ANSPDCP începe să-și facă simțită prezența: recomandă bune practici care pot simplifica modalitățile în care puteți fi informați cu privire la prelucrarea datelor cu caracter personal
La data de 14.02.2019, dl. Cristian Obreja, managerul firmei de consultanță BHR Consulting, specializată în consultanță GDPR, a solicitat ANSPDCP un punct de vedere referitor la modul în care operatorii (firme, cabinete medicale etc.) pot optimiza modalitatea de informare a persoanelor cărora le prelucrează datele cu caracter personal, în aplicarea prevederilor art. 12 alin. 1 din GDPR.
Subiectul invocat a fost apariția repetată a unor nemulțumiri în rândul clienților/pacienților datorate modalității de lucru adoptată de majoritatea operatorilor, și anume utilizarea unei note de informare listate, care trebuie semnată de persoana vizată. Această abordare a creat o nouă problemă și operatorilor, care sunt puși în situația de a găsi soluții pentru depozitarea/arhivarea unui volum important de astfel de formulare specifice, în condițiile în care a trecut mai puțin de un an de la intrarea în vigoare a GDPR.
Concret, pentru a se proteja cât mai bine din punct de vedere juridic, operatorii au adoptat o conduită asemănătoare celei impuse de GDPR în cazul Consimțământului (art. 7 alin. 1 din GDPR), în sensul că au optat pentru folosirea unui document scris numit Notă de Informare, pe care fiecare persoană trebuie să îl semneze în momentul în care i se colectează datele cu caracter personal în mod direct.
Din cazuistica situațiilor în care firma de consultanță BHR Consulting, îndeplinește rolul de DPO extern, a rezultat că, cel puțin în cazul spitalelor, cabinetelor medicale și laboratoarelor de analize medicale, o astfel de practică este considerată ca fiind nepotrivită de către pacienți, pentru că trebuie să studieze și să semneze un document de 3-4 pagini, în condițiile în care sunt preocupați de rezolvarea cât mai rapidă a problemelor de sănătate. De asemenea, unii dintre acești operatori au deja probleme cu spațiul de arhivare/depozitare, întrucât din totalul documentelor GDPR semnate de clienți/pacienți, notele de informare reprezintă aproximativ 80% din volum.
În acest context, dl. Cristian Obreja a solicitat ANSPDCP să exprime un punct de vedere care să conducă la crearea unei bune practici în problematica modalităților de informare a persoanelor vizate (în aplicarea prevederilor art.12 din RDPD) și anume, dacă practica utilizării notelor de informare listate ar putea fi înlocuită de utilizarea unei Informări privind prelucrarea datelor cu caracter personal, care să fie afișată la avizier (ex. în sala de așteptare a cabinetului medical) sau postată pe site-ul operatorului (dacă acesta deține un site web).
În răspunsul primit de la ANSPDCP la data de 11.03.2019, semnat de d-na Alina Săvoiu, șef al Biroului juridic și comunicare, autoritatea națională a comunicat că ”... Regulamentul nu impune o anumită modalitate de informare a persoanelor vizate și lasă la latitudinea operatorilor alegerea unor modalități eficiente de efectuare a informării – postare pe site, la avizier, în scris etc.”
În aceste condiții, răspunsul ANSPDCP deschide calea spre o nouă abordare, care permite operatorilor simplificarea procedurilor de realizare a informării persoanelor fizice cu privire la prelucrarea datelor cu caracter personal, prin utilizarea în principal a două instrumente: avizierul și/sau site-ul. Precizăm că trebuie acordată atenție aplicării corecte a prevederilor art. 12 alin. 2 din GDPR.
Aici puteți citi cererea trimisă către autoritatea națională și răspunsul primit de la ANSPDCP.