Ghidul Definitiv privind Drepturile Subiecților de Date conform GDPR
Din perspectiva protecției complete a datelor, putem împărți istoria în perioade înainte de GDPR și perioade după GDPR.
- Cine are drepturile subiecților de date conform GDPR
- Ce drepturi acordă GDPR utilizatorilor ca subiecți de date
- Cum pot aceștia să își exercite drepturile
- Ce trebuie să facă afacerile atunci când sunt contactate de un utilizator care dorește să-și exercite un drept
- Care sunt consecințele nerespectării unei solicitări a unui subiect de date
În termeni de protecție completă a datelor, poți împărți istoria în perioade înainte de GDPR și după GDPR.
Regulamentul emblematic al UE a fost unul dintre primele care le-a acordat utilizatorilor de internet drepturi extinse privind confidențialitatea datelor și instrumente pentru a se proteja. A avut o influență majoră asupra guvernelor din întreaga lume, astfel că majoritatea legilor privind protecția datelor adoptate după GDPR tind să fie similare cu legea UE.
Printre altele, acest lucru înseamnă că legile recente privind confidențialitatea acordă utilizatorilor drepturi extinse de protecție a datelor.
Dar înainte de a ne aprofunda în acest subiect, trebuie să înțelegi diferența dintre controlorul de date, procesorul de date și subiectul de date, deoarece vom folosi acești termeni.
Un controlor de date este o afacere care colectează date personale.
Un procesor de date este o afacere care procesează datele în numele controlorului.
Diferența este că controlorul decide ce, de ce și cum vor fi prelucrate datele, iar procesorul realizează treaba. De exemplu, decizi că vei colecta adrese de e-mail („ce”) prin intermediul unui formular de înregistrare („cum”) pentru a trimite newsletter-ul tău („de ce”). Mailchimp realizează acest lucru pentru tine. Tu ești controlorul de date, iar Mailchimp este procesorul tău de date.
Pe de altă parte, subiectul de date este orice utilizator de internet al cărui date le-ai colectat și/sau procesat. Ei au drepturi. Când decid să își exercite drepturile, trebuie să te conformezi. Dacă nu o faci, poți fi amendat.
Trebuie să afli despre drepturile subiecților de date conform GDPR.
Discut cine are drepturile subiecților de date conform GDPR și detaliaz drepturile specifice acordate, inclusiv dreptul de a fi informat, de acces, de rectificare, de ștergere, de restricționare a prelucrării, de portabilitate a datelor și de obiecție.
De asemenea, explic pașii pe care utilizatorii trebuie să îi urmeze pentru a-și exercita drepturile și ce trebuie să facă afacerile în răspuns la o solicitare a unui subiect de date.
În final, discut despre consecințele nerespectării unei solicitări a unui subiect de date.
Cine are Drepturile Persoanei Vizate conform GDPR?
GDPR se aplică interacțiunilor dintre afaceri și utilizatori în care cel puțin unul provine din Uniunea Europeană.
Asta înseamnă că se aplică în următoarele cazuri:
- Atât afacerea cât și utilizatorul sunt din UE
- Afacerea este din UE, iar utilizatorul este din orice parte a lumii
- Utilizatorul este din UE, iar afacerea este din orice parte a lumii
Ce Drepturi Acordează GDPR Utilizatorilor?
GDPR acordă persoanelor vizate următoarele drepturi:
Dreptul la informare
Ce înseamnă: Acest drept permite persoanelor vizate să solicite informații despre colectarea datelor personale, ce tipuri de date colectați, de ce faceți asta și orice alte detalii legate de practicile voastre de confidențialitate. Acesta derivă din principiul transparenței. Vă obligă să fiți transparenți cu utilizatorii despre ce faceți cu datele personale și motivele din spate.
Ce trebuie să furnizeze controlorii de date: Atunci când o afacere, adică controlorul de date, primește o solicitare de informare, trebuie să furnizeze persoanei vizate informațiile solicitate, cum ar fi categoriile de date colectate și prelucrate, scopurile prelucrării, metodele de colectare și prelucrare, terților cărora li s-a dezvăluit datele, unde au fost transferate datele și așa mai departe.
Dreptul la acces
Ce înseamnă: Dreptul la acces oferă persoanei vizate oportunitatea de a accesa datele lor deținute de dvs.
Ce trebuie să furnizeze controlorii de date: Dacă dețineți numele și adresa lor de e-mail, aceștia au dreptul să le acceseze. Uneori, cererea se va referi la toate datele lor, iar alteori doar la anumite părți. Trebuie să respectați cererea exactă și să oferiți acces la datele solicitate.
Dreptul la rectificare
Ce înseamnă: Dreptul la rectificare se referă la dreptul de a corecta propriile date personale. De exemplu, controlorul de date care trimite coduri de reducere clienților poate avea o greșeală în adresa de e-mail a unui client, astfel că aceasta nu primește niciun cod. Acest utilizator, adică persoana vizată, are dreptul să solicite rectificarea datelor lor, pentru a-și corecta adresa de e-mail și a primi codurile.
Ce trebuie să furnizeze controlorii de date: Controlorul de date trebuie să corecteze datele persoanei vizate conform solicitării.
Dreptul la ștergere (dreptul de a fi uitat)
Ce înseamnă: Dreptul de a șterge datele personale, cunoscut și sub denumirea de dreptul de a fi uitat, înseamnă ștergerea datelor unei persoane vizate din înregistrările controlorului de date. Persoana vizată poate solicita ștergerea tuturor datelor lor sau doar a unei părți. De exemplu, pot solicita să le ștergeți numărul de telefon deoarece doresc să comunice cu dvs. doar prin e-mail.
Ce trebuie să furnizeze controlorii de date: Ei trebuie să șteargă datele personale în conformitate cu cererea. Rețineți că propunerea de a șterge unele categorii de date nu înseamnă ștergerea tuturor datelor.
Dreptul la restricționarea prelucrării
Ce înseamnă: Persoana vizată poate solicita controlorului de date să înceteze prelucrarea datelor lor personale dacă oricare dintre următoarele este adevărat:
- Datele personale sunt inexacte
- Prelucrarea este ilegală, dar persoana vizată alege restricționarea prelucrării în locul ștergerii
- Controlorul de date nu mai are nevoie de date pentru prelucrare
- Persoana vizată s-a opus prelucrării, dar încă așteaptă verificarea
Ce trebuie să furnizeze controlorii de date: Controlorul de date ar trebui să respecte cererea de a restricționa prelucrarea categoriilor de date personale la care se referă solicitarea.
Dreptul la portabilitatea datelor
Ce înseamnă: Uneori, utilizatorii doresc să-și transfere datele către un alt controlor de date. Acest lucru se întâmplă de obicei atunci când utilizatorul schimbă furnizorii de servicii. De exemplu, se pot muta de la Hulu la Netflix și vor să ia cu ei datele pe care Hulu le-a colectat despre ei.
Ce trebuie să furnizeze controlorii de date: Controlorul trebuie să creeze un fișier cu toate datele personale ale solicitantului și să le ofere. Datele trebuie să fie într-un format care să poată fi utilizat de alți controlori de date. Dacă persoana vizată solicită transferul tuturor datelor personale, controlorul nu trebuie să mai dețină alte date despre persoana respectivă, cu excepția conformității și a pretențiilor legale.
Dreptul la obiecție
Ce înseamnă: Persoana vizată poate obiecta la prelucrarea datelor și poate solicita controlorului să înceteze această prelucrare.
Ce trebuie să furnizeze controlorii de date: Controlorul ar trebui să înceteze prelucrarea datelor așa cum a fost solicitat, cu excepția cazului în care arată motive legitime pentru a face acest lucru. Motivele legitime trebuie să prevaleze asupra motivelor obiecției persoanei vizate.
De exemplu, persoana vizată poate obiecta la prelucrarea datelor lor de plată. Controlorul va trebui să se conformeze, dar dacă demonstrează că prelucrarea unor astfel de date este necesară pentru prevenirea fraudei, poate continua să prelucreze datele de plată.
Excepția este obiecția la prelucrarea datelor în scopuri de marketing direct. Dacă persoana vizată se opune acestui lucru, controlorul trebuie să se conformeze.
Dreptul de a nu fi supus deciziilor automate, inclusiv profilării
Ce înseamnă: Unele afaceri iau decizii automate despre clienți pe baza algoritmilor. De exemplu, o companie de asigurări poate calcula tarifele de asigurare pentru potențialii clienți pe baza datelor lor personale (inclusiv date despre sănătate, salariu, etc.). GDPR permite utilizatorilor să solicite să nu fie supuși unei astfel de luări de decizie.
Ce trebuie să furnizează controlorii de date: Aceștia trebuie să înceteze luarea de decizii despre persoana vizată pe baza unor mijloace automate, inclusiv profilarea.
Exercitarea Drepturilor
Drumul de la dreptul subiectului de date pe hârtie la realizare în practică este parcurgut prin exercitarea drepturilor subiectului de date de către subiecții înșiși.
Drepturile subiectului de date sunt exercitate prin transmiterea solicitărilor acestora. Utilizatorii pot trimite orice astfel de solicitare, iar dvs. veți fi obligat să răspundeți în timp util.
GDPR obligă controlorii de date să răspundă la solicitări în termen de 30 de zile sau 60 de zile pentru solicitările mai complexe. Aceștia trebuie să informeze utilizatorul despre extinderea termenului cu 30 de zile suplimentare.
Dacă controlorul de date nu răspunde sau răspunde în mod insuficient, autoritatea de protecție a datelor poate aplica amenzi.
În general, exercitarea drepturilor subiectului de date se desfășoară în cinci etape. Iată cum arată fiecare dintre ele din perspectiva subiectului de date și a controlorului de date:
Trimiterea solicitării
Subiectul de date transmite solicitarea controlorului de date. Acesta poate face acest lucru în orice mod dorește – fie prin e-mail, un formular web dedicat solicitărilor, telefonic sau în orice alt mod.
Controlorul de date primește solicitarea. Pentru acesta, nu contează modul în care a fost trimisă solicitarea. Trebuie să o accepte. Multe afaceri includ formulare pe site-uri web pentru astfel de cereri sau adrese de e-mail dedicate, dar dacă subiectul de date le-a ignorat, nu face nicio diferență. Fiecare solicitare primită în orice mod trebuie tratată în mod egal și răspunsă corespunzător.
Verificarea identității
Controlorul de date trebuie să verifice identitatea solicitantului. Acesta este un pas important, deoarece în proces se pot divulga date personale; dacă se întâmplă acest lucru, acestea trebuie furnizate persoanei potrivite. Controlorul trebuie să se asigure că nu furnizează date unei persoane care nu ar trebui să le acceseze.
Controlorul nu ar trebui să ceară date personale suplimentare pentru verificarea identității, decât dacă este necesar. Ar fi ideal ca verificarea să se bazeze pe datele personale deja disponibile. De exemplu, puteți verifica datele asociate unei adrese de e-mail pe baza adresei de e-mail de la care a fost trimisă solicitarea.
Dacă controlorul nu poate verifica cu certitudine identitatea subiectului de date, poate refuza solicitarea.
Subiectul de date ar trebui să furnizeze orice informație necesară controlorului.
Identificarea solicitării
Controlorul de date ar trebui să identifice solicitarea. Uneori, subiecții de date trimit solicitări neclare. În astfel de cazuri, controlorul ar trebui să clarifice solicitarea. De asemenea, acesta poate cere subiectului de date clarificări suplimentare.
Subiectul de date ar trebui să răspundă la orice întrebări pe care controlorul le-ar putea avea. Dacă nu există astfel de întrebări, atunci ar trebui să aștepte în această etapă.
Colectarea și ambalarea datelor
În continuare, controlorul de date ar trebui să inspecteze, să colecteze și să ambaleze datele necesare pentru a răspunde la solicitare.
Subiectul de date nu trebuie să facă nimic în această etapă.
Îndeplinirea solicitării
Controlorul de date ar trebui să îndeplinească solicitarea în cele din urmă. Îndeplinirea solicitării poate însemna furnizarea unor date, corectarea, ștergerea sau altceva.
Subiectul de date ar trebui să analizeze răspunsul primit. Dacă nu sunt mulțumiți, pot trimite solicitări suplimentare sau pot depune plângeri la autoritatea de protecție a datelor.
Cuvinte de Încheiere
Solicitările subiectului de date nu reprezintă o povară pentru afaceri, nici un instrument prin care utilizatorii să-i deranjeze.
Transparența creează încredere, iar încrederea utilizatorilor este un mare atu pentru orice afacere. Este un mijloc pentru o legătură mai bună între companii și utilizatori. Oferă o oportunitate pentru transparență care, în cele din urmă, ar putea consolida această legătură.
Conștientizarea privind confidențialitatea datelor online crește constant. Afacerile trebuie să se conformeze nu doar pentru a evita amenzi grele, ci și pentru a-și dezvolta resursele.
Consultați lista noastră cu toate amenzile GDPR cunoscute pentru a avea o idee despre consecințele nerespectării acestor reglementări.
Efortul nu este la fel de mare pe cât pare. Conformitatea cu aceste solicitări este simplă și ușor de realizat. Avantajele, pe de altă parte, sunt mult mai mari și merită cu siguranță efortul de conformare. Este evident.