că o simplă informare ar fi suficientă.

Așadar, aceste 4 întrebări ar trebui să își găsească răspunsuri extrem de bine definite și organizate, înainte ca un operator să poată licenţia sau ceda date, întrucât din perspectiva legislaţiei datelor cu caracter personal, persoana ale cărei date sunt transferate are mereu statut de consumator.



Leave a reply