Printre cele mai importante drepturi acordate cetatenilor sunt reglementate:
1. Dreptul de a obtine raspuns de la operatori privind informatiile ce le sunt prelucrate
Sfera informatiilor este una extinsa si cuprinde "orice informatie referitoare la o persoana vie, identificata sau identificabila``. Orice persoana fizica se poate adresa operatorului, solicitand ca acesta sa ii comunice, in concret, ce informatii ii sunt prelucrate. Acest drept se regaseste sub o formula incompleta si in Legea nr. 677/2001, lege care constituie cadrul juridic actual, insa de la 25 mai 2018 regulile sunt mai bine definite. Persoanele fizice au dreptul la raspuns in termen de o luna de la inaintarea solicitarii si de maxim doua luni in situatia in care raspunsul necesita demersuri speciale.
Aducem precizarea ca acest drept al persoanei fizice nu presupune costuri sau o alta conditionare. Gratuitatea insa vizeaza un numar rezonabil de solicitari. De exemplu, daca aceeasi persoana fizica transmite in decurs de cateva luni mai multe solicitari catre acelasi operator se poate considera ca aceasta este o practica sicanatoare si gratuitatea nu se mai justifica deoarece operatorul depune diligente considerabile pentru a raspunde, de fiecare data, solicitarilor.
2. Dreptul de a se opune prelucrarii de date cu caracter personal
Regulamentul privind datele cu caracter personal statueaza ca datele pot fi prelucrate daca exista consimtamantul persoanei in acest sens. In lipsa consimtamantului, operatorul poate invoca si indeplinirea unei obligatii contractuale sau interesul legitim. Insa profilarea automata nu mai poate avea loc in lipsa consimtamantului expres al persoanei fizice ale carei date sunt prelucrate. Cu alte cuvinte, daca, spre exemplu, la instalarea unei aplicatii pe telefon este solicitat accesul la toate informatiile de pe telefonul persoanei (inclusiv poze/date de contact) este necesara obtinerea consimtamantului expres al respectivei persoane . Diferenta esentiala rezida in faptul ca termenii si conditiile standard precum ``daca veti continua inseamna ca sunteti de acord cu prelucrarea datelor dvs`` sau "casutele prebifate" nu vor mai constitui veritabile cazuri de acordare a consimtamantului.
Este de retinut faptul ca persoana fizica trebuie sa isi manifeste consimtamantul in mod liber, concret, informat si neechivoc. Acest lucru inseamna ca, in cazul expus mai sus, consimtamantul persoanei nu este unul liber daca descarcarea aplicatiei pe telefon este conditionata de accesul la toate datele sale, avand in vedere ca refuzul persoanei este de natura sa o prejudicieze prin nepermiterea descarcarii aplicatiei. Chiar si in prezent, daca persoanele refuza sa ofere acces la toate datele lor cu caracter personal ele nu pot descarca diverse programe .
De la 25 mai 2018 operatorul va fi cel care va trebui sa justifice temeiul pentru care, in vederea descarcarii aplicatiilor, el are nevoie de acces la pozele clientilor sai si va fi sanctionat drastic daca esueaza in a proba acest temei.
Persoanelor fizice trebuie sa li se aduca la cunostinta, inainte de a li se procesa datele pentru prima data, in mod complet si transparent, ca au dreptul de a se opune prelucrarii, iar o metoda efectiva trebuie sa fie pusa la indemna acestora. Regula se aplica in special operatorilor care activeaza in mediul online.
In situatia in care cetateanul considera ca datele sale nu au fost prelucrate in mod legal, acesta are trei optiuni:
- formularea unei plangeri catre ANSPDCP (autoritatea competenta in Romania);
- promovarea unei actiuni in instanta impotriva operatorului (actiune care nu impiedica, per se, depunerea, in paralel, a unei plangeri si la ANSPDCP); sau
- chemarea in judecata a ANSPDCP (in cazul in care nu i-a fost solutionata plangerea impotriva operatorului sau cetateanul nu este multumit de raspunsul primit).
3. Dreptul de a obtine informatii complete
Chiar daca acest drept este consacrat si in legislatia actuala, GDPR este explicit in a detalia ce tipuri de informatii trebuie furnizate persoanelor fizice, intr-un mod clar si in limbaj accesibil, respectiv:
- perioada pentru care sunt stocate datele si criteriile in baza carora s-a stabilit aceasta perioada;
- dreptul persoanei de a-si retrage consimamantul in orice moment;
- dreptul de a se opune la prelucrarea datelor;
- dreptul la rectificare;
- dreptul la stergerea datelor;
- dreptul la restrictionarea datelor;
- dreptul la portabilitatea datelor;
- dreptul de a depune plangere la autoritatea competenta;
- dreptul de a fi informat daca exista un proces automat de profilare si de a i se solicita acordul expres.
La capitolul vizand informarea daca exista un proces automat de profilare, orientarile Comisiei Europene sunt foarte clare in privinta optiunilor pe care le are cetateanul. Acesta poate solicita ca deciziile bazate pe procesarea automata privind datele sale sa fie fie luate de catre persoane, nu doar de catre calculatoare/soft-uri. De asemenea, este acceptat ca cetateanul sa beneficieze de dreptul de a-si expune punctul de vedere si sa conteste deciziile in cauza.
Informarea cetateanului de catre operator comporta si o alta componenta. Aceasta este obligatorie daca operatorul a suferit o bresa de securitate, iar scurgerea de informatii este de natura sa prezinte risc pentru drepturile si libertatile cetateanului.