Domeniul de aplicare
GDPR se aplică în oricare din cazurile în care organismul care colectează datele personale, sau organismul care procesează datele, sau cetățeanul ale cărui date sunt prelucrate, se află pe teritoriul UE. Astfel, un cetățean UE care se află în afara spațiului European când îi sunt procesate datele nu va fi protejat de GDPR. Un cetățean al unui stat non-membru UE este protejat de GDPR atâta timp cât datele sale au fost colectate când se afla pe teritoriul UE. Companiile non-Europene vor trebui să se supună GDPR dacă prelucrează sau colectează datele persoanelor aflate pe teritoriul UE. GDPR nu se aplică datelor colectate de poliție sau de serviciile judiciare: pentru acestea există o directivă separată care a fost dată în același pachet de legi cu GDPR. GDPR de asemenea nu se aplică transferului de date între persoane fizice, doar între companii și persoane sau între companii diferite.
Temeiuri legale de procesare a datelor
Datele nu pot fi procesate de o companie decât în baza unui temei legal. Acest temei legal se obține doar în următoarele cazuri:
- Subiectul datelor și-a dat acordul ca aceste date să fie procesate în vederea unuia sau mai multor scopuri
- Procesarea este necesară pentru a îndeplini prevederile unui contract între subiect și companie, sau pentru a întemeia contractul
- Prelucrarea este necesară pentru a îndeplini o obligație legală aparținând companiei
- Prelucrarea este necesară pentru a proteja interesele vitale ale subiectului sau ale altei persoane private
- Prelucrarea este necesară pentru a îndeplini o sarcină de interes public sau cerută de o autoritate publică
- Prelucrarea este necesară pentru urmărirea intereselor legitime ale companiei, cu excepția cazurilor când aceste interese sunt depășite de interesele, drepturile și libertățile fundamentale ale subiectului. (Regulamentul general privind protecția datelor, 2016)
Consimțământul explicit
Compania care controlează datele trebuie să obțină consimțământul explicit al subiectului datelor, iar acest consimțământ trebuie să poată fi dovedit oricând la cerere. Mai mult, subiectul își poate retrage consimțământul oricând. Pentru minori, consimțământul este acordat de tutorele legal. Consimțământul este definit ca “orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate” (Regulamentul general privind protecția datelor, 2016). În cazul formularelor online, consimțământul explicit se recomandă a fi obținut prin formulare de tip opt-in, în care utilizatorul trebuie să bifeze singur că acceptă să îi fie prelucrate și colectate datele.
“Persoana vizată are dreptul să își retragă în orice moment consimțământul. Retragerea consimțământului nu afectează legalitatea prelucrării efectuate pe baza consimțământului înainte de retragerea acestuia. Înainte de acordarea consimțământului, persoana vizată este informată cu privire la acest lucru. Retragerea consimțământului se face la fel de simplu ca acordarea acestuia.” (Regulamentul general privind protecția datelor, 2016)
Dreptul de acces la date
Utilizatorul ale cărui date sunt prelucrate are dreptul oricând să aibă acces la datele sale și să ceară informații cu privire la motivele prelucrării acestora. Drepturile sale includ accesul la următoarele informații:
“(a) scopurile prelucrării;
(b) categoriile de date cu caracter personal vizate;
(c) destinatarii sau categoriile de destinatari cărora datele cu caracter personal le-au fost sau urmează să le fie divulgate, în special destinatari din țări terțe sau organizații internaționale;
(d) acolo unde este posibil, perioada pentru care se preconizează că vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă;
(e) existența dreptului de a solicita operatorului rectificarea sau ștergerea datelor cu caracter personal ori restricționarea prelucrării datelor cu caracter personal referitoare la persoana vizată sau a dreptului de a se opune prelucrării;
(f) dreptul de a depune o plângere în fața unei autorități de supraveghere;
(g) în cazul în care datele cu caracter personal nu sunt colectate de la persoana vizată, orice informații disponibile privind sursa acestora;
(h) existența unui proces decizional automatizat incluzând crearea de profiluri, menționat la articolul 22 alineatele (1) și (4), precum și, cel puțin în cazurile respective, informații pertinente privind logica utilizată și privind importanța și consecințele preconizate ale unei astfel de prelucrări pentru persoana vizată.” (Regulamentul general privind protecția datelor, 2016)
Dreptul de a fi șters
Utilizatorul ale cărui date sunt procesate are dreptul să ceară oricând ca datele sale să fie șterse, de obicei invocând articolul 16 care stipulează că drepturile și libertățile fundamentale ale persoanei cu privire la viața privată au mai multă importanță decât interesele comerciale ale firmei. Motivele de ștergere invocate pot fi următoarele:
“(a) datele cu caracter personal nu mai sunt necesare pentru îndeplinirea scopurilor pentru care au fost colectate sau prelucrate;
(b) persoana vizată își retrage consimțământul pe baza căruia are loc prelucrarea, în conformitate cu articolul 6 alineatul (1) litera (a) sau cu articolul 9 alineatul (2) litera (a), și nu există niciun alt temei juridic pentru prelucrarea;
(c) persoana vizată se opune prelucrării în temeiul articolului 21 alineatul (1) și nu există motive legitime care să prevaleze în ceea ce privește prelucrarea sau persoana vizată se opune prelucrării în temeiul articolului 21 alineatul (2);
(d) datele cu caracter personal au fost prelucrate ilegal;
(e) datele cu caracter personal trebuie șterse pentru respectarea unei obligații legale care revine operatorului în temeiul dreptului Uniunii sau al dreptului intern sub incidența căruia se află operatorul;
(f) datele cu caracter personal au fost colectate în legătură cu oferirea de servicii ale societății informaționale menționate la articolul 8 alineatul (1).” (Regulamentul general privind protecția datelor, 2016)
Dreptul de portare a datelor
Oricine are dreptul să își transfere datele de la un procesator de date la altul fără a fi împiedicat de companie în acest proces. Pentru a facilita transferul de date, compania trebuie să ofere datele într-un format electronic deschis și standard. Dacă datele au fost anonimizate, atunci acest drept nu mai există.
“Persoana vizată are dreptul de a primi datele cu caracter personal care o privesc și pe care le-a furnizat operatorului într-un format structurat, utilizat în mod curent și care poate fi citit automat și are dreptul de a transmite aceste date altui operator, fără obstacole din partea operatorului căruia i-au fost furnizate datele cu caracter personal, în cazul în care:
(a) prelucrarea se bazează pe consimțământ în temeiul articolului 6 alineatul (1) litera (a) sau al articolului 9 alineatul (2) litera (a) sau pe un contract în temeiul articolului 6 alineatul (1) litera (b); și (b) prelucrarea este efectuată prin mijloace automate.
(2) În exercitarea dreptului său la portabilitatea datelor în temeiul alineatului (1), persoana vizată are dreptul ca datele cu caracter personal să fie transmise direct de la un operator la altul acolo unde acest lucru este fezabil din punct de vedere tehnic.” (Regulamentul general privind protecția datelor, 2016)