Probleme frecvente în practica operatorilor de date cu caracter personal. Soluții privind gestionarea drepturilor persoanelor vizate
Este de așteptat ca implementarea GDPR să fi intrat, deja, în reflexul operatorilor de date cu caracter personal, în cei aproape trei ani și jumătate care s-au scurs de la momentul la care acesta a devenit aplicabil. Și, într-adevăr, gestionarea solicitărilor persoanelor vizate a devenit un exercițiu constant în activitatea operatorilor. Aceștia se văd nevoiți a angrena cunoștințe și resurse însemnate pentru a adresa conform, în practică, cerințele aplicabile în materie, mai ales în cazurile în care fluxurile și regulile interne nu sunt încă adaptate pentru a facilita acest proces.
În practică, multitudinea de scenarii experimentate a conturat și o serie de confuzii sau erori de abordare, în special vizând aspectele în care regulamentul (pare că) nu se pronunță. În cele ce urmează, ne propunem să răspundem la unele dintre cel mai des întâlnite întrebări ale operatorilor de date cu caracter personal cu privire la gestionarea drepturilor persoanelor vizate.
Primirea solicitărilor. „Trebuie sa iau în calcul o solicitare verbală? Dar o solicitare primită pe Facebook?‟
Răspunsul este da. O cerere de exercitare a drepturilor poate fi primită în cadrul organizației în diverse forme, prin diferite canale de comunicare și poate fi adresată în termeni mai specifici sau mai generali.
Astfel, pe lângă cererile primite pe canalul dedicat comunicării cu persoana vizată (cum ar fi o adresă de e-mail specifică sau formulare dedicate exercitărilor de drepturi), persoana vizată are libertatea de a transmite o solicitare valabilă, prin orice alt canal disponibil, în scris sau verbal. Spre exemplu, persoanele vizate își pot exercita în mod valabil drepturile prin transmiterea unei solicitări scrise via e-mail, dar pe o altă adresă decât cea dedicată (cum ar fi cea specifică reclamațiilor sau sesizărilor, relației cu clienții etc.), prin fax sau scrisoare folosind datele de contact generale ale organizației, prin intermediul formularelor generale de contact/ feedback, sau chiar prin intermediul serviciilor de mesagerie ale rețelelor de socializare, pe care operatorul este prezent (mesaje private în rețelele de socializare). De asemenea, va reprezenta o exercitare valabilă a drepturilor transmiterea unei solicitări verbale, prin intermediul unui apel telefonic la orice număr de contact oficial al operatorului, sau direct, către un reprezentat al operatorului, la punctul de lucru al acestuia.
Operatorul trebuie să țină cont de aceste tipuri de exercitare valabilă a drepturilor, pe care este nevoit să le gestioneze, cu adresarea tuturor cerințelor aplicabile. Astfel, este de esența conformării ca operatorul să se asigure că poate identifica și califica corect orice solicitare a persoanelor vizate, în oricare din modalitățile alese de acestea pentru exercitarea drepturilor.
Măsurile recomandabile pentru operatori includ:
- instruirea personalului (ex. prin programe de training, testări, proceduri obligatorii) în special a celui implicat în fluxurile având contact direct cu persoanele vizate (relații clienți/ informații/ sesizări și reclamații/ punctele de lucru). Este esențial ca operatorul să se asigure că aceștia sunt în măsură să recunoască cererile persoanelor vizate și cunosc pașii ce trebuie urmați;
- adaptarea/ implementarea unor proceduri interne și stabilirea responsabilităților;
- pregătirea unor fluxuri dedicate (formulare dedicate, adresa de e-mail/ contact dedicată) pentru exercitarea drepturilor, în măsura în care acestea nu există. Astfel, persoanele vizate s-ar putea adresa operatorului cu precădere pe aceste canale, fiind redus riscul de a primi solicitări pe alt flux. Atenție însă, utilizarea acestora nu este obligatorie pentru persoanele vizate, iar operatorul este obligat să țină cont, în continuare, și de solicitările primite prin orice alte mijloace.
Solicitările de acces vizând „toate datele‟
În temeiul dreptului de acces prevăzut de GDPR, persoana vizată are dreptul de a obține din partea operatorului o confirmare că aceasta prelucrează (sau nu) datele cu caracter personal care o privesc și, în caz afirmativ, acces la datele respective (copia datelor) și o serie de informații privind detaliile prelucrărilor desfășurate. Dintre acestea, pregătirea/ obținerea unei copii a datelor pare a ridica cele mai multe controverse practice, în special prin prisma obiectului acesteia, întrucât vizează, ca regulă, totalitatea datelor cu caracter personal pe care operatorul le deține cu privire la respectiva persoană vizată.
Într-un scenariu mai facil pentru operatori (dar mai rar întâlnit), persoanele vizate își pot particulariza solicitările, solicitând accesul numai la anumite date cu caracter personal sau numai la cele prelucrate în anumite scopuri/ într-un anumit context.
Însă, în majoritatea cazurilor întâlnite în practică, persoanele vizate își exercită dreptul de acces cu privire la „toate datele‟ cu caracter personal pe care operatorul le deține. Or, în această ipoteză, mai ales în cazul organizațiilor ce au un flux mare de date (spre exemplu, bănci, operatori de servicii de telecomunicații, lanțuri retail), gestionarea unei solicitări de acces este apreciabil îngreunată. Aceasta, întrucât este necesar ca – pentru identificarea tuturor datelor – operatorul să verifice, de regulă într-un termen de doar o lună – un volum considerabil de date, posibil în diverse locații (atât electronic, cat și fizic) sau date prelucrate prin împuterniciți, fiind necesară uneori raportarea la mai multe calități ale persoanei vizate (spre exemplu, cazul în care un angajat este și client) și să identifice, dacă e cazul, excepțiile aplicabile cu privire la anumite categorii de date.
Măsurile recomandabile pentru operatori includ:
- adaptarea/ implementarea sistemelor de management al informațiilor astfel încât să existe evidențe clare și structurate ale datelor relevante și să fie facilitată extragerea acestora;
- instruirea personalului, în special a celui implicat în gestionarea solicitărilor și adaptarea/ implementarea unor proceduri interne, inclusiv pentru stabilirea responsabilităților;
- reglementarea contractuală a obligațiilor împuterniciților de a asigura suportul necesar, în ipoteza în care anumite date cu caracter personal se află în posesia acestora;
- pregătirea unor modele de răspuns care să poată fi adaptate cu ușurință de către personal responsabil cu pregătirea răspunsului, inclusiv modele de bază privind copia datelor în care să fie identificate cel puțin categoriile de date, prelucrate ca regulă, în relația cu fiecare categorie de persoane vizate;
- dacă e cazul, solicitarea unor clarificări suplimentare din partea persoanei vizate, în legătură cu obiectul cererii sale, în plus, prelungirea termenului de răspuns, în conformitate cu prevederile legale aplicabile.
Obiectul solicitărilor de portabilitate
Deși mult limitat față de obiectul dreptului de acces, conținutul dreptului la portabilitate pare a fi și mai dificil de determinat în practică, având în vedere că această limitare implică o amplă analiză internă.
Concret, dreptul la portabilitate acoperă doar datele privind persoana vizată: (i) prelucrate de către operator în temeiul încheierii și executării contractului sau în baza consimțământului respectivei persoane (potrivit art.6, alin.(1) lit. a) sau art. 9 alin.(2) lit. a) din GDPR); și (ii) pe care persoana vizată le-a furnizat în mod direct (inclusiv datele „observate″, cum ar fi istoricul de navigare); și (iii) care sunt prelucrate prin mijloace electronice.
Aceste condiții sunt cumulative și îi impun operatorului o filtrare riguroasă, în cascadă, pentru a extrage corect și complet informațiile necesar a-i fi transmise persoanei vizate sau unui alt operator.
Spre exemplu, va fi necesar ca persoana responsabilă cu gestionarea răspunsurilor să aibă evidențe concrete ale tuturor activităților de prelucrare desfășurate, cu identificarea exactă a datelor cu caracter personal ce intră sub incidența fiecărui scop/ temei relevant (ex. ce date sunt prelucrate în temei contractual și care în baza consimțământului) și cunoștințe detaliate privind toate fluxurile de date relevante din interiorul organizației (ex. care sunt informațiile furnizate direct de către persoana vizată versus cele observate cu privire la aceasta și prelucrate prin mijloace automate).
Măsurile recomandabile pentru operatori includ:
- adaptarea/ implementarea sistemelor de management al informațiilor astfel încât să existe evidențe clare și structurate ale datelor relevante și să faciliteze extragerea acestora. Un punct de plecare în acest sens poate fi registrul activităților de prelucrare prevăzut de GDPR;
- toate măsurile recomandate la secțiunea anterioară, în mod similar.
Concluzie
Este limpede că doar prioritizarea acțiunilor relevante de conformare va înlesni procesele interne de gestionare a drepturilor persoanelor vizate, în ceea ce va reprezenta o realitate juridică (cel puțin) îndelungată. Iar cum GDPR urmărește în mod primordial să le ofere persoanelor vizate un control real asupra datelor lor, este de așteptat ca (ne)îndeplinirea obligațiilor în materie să cântărească însemnat în ansamblul activităților de conformare.
Articol scris de Marta Tudor (attorney at law) și Carla Filip (attorney at law), avocați specializați în protecția datelor cu caracter personal în cadrul Schoenherr și Asociații SCA