📋

Evaluare

Identifică rapid obligațiile aplicabile companiei tale.
🛠

Implementare

Documente și proceduri aplicate, fără exces birocratic.

Monitorizare

Revizuire periodică și control continuu.
🔒

Privacy-by-Design

Sisteme construite corect, fără compromisuri.

Revizio

  • office@revizio.ro

Revizio

Simplu. Rapid. Online

Ai o întrebare?

Cum răspunzi corect cererilor persoanelor vizate: reguli, termene și riscuri

Un aspect crucial al GDPR, adesea întâmpinat cu dificultăți de companii, este gestionarea cererilor persoanelor vizate. Persoanele vizate sunt indivizii ale căror date le prelucrezi – clienți, angajați, parteneri – iar GDPR le conferă drepturi clare. Fie că vorbim de dreptul de acces la date, de rectificare, ștergere („dreptul de a fi uitat”), restricționare sau portabilitate, fiecare solicitare trebuie tratată cu seriozitate, în termenele impuse de lege. Nerespectarea acestor drepturi se poate solda rapid cu plângeri și amenzi, după cum am văzut în articolele anterioare. Să detaliem deci care sunt regulile jocului și cum ar trebui un antreprenor să abordeze aceste cereri, într-un mod corect și eficient.

Ce drepturi au persoanele vizate și ce obligații ai tu ca operator?

GDPR prevede următoarele drepturi principale pentru persoanele fizice (persoanele vizate):

  • Dreptul de acces – oricine are dreptul să știe dacă și ce date personale prelucrezi despre el și să primească o copie a acestor date, precum și informații conexe (scopul prelucrării, destinatari, perioada de stocare etc.).
  • Dreptul la rectificare – dacă o persoană constată că datele sale sunt inexacte sau incomplete, poate cere corectarea sau completarea lor.
  • Dreptul la ștergere („dreptul de a fi uitat”) – în anumite situații (de exemplu, datele nu mai sunt necesare scopului sau persoana și-a retras consimțământul), individul poate cere ștergerea datelor care îl privesc.
  • Dreptul la restricționare – persoana poate solicita să „îngheți” temporar prelucrarea datelor (de exemplu, dacă contestă exactitatea datelor sau legalitatea prelucrării).
  • Dreptul la portabilitatea datelor – pentru datele furnizate de persoană și prelucrate automat, pe baza consimțământului sau a unui contract, persoana poate cere o copie într-un format structurat, utilizat curent (ex: CSV, XML) sau transferul direct către un alt operator.
  • Dreptul la opoziție – în orice moment, persoana se poate opune prelucrării datelor sale, dacă aceasta se bazează pe interes legitim (inclusiv profilare) sau e folosită pentru marketing direct. La opoziție, trebuie să încetezi prelucrarea (în marketing direct, e absolut – trebuie să încetezi imediat).
  • Dreptul de a nu fi supus unei decizii automate individuale (inclusiv profilare) – persoana poate cere intervenție umană dacă o decizie cu efect semnificativ asupra sa a fost luată exclusiv de un algoritm (de ex., scor de credit, respingerea unui credit online automat).

Ca operator (compania ta), ai următoarele obligații generale în privința acestor drepturi:

  • Să facilitezi exercitarea drepturilor – înseamnă să pui la dispoziție mijloace ușoare prin care oamenii să poată face cereri (de exemplu, un email dedicat, un formular pe site, un birou fizic unde se pot adresa). Nu ai voie să “ascunzi” aceste opțiuni sau să ceri formalități excesive.
  • Să răspunzi fără întârzieri nejustificate și în termen legal – termenul standard este de cel mult 30 de zile de la primirea cererii. Poți prelungi o singură dată cu încă cel mult 60 de zile (deci maxim ~90 de zile în total), dar doar dacă este necesar, ținând cont de complexitatea și numărul cererilor, și trebuie să informezi persoana în termenul inițial de 30 de zile despre această prelungire și motivele ei.
  • Gratuitate – în principiu, trebuie să răspunzi și să furnizezi informațiile gratuit. Poți cere un tarif rezonabil sau refuza cererea doar dacă aceasta este vădit nefondată sau excesivă (de exemplu, repetitivă) – însă chiar și atunci trebuie să poți demonstra de ce consideri așa. Practic, nu ai voie să taxezi normal oamenii pentru a-și exercita drepturile, altfel i-ai descuraja.
  • Verificarea identității – trebuie să te asiguri că persoana care face cererea este chiar persoana vizată (sau un împuternicit al său). Asta înseamnă că, dacă primești o cerere prin email sau telefon, ai voie să ceri informații suplimentare pentru a confirma identitatea (dar nu mai mult decât e necesar). De exemplu, dacă un client îți scrie de pe adresa de email înregistrată la tine, nu ar trebui să ceri și copia buletinului. Dar dacă primești o cerere ambiguă de pe o adresă necunoscută, poți solicita date pentru confirmare (cum ar fi: nume complet, ultimă comandă făcută etc.). Atenție: EDPB a remarcat că unii operatori cer sistematic copii după acte de identitate, ceea ce poate constitui o practică excesivă; ideal e să adaptezi verificarea de la caz la caz.
  • Obligația de informare și transparență – chiar dacă, din motive legale, nu poți satisface cererea (ex: cineva cere ștergerea datelor, dar există o obligație legală să le păstrezi), tot trebuie să răspunzi, explicând motivul refuzului și indicând dreptul persoanei de a se adresa autorității sau justiției. Un refuz tacit (să nu răspunzi deloc) este cea mai proastă opțiune – lipsa răspunsului în termen echivalează cu încălcarea GDPR. De altfel, o persoană căreia nu i se răspunde se va adresa sigur ANSPDCP.

Practici recomandate pentru a răspunde corect la cereri

1. Stabilește o procedură internă clară. Nu aștepta prima cerere ca să decizi “ad-hoc” cum o gestionezi. Ideal, împreună cu echipa sau consultantul tău GDPR, scrie un protocol intern:

  • Cine primește notificarea când vine o cerere? (Ex: responsabilul de protecția datelor sau un manager dedicat).
  • Unde se înregistrează cererea (registreaz-o undeva: un registru de corespondență GDPR sau un ticket în sistem).
  • Pașii de urmat în funcție de tipul cererii. De exemplu, la o cerere de acces: persoana X va extrage datele din baza de date clienți, persoana Y din baza de date de marketing, apoi DPO-ul compilează răspunsul.
  • Model de răspuns pentru fiecare situație (inclusiv text standard pentru aprobarea cererii, furnizarea datelor sau, dacă e cazul, motivarea unui refuz/unei întârzieri).

2. Instruiește personalul să recunoască o cerere și să o direcționeze corect. Orice angajat care interacționează cu publicul (fie și la recepție sau pe emailul de suport clienți) trebuie să știe că dacă cineva spune cuvinte de genul “Doresc o copie a datelor mele” sau “Vreau să fiu șters din sistemul vostru”, atunci este o cerere în temeiul GDPR. Angajatul nu trebuie să răspundă pe loc (dacă nu e pregătit), dar trebuie imediat să transmită cererea către persoana responsabilă. Timpul începe să curgă! Aici ajută mult dacă ai creat canale dedicate: de exemplu, un email gen dpo@firma.ro sau privacy@firma.ro unde să redirecționeze tot. În plus, după instruire, personalul va evita comentarii nepotrivite de genul “nu știu despre ce e vorba, cred că nu vă putem da așa ceva” – ceea ce ar da un semnal prost clientului și poate duce la plângere. În schimb, știu să spună: “Am înregistrat solicitarea dvs. și o transmitem colegului responsabil cu protecția datelor. Veți primi un răspuns în cel mai scurt timp, cel târziu în 30 de zile, conform legii.”

3. Respectă termenele și informează dacă apar întârzieri. Cele 30 de zile trec repede. De aceea, e indicat să nu amâni până în ultima zi pregătirea răspunsului. Dacă chiar ai un caz excepțional cu volum mare de muncă (de exemplu, cineva ți-a cerut arhiva tuturor emailurilor pe ultimii 5 ani și ai zeci de mii de înregistrări), trimite în termenul de 30 de zile un răspuns intermediar. În acel răspuns explică politicos că, din cauza complexității cererii, vei reveni cu informațiile complete în cel mult încă 60 de zile și, dacă e posibil, menționează un motiv (ex: “backup-urile se află în depozit extern și necesită timp de recuperare” etc.). Dacă nu faci asta, legal e ca și cum ai lăsa cererea nerezolvată. Un exemplu pozitiv: dacă știi că vei putea onora cererea în 45 de zile, nu aștepta ziua 45 – informează în ziua 30 persoana că vei avea nevoie de încă două săptămâni și motivează. Transparența creează bunăvoință.

4. Furnizează un răspuns complet și inteligibil. Răspunsul către persoana vizată ar trebui:

  • Să fie într-un limbaj clar, simplu (evită jargonul tehnic sau legal pe cât posibil).
  • Să acopere punctual ce a cerut persoana. Dacă e un drept de acces, nu da doar o parte din date. Mulți operatori greșesc prin a oferi un răspuns incomplet – de exemplu, trimit doar datele brute dar nu și informațiile suplimentare (precum categoriile de surse sau destinatari ai datelor). Sau fac opusul: trimit o copie de contract, dar omit log-urile de acces, emailurile, înregistrările audio, care și ele conțin date personale. Nu limita în mod artificial aria de căutare a datelor – EDPB notează că unii operatori caută doar în anumite baze și omit altele (de exemplu, ignoră datele pseudonimizate sau corespondența internă ce conține date despre persoană). Asta poate fi considerată încălcare a dreptului de acces. Ideal, înainte să răspunzi, întreabă-te: “Dacă aș fi eu persoana, aș considera că am primit tot ce am cerut?”.
  • Să includă, dacă e cazul, și motivele pentru care anumite date nu pot fi furnizate. De exemplu, dacă cineva îți cere ștergerea, dar legea îți cere să păstrezi facturile 10 ani, vei refuza ștergerea acelor date fiscale – însă explică asta clar și indică temeiul legal (ex: “Nu putem șterge datele din facturile emise, întrucât legislația financiar-contabilă ne obligă să le păstrăm timp de 10 ani”).
  • Să menționeze dreptul de a te plânge la ANSPDCP sau de a ataca decizia în instanță, în cazul în care persoana nu este mulțumită. Aceasta este o cerință GDPR – lipsa acestei informații poate fi interpretată ca lipsă de transparență.

5. Evită practicile defensive abuzive. Unii operatori, speriați de consecințe, adoptă tactici de a evita sau descuraja cererile: fie nu răspund deloc, fie răspund vag, fie cer o avalanșă de documente pentru identificare, fie resping cererea catalogând-o “excesivă” fără o analiză reală. Aceste abordări sunt foarte riscante. De exemplu, a cataloga o cerere drept “manifest nefondată sau excesivă” trebuie făcut cu mare prudență. Doar pentru că o persoană ți-a cerut și anul trecut ceva, nu înseamnă că nu mai are dreptul și anul acesta. EDPB a subliniat că dreptul de acces are foarte puține limite și că operatorii nu ar trebui să abuzeze de excepția cererilor „excesive” sau de protecția drepturilor altora ca pretext să nu ofere informații.

Riscurile nerespectării și beneficii unei gestionări corecte

Riscuri dacă ignori sau greșești:

Imagine negativă: În epoca rețelelor sociale, un client nemulțumit că îl ignorezi poate foarte ușor să facă public cazul. “Mi-am cerut datele de la X și nu mi-au răspuns, ce au de ascuns?” – astfel de postări pot deveni virale și strica reputația, mai ales dacă ajung la urechile unui influencer sau jurnalist.

Amenzi și sancțiuni: După cum am văzut, amenzile pot fi semnificative. Lensa – 5.000 € pentru un răspuns necorespunzător, altă firmă 1.000 € pentru că nu a răspuns deloc. Au existat cazuri în UE de amenzi mult mai mari pentru ignorarea drepturilor (sute de mii de euro, mai ales când se combină cu alte încălcări).

Acțiuni în justiție: Persoanele vizate pot să nu se oprească la plângerea la ANSPDCP. Conform GDPR, ele au dreptul și la despăgubiri civile dacă au suferit un prejudiciu (material sau moral) din cauza încălcării drepturilor lor. De exemplu, un angajat ar putea reclama daune morale dacă angajatorul nu i-a dat acces la dosarul personal sau l-a monitorizat fără drept. Instanțele încep să primească astfel de cazuri și pot acorda compensații.

Gestionarea solicitărilor persoanelor vizate nu trebuie privită ca o corvoadă birocratică, ci ca parte integrantă a serviciului către client.

Download PDF
148
Picture of autor

autor

LUCIAN UNGUREANU

Alte articole recomandate