Consimțământul explicit
Compania care controlează datele trebuie să obțină consimțământul explicit al subiectului datelor, iar acest consimțământ trebuie să poată fi dovedit oricând la cerere. Mai mult, subiectul își poate retrage consimțământul oricând. Pentru minori, consimțământul este acordat de tutorele legal. Consimțământul este definit ca “orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate” (Regulamentul general privind protecția datelor, 2016). În cazul formularelor online, consimțământul explicit se recomandă a fi obținut prin formulare de tip opt-in, în care utilizatorul trebuie să bifeze singur că acceptă să îi fie prelucrate și colectate datele.
“Persoana vizată are dreptul să își retragă în orice moment consimțământul. Retragerea consimțământului nu afectează legalitatea prelucrării efectuate pe baza consimțământului înainte de retragerea acestuia. Înainte de acordarea consimțământului, persoana vizată este informată cu privire la acest lucru. Retragerea consimțământului se face la fel de simplu ca acordarea acestuia.” (Regulamentul general privind protecția datelor, 2016)
Dreptul de acces la date
Utilizatorul ale cărui date sunt prelucrate are dreptul oricând să aibă acces la datele sale și să ceară informații cu privire la motivele prelucrării acestora. Drepturile sale includ accesul la următoarele informații:
“(a) scopurile prelucrării;
(b) categoriile de date cu caracter personal vizate;
(c) destinatarii sau categoriile de destinatari cărora datele cu caracter personal le-au fost sau urmează să le fie divulgate, în special destinatari din țări terțe sau organizații internaționale;
(d) acolo unde este posibil, perioada pentru care se preconizează că vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă;
(e) existența dreptului de a solicita operatorului rectificarea sau ștergerea datelor cu caracter personal ori restricționarea prelucrării datelor cu caracter personal referitoare la persoana vizată sau a dreptului de a se opune prelucrării;
(f) dreptul de a depune o plângere în fața unei autorități de supraveghere;
(g) în cazul în care datele cu caracter personal nu sunt colectate de la persoana vizată, orice informații disponibile privind sursa acestora;
(h) existența unui proces decizional automatizat incluzând crearea de profiluri, menționat la articolul 22 alineatele (1) și (4), precum și, cel puțin în cazurile respective, informații pertinente privind logica utilizată și privind importanța și consecințele preconizate ale unei astfel de prelucrări pentru persoana vizată.” (Regulamentul general privind protecția datelor, 2016)
Dreptul de a fi șters
Utilizatorul ale cărui date sunt procesate are dreptul să ceară oricând ca datele sale să fie șterse, de obicei invocând articolul 16 care stipulează că drepturile și libertățile fundamentale ale persoanei cu privire la viața privată au mai multă importanță decât interesele comerciale ale firmei. Motivele de ștergere invocate pot fi următoarele:
“(a) datele cu caracter personal nu mai sunt necesare pentru îndeplinirea scopurilor pentru care au fost colectate sau prelucrate;
(b) persoana vizată își retrage consimțământul pe baza căruia are loc prelucrarea, în conformitate cu articolul 6 alineatul (1) litera (a) sau cu articolul 9 alineatul (2) litera (a), și nu există niciun alt temei juridic pentru prelucrarea;
(c) persoana vizată se opune prelucrării în temeiul articolului 21 alineatul (1) și nu există motive legitime care să prevaleze în ceea ce privește prelucrarea sau persoana vizată se opune prelucrării în temeiul articolului 21 alineatul (2);
(d) datele cu caracter personal au fost prelucrate ilegal;
(e) datele cu caracter personal trebuie șterse pentru respectarea unei obligații legale care revine operatorului în temeiul dreptului Uniunii sau al dreptului intern sub incidența căruia se află operatorul;
(f) datele cu caracter personal au fost colectate în legătură cu oferirea de servicii ale societății informaționale menționate la articolul 8 alineatul (1).” (Regulamentul general privind protecția datelor, 2016)
Dreptul de portare a datelor
Oricine are dreptul să își transfere datele de la un procesator de date la altul fără a fi împiedicat de companie în acest proces. Pentru a facilita transferul de date, compania trebuie să ofere datele într-un format electronic deschis și standard. Dacă datele au fost anonimizate, atunci acest drept nu mai există.
“Persoana vizată are dreptul de a primi datele cu caracter personal care o privesc și pe care le-a furnizat operatorului într-un format structurat, utilizat în mod curent și care poate fi citit automat și are dreptul de a transmite aceste date altui operator, fără obstacole din partea operatorului căruia i-au fost furnizate datele cu caracter personal, în cazul în care:
(a) prelucrarea se bazează pe consimțământ în temeiul articolului 6 alineatul (1) litera (a) sau al articolului 9 alineatul (2) litera (a) sau pe un contract în temeiul articolului 6 alineatul (1) litera (b); și (b) prelucrarea este efectuată prin mijloace automate.
(2) În exercitarea dreptului său la portabilitatea datelor în temeiul alineatului (1), persoana vizată are dreptul ca datele cu caracter personal să fie transmise direct de la un operator la altul acolo unde acest lucru este fezabil din punct de vedere tehnic.” (Regulamentul general privind protecția datelor, 2016)
Designul sistemului de date
Articolul 25 stipulează că protecția datelor trebuie gândită din faza de design al fluxului companiei, la un loc cu prelucrarea de procese, produse și servicii. Specialiștii au numit această prevedere privacy by design. Pe tot procesul prelucrării datelor trebuie avut grija ca datele să nu fie compromise, de aceea ofițerul de protecția datelor trebuie să studieze toate ciclurile de culegere și procesare a datelor.
De asemenea, compania nu trebuie să culeagă și să proceseze mai multe date decât are nevoie pentru scopul său anume. Acest scop trebuie să fie făcut cunoscut utilizatorului. Recomandările ENISA (Agenția Europeană pentru Securitatea rețelelor și a Informației) sunt de a cripta și decripta datele doar local, deoarece atunci ambele chei rămân la dispoziția utilizatorului. Folosirea găzduirii de tip cloud este relativ sigură dar numai cu condiția ca utilizatorul să păstreze cheile de decriptare (ENISA, 2014).
Compania este obligată să păstreze o arhivă cu toate operațiunile de procesare a datelor, inclusiv scopurile procesării, categoriile de date și intervalele de timp estimate. La cererea autorităților, aceste arhive trebuie puse la dispoziție oricând.
Ofițerul de protecția datelor
Un ofițer de protecția datelor este un expert în legislația și practicile privind protecția datelor, și rolul său este să asiste compania în monitorizarea sistematică și periodică a mecanismelor de protecția datelor. Instituțiile publice precum și companiile unde monitorizarea trebuie făcută frecvent vor trebui să angajeze câte un ofițer de protecția datelor dedicat. Rolul de ofițer de protecția datelor nu cere doar cunoștințe legislative temeinice, ci și o pregătire tehnică.
Pseudonimizarea datelor
Pseudonimizarea este procesul de prelucrare a datelor prin care datele sunt transformate astfel încât datele să nu poată fi atribuite unui subiect fără accesul la informații suplimentare. Un exemplu de pseudonimizare este criptarea datelor. În cazul datelor criptate, GDPR prevede ca cheia de criptare să fie stocată în altă parte decât datele criptate. De asemenea, datele criptate se consideră tot date cu caracter personal și sunt în continuare sub protecția GDPR.