Art. 5 al GDPR obligă operatorii să demonstreze respectarea a 6 principii. Primul principiu menționează că datele cu caracter personal sînt prelucrate în mod legal, echitabil și transparent față de persoana vizată (”legalitate, echitate și transparență”).
Explicații despre punerea în practică a acestui principiu se regăsesc în paragrafele (39) și (58):
Orice prelucrare de date cu caracter personal ar trebui să fie legală și echitabilă. Ar trebui să fie transparent pentru persoanele fizice că sunt colectate, utilizate, consultate sau prelucrate în alt mod datele cu caracter personal care le privesc și în ce măsură datele cu caracter personal sunt sau vor fi prelucrate. Principiul transparenței prevede că orice informații și comunicări referitoare la prelucrarea respectivelor date cu caracter personal sunt ușor accesibile și ușor de înțeles și că se utilizează un limbaj simplu și clar. Acest principiu se referă în special la informarea persoanelor vizate privind identitatea operatorului și scopurile prelucrării, precum și la oferirea de informații suplimentare, pentru a asigura o prelucrare echitabilă și transparentă în ceea ce privește persoanele fizice vizate și dreptul acestora de a li se confirma și comunica datele cu caracter personal care le privesc care sunt prelucrate. Persoanele fizice ar trebui informate cu privire la riscurile, normele, garanțiile și drepturile în materie de prelucrare a datelor cu caracter personal și cu privire la modul în care să își exercite drepturile în legătură cu prelucrarea. În special, scopurile specifice în care datele cu caracter personal sunt prelucrate ar trebui să fie explicite și legitime și să fie determinate la momentul colectării datelor respective. Datele cu caracter personal ar trebui să fie adecvate, relevante și limitate la ceea ce este necesar pentru scopurile în care sunt prelucrate. Aceasta necesită, în special, asigurarea faptului că perioada pentru care datele cu caracter personal sunt stocate este limitată strict la minimum. Datele cu caracter personal ar trebui prelucrate doar dacă scopul prelucrării nu poate fi îndeplinit în mod rezonabil prin alte mijloace. În vederea asigurării faptului că datele cu caracter personal nu sunt păstrate mai mult timp decât este necesar, ar trebui să se stabilească de către operator termene pentru ștergere sau revizuirea periodică. Ar trebui să fie luate toate măsurile rezonabile pentru a se asigura că datele cu caracter personal care sunt inexacte sunt rectificate sau șterse. Datele cu caracter personal ar trebui prelucrate într-un mod care să asigure în mod adecvat securitatea și confidențialitatea acestora, inclusiv în scopul prevenirii accesului neautorizat la acestea sau utilizarea neautorizată a datelor cu caracter personal și a echipamentului utilizat pentru prelucrare.
(…)
Principiul transparenței prevede că orice informații care se adresează publicului sau persoanei vizate să fie concise, ușor accesibile și ușor de înțeles și să se utilizeze un limbaj simplu și clar, precum și vizualizare acolo unde este cazul. Aceste informații ar putea fi furnizate în format electronic, de exemplu atunci când sunt adresate publicului, prin intermediul unui site. Acest lucru este important în special în situații în care datorită multitudinii actorilor și a complexității, din punct de vedere tehnologic, a practicii, este dificil ca persoana vizată să știe și să înțeleagă dacă datele cu caracter personal care o privesc sunt colectate, de către cine și în ce scop, cum este cazul publicității online. Întrucât copiiii necesită o protecție specifică, orice informații și orice comunicare, în cazul în care prelucrarea vizează un copil, ar trebui să fie exprimate într-un limbaj simplu și clar, astfel încât copilul să îl poată înțelege cu ușurință
Articolele 13 și 14 precizează care sînt informațiile care trebuie aduse la cunoștința persoanei vizate:
| Informații furnizate | Datele cu caracter personal sunt colectate de la persoana vizată (Art. 13) | Datele cu caracter personal nu au fost obținute de la persoana vizată (Art. 14) |
| Identitatea și datele de contact ale operatorului și, după caz, ale reprezentantului acestuia; | DA | DA |
| Datele de contact ale responsabilului cu protecția datelor, după caz | DA | DA |
| Scopurile în care sunt prelucrate datele cu caracter personal, precum și temeiul juridic al prelucrării; | DA | DA |
| Categoriile de date cu caracter personal vizate; | DA | |
| Destinatarii sau categoriile de destinatari ai datelor cu caracter personal, după caz;
intenția operatorului de a transfera date cu caracter personal către un destinatar dintr-o țară terță sau o organizație internațională |
DA | DA |
| Perioada pentru care vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă; | DA | DA |
| Interesele legitime urmărite de operator sau de o parte terță; | DA | DA |
| Accesul la acestea, rectificarea sau ștergerea acestora sau restricționarea prelucrării și a dreptului de a se opune prelucrării, precum și a dreptului la portabilitatea datelor; | DA | DA |
| Retragerea consimțământului în orice moment, fără a afecta legalitatea prelucrării efectuate pe baza consimțământului înainte de retragerea acestuia; | DA | DA |
| Dreptul de a depune o plângere în fața unei autorități de supraveghere; | DA | DA |
| Sursa din care provin datele cu caracter personal și, dacă este cazul, dacă acestea provin din surse disponibile public; | DA | |
| Dacă furnizarea de date cu caracter personal reprezintă o obligație legală sau contractuală sau o obligație necesară pentru încheierea unui contract, precum și dacă persoana vizată este obligată să furnizeze aceste date cu caracter personal și care sunt eventualele consecințe ale nerespectării acestei obligații; | DA | |
| Existența unui proces decizional automatizat incluzând crearea de profiluri, informații pertinente privind logica utilizată și privind importanța și consecințele preconizate ale unei astfel de prelucrări pentru persoana vizată. | DA | DA |
Cînd trebuie furnizate toate aceste informații?
Dacă se intră sub incidența Art. 13, toate datele trebuie furnizate în momentul obținerii acestor date cu caracter personal.
Dacă se intră sub incidența Art. 14:
- într-un termen rezonabil după obținerea datelor cu caracter personal, dar nu mai mare de o lună, ținându-se seama de circumstanțele specifice în care sunt prelucrate datele cu caracter personal;
- dacă datele cu caracter personal urmează să fie utilizate pentru comunicarea cu persoana vizată, cel târziu în momentul primei comunicări către persoana vizată respectivă; sau
- dacă se intenționează divulgarea datelor cu caracter personal către un alt destinatar, cel mai târziu la data la care acestea sunt divulgate pentru prima oară.
Demonstrarea respectării principiului transparenței și a cerinței privind consimțătmîntul înseamnă că informarea persoanei vizate nu va fi o simplă formalitate juridică așa cum se întîmplă (încă) în acest moment….
ADRIAN B. MUNTEANU 