Exercitați-vă drepturile – §20 – Transferați-vă datele!

Exercitați-vă drepturile – §20 – Transferați-vă datele!

Aveți nevoie ca fișierele electronice de la vechea sală de sport sau clinică medicală să fie transferate la noua sală? Doriți să primiți o copie lizibilă a jurnalului de ritm cardiac de pe banda sau monitorul dumneavoastră de fitness?

GDPR poate facilita aceste sarcini prin introducerea unui drept la portabilitatea datelor. Dacă aceste scenarii vi se par similare cu schimbările recente de informații pe care le doriți sau de care aveți nevoie, citiți mai departe pentru a afla cum să vă exercitați dreptul de a vă transfera datele…

Ce este dreptul la portabilitatea datelor?

Dreptul la portabilitatea datelor este un nou drept introdus în cadrul GDPR. În calitate de persoană vizată, acesta vă permite să primiți, să procesați și să transferați datele dvs. personale în conformitate cu dorințele dvs. și să vă gestionați și să reutilizați dvs. datele personale.

Cu dreptul la portabilitate, puteți:

• să vă transferați datele cu caracter personal de la un operator la altul (de exemplu, schimbarea conturilor) fără alte bariere;
• să stocați datele dvs. personale de la un operator pe un dispozitiv privat pentru reutilizare proprie;
• să primiți o copie a datelor dvs. personale într-un format care să vă permită să le reutilizați cu ușurință.

Elementele tehnice ale transferului sau transmiterii datelor sunt responsabilitatea operatorului, nu a dumneavoastră. GDPR încurajează operatorii (adică societățile sau organizațiile care decid cum să stocheze, să colecteze și să utilizeze datele dumneavoastră) să implementeze mecanisme simple și interoperabile de transfer de date. De asemenea, le interzice vechilor operatori să impună bariere în calea transmiterii, cum ar fi perceperea de taxe persoanelor care fac cereri de transfer, și le interzice noilor operatori să utilizeze datele dvs. transferate în scopuri proprii.

• Pasul 1: Identificați unde să trimiteți cererea dvs.
• Pasul 2: Redactați cererea dvs.
• Pasul 3: Răspunsul controlorului
• Pasul 4: Ce se întâmplă dacă operatorul nu răspunde sau îmi refuză cererea?

Ce date cu caracter personal pot transfera?

Puteți transfera sau primi orice date cu caracter personal care:

• pe care le-ați furnizat operatorului căruia îi adresați cererea;
• utilizează consimțământul sau contractul ca bază pentru prelucrare (dacă nu cunoașteți baza pentru prelucrarea datelor dvs., puteți afla acest lucru prin depunerea unei cereri de acces);
• este prelucrată prin mijloace automatizate, adică nu este un fișier pe hârtie.

Noțiunea de “date pe care le-ați furnizat operatorului” nu se limitează la informațiile cu caracter personal pe care le furnizați în mod direct sau cu bună știință operatorului. Aceasta include, de asemenea, datele cu caracter personal generate de activitatea dumneavoastră. Exemple de generare prin activitate ar putea include istoricul căutărilor dvs. pe computer sau telefon, datele de localizare de la o aplicație de alergare sau datele despre ritmul dvs. cardiac colectate de un dispozitiv portabil. Cu toate acestea, pentru a putea fi transferate, aceste date nu pot fi, desigur, anonime: operatorul trebuie să poată face legătura cu dumneavoastră, de exemplu, prin intermediul unui nume sau număr de cont sau al unui număr de dispozitiv.

Când pot transfera datele mele personale?

Este posibil să nu puteți transfera sau primi datele dumneavoastră de la un operator în orice situație, în special dacă datele cu caracter personal în cauză nu corespund criteriilor de mai sus.

Pentru ca datele dvs. să fie transferate direct către un alt operator, RGPD specifică faptul că portabilitatea trebuie să fie “fezabilă din punct de vedere tehnic”. În cazul în care impedimentele tehnice interzic transmiterea directă, operatorul trebuie să vi le explice.

Cum interacționează un drept la portabilitatea datelor cu celelalte drepturi pe care le am în temeiul GDPR?

Pentru a confirma dacă exercitarea dreptului la portabilitate este cea mai potrivită pentru dumneavoastră, vă recomandăm să analizați mai întâi modul în care acesta interacționează cu alte drepturi prevăzute de GDPR.

Dreptul de acces completează dreptul dumneavoastră la portabilitate, permițându-vă să confirmați dacă operatorul poate efectiv să transfere sau să transmită datele pe care doriți să le transferați sau să le utilizați. Prin exercitarea dreptului dvs. de acces puteți confirma:

• în cazul în care datele dumneavoastră sunt prelucrate pe o bază care permite portabilitatea datelor;
• în cazul în care operatorul a păstrat datele în cauză, de exemplu, nu le-a șters din cauza expirării unei perioade legale de stocare;
• dacă operatorul prelucrează alte date cu caracter personal despre care nu știați și despre care nu știați, dar pe care acum doriți, de asemenea, să le transferați.

Transferul nu garantează ștergerea. Exercitarea dreptului dumneavoastră la portabilitatea datelor nu va activa automat dreptul dumneavoastră la ștergerea datelor. Acest lucru înseamnă că transferul datelor dvs. de la un operator la altul nu va garanta că primul operator le va șterge. Pentru a vă asigura că datele dvs. sunt șterse din sistemele unui operator, va trebui să vă exercitați dreptul la ștergere

Ca orice alt drept prevăzut de GDPR, dreptul la portabilitatea datelor nu vă împiedică să continuați să utilizați și să beneficiați de serviciile unui operator după ce i-ați adresat acestuia o cerere de portabilitate.

Cum îmi pot exercita dreptul la portabilitate?

Pasul 1: Identificați unde să trimiteți cererea dvs.

O cerere de transfer al datelor dumneavoastră trebuie adresată operatorului (organizația/entitatea/administrația/compania care prelucrează datele dumneavoastră).

O cerere de transfer poate fi făcută prin e-mail, scrisoare sau chiar prin fax, atâta timp cât lăsați o înregistrare scrisă a cererii. Puteți pur și simplu să trimiteți un e-mail (sau să adresați scrisoarea dumneavoastră) unei companii sau unui organism de stat care prelucrează datele cu caracter personal pe care doriți să le transferați unui alt operator sau să vi le transmită.

Adresa de e-mail relevantă poate fi găsită, de obicei, în secțiunea “Politica de confidențialitate” sau “Contactați-ne” de pe site-ul web al operatorului. Aceasta va avea, în general, un nume precum privacy@company.com sau legal@company.com. În cazul în care este dificil de găsit sau dacă nu există o adresă specifică la care să puteți trimite cererea dumneavoastră, aceasta este vina operatorului, nu a dumneavoastră – GDPR impune operatorilor să facă aceste informații ușor accesibile. În cazul în care nu există o adresă de e-mail specifică, puteți utiliza datele generale de contact ale operatorului.

Pasul 2: Redactați cererea dvs.

• Informați operatorul că solicitați transferul datelor dvs. și unde doriți ca acestea să fie transferate (de exemplu, primirea unei copii pe dispozitivul dvs. privat, primirea unei copii pentru reutilizare cu un alt furnizor sau transmiterea lor direct către un alt furnizor).
• Specificați numele dvs. sau un alt identificator utilizat de operator (de exemplu, un nume de utilizator al contului). Pentru a ajuta controlorul să răspundă mai eficient la solicitarea dvs., includeți câteva informații care ar putea ajuta la identificarea contului dvs., cum ar fi numărul dvs. de telefon (dacă l-ați furnizat atunci când v-ați înregistrat), numele de utilizator sau numele contului, sau adresa IP. Acest lucru va fi deosebit de util în cazul în care aveți un nume și un prenume comune.
• Includeți data în text dacă ați trimis cererea dvs. într-un atașament la e-mail sau într-o scrisoare. Acest lucru clarifică termenul limită al operatorului pentru furnizarea informațiilor.

Dacă preferați, puteți utiliza și instrumentele puse la dispoziție de mydatadoneright.eu. Sistemul lor va redacta și va trimite cererea de transfer în locul dvs.

Etapa 3: Răspunsul operatorului

Odată ce operatorul primește cererea dumneavoastră, acesta are la dispoziție o lună pentru a răspunde. Această perioadă poate fi prelungită o singură dată cu cel mult încă două luni, în cazul unor cereri complexe sau multiple.

Operatorul vă poate solicita informații suplimentare pentru a vă confirma identitatea în caz de îndoială. Cu toate acestea, o astfel de solicitare ar trebui să se limiteze la informațiile suplimentare necesare pentru a confirma cine sunteți. Informațiile suplimentare nu pot fi disproporționate, având în vedere contextul prelucrării datelor dumneavoastră (de exemplu, un magazin care vă cere o copie a pașaportului pentru a schimba adresa unui card de fidelitate ar fi disproporționat).

Operatorul va trebui să exploreze diferite opțiuni pentru a vă transfera datele, de exemplu, o transmitere directă a setului global de date portabile (sau a mai multor extrase din părți ale setului global de date) sau un instrument automatizat care să permită extragerea datelor relevante. GDPR impune operatorilor de date obligația de a furniza datele cu caracter personal solicitate de către persoana fizică într-un format care să permită reutilizarea.

Într-un răspuns la o cerere de transfer, operatorul trebuie să vă furnizeze dumneavoastră sau celuilalt operator datele dumneavoastră într-un format structurat, utilizat în mod obișnuit și care poate fi citit automat. Acest lucru înseamnă că datele trebuie să fie organizate și structurate într-un format pe care îl puteți citi, precum și într-un format utilizat pe scară largă care poate fi citit și prelucrat automat de un computer. De asemenea, este responsabilitatea operatorului să se asigure că datele dumneavoastră sunt trimise în siguranță și la destinația corectă.

În cazul în care solicitați un transfer direct al datelor dvs. către un alt furnizor, operatorul poate refuza dacă demonstrează că un astfel de transfer nu este fezabil din punct de vedere tehnic și explică motivele.

Pasul 4: Ce se întâmplă dacă operatorul nu răspunde sau îmi refuză cererea?

În cazul în care controlerul:

• respinge cererea dumneavoastră fără o explicație satisfăcătoare,
• încearcă să vă taxeze în mod nejustificat pentru cererea dumneavoastră,
• nu răspunde după o lună (sau după o perioadă extinsă de maximum 3 luni),

aveți dreptul de a depune o plângere la o autoritate de protecție a datelor (de exemplu, APD din țara în care locuiți sau lucrați), iar operatorul ar trebui să vă informeze în acest sens.

Dacă aveți nevoie de asistență pentru a evalua elementele juridice ale răspunsului unui operator, ne puteți contacta la contact@ue.legal pentru a discuta despre pașii următori.