Cum să te plângi Autorității pentru Protecția Datelor când drepturile tale au fost încălcate

Determinarea legilor relevante și a Autorității pentru Protecția Datelor

Mai întâi, trebuie să determini încălcarea efectivă, dacă aceasta este o încălcare în conformitate cu legile relevante privind protecția datelor și, dacă da, care este autoritatea de protecție a datelor căreia să îi prezinți plângerea.

Stabilește încălcarea

Presupui că cineva ți-a încălcat drepturile privind confidențialitatea datelor. Trebuie să poți descrie ce s-a întâmplat pentru a determina care este încălcarea.

De exemplu:

• dacă a avut loc o scurgere de date,
• dacă datele tale au fost vândute unor terțe părți fără consimțământul tău,
• dacă cererea ta privind datele personale nu a fost răspunsă,
• dacă datele tale au fost transferate într-o altă țară fără un temei legal,
• dacă datele tale au fost colectate fără consimțământul tău sau un alt temei legal, etc.

După ce știi ce s-a întâmplat, trebuie să determini dacă există o lege aplicabilă care te protejează de acțiunile afacerii online.

Dacă nu ești sigur că drepturile tale au fost încălcate, poți investiga aceasta prin depunerea unei cereri privind datele personale.

Dacă bănuiești că datele tale au fost colectate și procesate fără consimțământul tău sau pe un alt temei legal, depune o cerere de informare sau o cerere de obiecție la procesare.

Dacă te temi că datele tale au fost transferate într-o țară fără standarde adecvate de protecție a datelor, o cerere de informare îți va furniza informațiile de care ai nevoie.

Dacă responsabilul cu protecția datelor nu răspunde, atunci ceva s-ar putea să nu fie în regulă aici. Pe lângă asta, faptul că nu răspunde la o cerere este o încălcare.

Stabilește legile aplicabile

Legile privind protecția datelor se aplică în general relației dintre utilizator și afacere. Aceasta înseamnă că în fiecare relație, se aplică cel puțin două reguli – una de unde este utilizatorul și una de unde este compania.

În practică, dacă un utilizator de internet din Franța interacționează online cu o afacere din Marea Britanie, se aplică atât legea franceză, cât și cea britanică, ambele aliniate cu GDPR din UE.

Sursă: Comisia Europeană

Dacă un utilizator din California interacționează cu o afacere canadiană din Montreal, se aplică legile statului și federale ale ambelor țări. Deoarece SUA nu are o lege națională privind confidențialitatea datelor, se va aplica legea din California, legea din Quebec și legea federală canadiană.

Sursă: Departamentul de Justiție al Statului California

Dacă un utilizator indian interacționează cu o afacere indiană, atunci se aplică doar legea indiană. Cu toate acestea, la momentul scrierii, nu există încă o lege cuprinzătoare privind protecția datelor în India, așa că, probabil, utilizatorul nu beneficiază de drepturi asupra datelor ca în alte țări.

Deci, următoarele două legi se aplică relației tale cu afacerea care ar fi putut să îți încalce drepturile:

• Legea de protecție a datelor din țara în care ești cetățean sau rezident, dacă există, și
• Legea de protecție a datelor din țara în care afacerea este înregistrată, dacă există.

Stabilește Autoritatea de Protecție a Datelor relevanta

Fiecare lege de protecție a datelor este pusă în aplicare de o autoritate de protecție a datelor.

Cele care sunt relevante pentru cazul tău depind de legile aplicabile.

În cazul unui utilizator francez și al unei afaceri britanice, utilizatorul francez se poate plânge la CNIL (autoritatea franceză de protecție a datelor) sau la ICO (autoritatea britanică de protecție a datelor).

În cazul utilizatorului din California și al afacerilor din Quebec și Canada, utilizatorul poate depune o plângere autorităților din Canada. Dacă se aplică CCPA (Actul Californian de Protecție a Consumatorilor), opțiunile de plângere sunt foarte limitate.

Pentru utilizatorii din afara Californiei, practic nu există nicio protecție în Statele Unite.

Utilizatorul din India, a cărui confidențialitate a fost încălcată de o afacere indiană, nu poate face prea multe în acest moment, deoarece legea actuală oferă o protecție insuficientă pentru datele personale.

Ia măsuri pentru a remedia încălcarea

Acum știi că datele tale personale au fost folosite abuziv sau că drepturile tale legate de datele personale au fost încălcate. E momentul să te protejezi.

În acest stadiu, ai la dispoziție mai multe opțiuni:

• Solicită responsabilului cu prelucrarea datelor să remedieze încălcarea. Dacă nu vrei să pierzi mult timp cu discuții înainte și înapoi pentru o încălcare minoră, poți trimite un e-mail responsabilului, făcându-l conștient de încălcare și solicitându-i să își îmbunătățească comportamentul.
  Aceasta poate fi soluția potrivită când încălcarea este minoră. Nu există consecințe semnificative pentru tine, așa că nu merită să te complici cu depunerea de plângeri la autorități.

  De exemplu, dacă responsabilul te sună la telefon pentru a-ți oferi produse fără consimțământul tău, poți sublinia că nu ai dat acest consimțământ și că ar trebui să înceteze să te mai sune. Dacă se conformează, atunci ai remediat încălcarea fără prea mult efort.

• Trimite o solicitare privind drepturile persoanei vizate. Uneori, o simplă cerere poate contribui la protejarea ta.
  Aceasta nu va corecta ce a făcut greșit responsabilul cu datele, dar poate schimba modul în care se comportă cu tine în viitor.

  Dacă GDPR sau o lege similară se aplică în cazul tău sau al afacerii, iată ce poți cere:

  • Cerere de obiecție. Prin aceasta, poți solicita îmbunătățirea sau încetarea procesării datelor de către responsabil și procesorii săi.
    Dacă te opui folosirii numărului tău de telefon, atunci responsabilul nu mai poate să te sune. Dacă a colectat numărul tău pentru alt motiv decât a te suna (de exemplu, pentru verificarea identității), este tot o încălcare a drepturilor tale. Cu toate acestea, solicitarea privind drepturile persoanei vizate te poate ajuta să previi procesări ulterioare ale datelor.
  • Cerere de ștergere. Poți cere responsabilului să șteargă toate datele pe care le deține despre tine. Dacă nu le mai are, nu le poate mai procesa.
• Depune o plângere la autoritatea relevantă de protecție a datelor. Depunerea unei plângeri este mereu o opțiune atunci când drepturile tale sunt încălcate. Ai dreptul să faci acest lucru chiar dacă ai cerut responsabilului să remedieze încălcarea, iar acesta a făcut-o.
  Poți depune o plângere și, în același timp, trimite o cerere de obiecție sau ștergere, solicitând responsabilului să înceteze încălcarea, dacă aceasta este o soluție adecvată în situația ta.

  Sursă: Comisia Europeană

  Plângerile au fost create pentru utilizatorii de internet (sau orice alți utilizatori) pentru a fi folosite împotriva afacerilor care nu respectă legile privind confidențialitatea datelor și încalcă drepturile utilizatorilor. Prin urmare, nu ezita să depui una ori de câte ori consideri că drepturile tale au fost încălcate.

Cum să depui o plângere la Autoritatea de Protecție a Datelor?

Presupunem că, la acest moment, ești conștient de încălcarea drepturilor și cunoști legile aplicabile și autoritățile relevante de protecție a datelor (APD). E timpul să îți depui plângerea.

Accesează site-ul APD relevante. Fiecare site al unei APD are o secțiune cu informații pentru depunerea plângerilor. Dacă nu, poți lua legătura cu ei prin pagina de contact, email, telefon sau orice alt mijloc disponibil.

În general, APD primește plângeri în multe forme și prin diferite metode.

În majoritatea cazurilor, vei găsi o metodă de a depune plângerea direct pe site-ul lor. Poți vedea un exemplu la ICO din Marea Britanie, iar aici poți vedea cum CNIL gestionează plângerile în Franța. A depune una este cât se poate de simplu.

Dacă site-ul APD tale nu oferă o metodă de a depune o plângere, ca în cazul ICO din UK și CNIL din Franța, trimite o plângere prin poștă, email sau telefon. Chiar dacă faci unele greșeli în această etapă, în cel mai rău caz, cineva de la APD te va contacta și te va ghida prin procesul corect.

Completează plângerea. Formularele de plângere disponibile online îți vor cere toate informațiile de care APD are nevoie pentru a investiga cazul. Completează fiecare câmp după cunoștințele tale și apasă butonul TRIMITE.

Dacă nu există un formular, poți scrie o plângere fără să urmezi un anumit format. Ar trebui să includă cel puțin următoarele:

• Numele tău și detaliile de contact
• Detalii despre persoana care a încălcat drepturile, și
• Descrierea încălcării.

Dacă APD are nevoie de mai multe detalii, te vor contacta cu întrebări suplimentare.

După ce depui plângerea, trebuie să aștepți.

Sursa: GDPR-Info.eu – Art. 77 GDPR

Investigația. Când APD primește plângerea ta, va începe investigația.

După cum am menționat mai sus, s-ar putea să te contacteze pentru informații suplimentare.

APD va investiga cazul și îți va comunica orice descoperire care poate fi împărtășită fără a afecta investigația. Nimeni nu poate prezice cât timp va dura. Fiecare caz are specificul său care determină complexitatea și, ca urmare, durata investigației. Deci, ai nevoie de răbdare în această fază.

Această investigație nu este ca o investigație polițienească. Persoanele din APD sunt doar funcționari guvernamentali obișnuiți care se vor uita peste cazul tău și vor lua o decizie. Experiența poate fi comparată cu o interacțiune cu autoritățile fiscale sau cu organismele de protecție a consumatorilor.

Rezultatul investigației. Când investigația se încheie, există mai multe rezultate posibile:

• Cazul este respins. Dacă APD consideră că nu ai drepturi de confidențialitate a datelor sau nu sunt autoritatea relevantă pentru acel caz, îl vor respinge. Nu poți face prea multe în această situație. Poate ar trebui să te gândești să depui o plângere la APD-ul relevant.
• Consideră că nu există încălcări. Dacă probele nu demonstrează că responsabilul cu prelucrarea datelor a încălcat legea și drepturile tale, APD nu va acționa împotriva acestuia. Dacă nu există încălcări, aceștia sunt liberi.
• Descoperă o încălcare. În acest caz, APD va da o amendă. Suma amenzii GDPR depinde de încălcare, venitul brut anual al responsabilului și alți factori care ajută APD să determine pedeapsa reală.
  În cazul încălcărilor minore, și dacă legea permite, APD poate da un avertisment, un ordin de încetare sau o altă măsură pentru a remedia efectele încălcării. Cu toate acestea, aceste măsuri sunt rare. În majoritatea cazurilor, responsabilii vor fi amendați.

În Rezumat

Ca să punem totul într-un nutshell, dacă crezi că drepturile tale privind confidențialitatea datelor au fost încălcate, poți depune o plângere la autoritatea de protecție a datelor corespunzătoare.

În primul rând, trebuie să determini ce s-a încălcat, cine este responsabilul și ce legi sunt aplicabile în situația ta.

Apoi, ar trebui să te adresezi APD-ului, să depui plângerea, să cooperezi și să aștepți decizia. Între timp, poți comunica direct cu cel care a încălcat regula pentru a remedia situația. Poate că vor coopera, până la urmă.

În tot acest proces, este foarte important să ții minte că depinde de tine să iei măsuri pentru a-ți proteja drepturile de confidențialitate a datelor. Nu aștepta ca autoritățile să forțeze fiecare afacere să respecte legile. Asta nu se va întâmpla niciodată.

Chiar și cele mai proactive APD-uri din lume au resurse limitate pentru a acționa împotriva fiecărei afaceri care nu respectă reglementările.

Dar tu ești înarmat cu oportunități de a acționa. Și ar trebui să te implici de fiecare dată când descoperi că drepturile tale privind confidențialitatea datelor au fost încălcate.