Data de 25 mai 2018 va genera multiple schimbari importante in legislatia privind protectia datelor personale in Europa, data la care intra in vigoare Regulamentul (UE) 679/2016. Acesta este foarte popular in randul oamenilor de afaceri drept Regulamentul General privind Protectia Datelor Personale.
GDPR ( General Data Protection Regulation) a fost adoptat de Parlamentul European in aprilie 2016, acesta urmand sa intre in vigoare in mod direct, fara nicio formalitate, in toate statele Uniunii Europene.
Cine trebuie sa respecte GDPR?
Majoritatea companiilor proceseaza date cu caracter personal intr-o forma sau alta. Datele angajatilor, ale clientilor in scopuri de marketing sau anumite date importante ale unor clienti ( date de sanatate cazier fiscal sau judiciar etc.), toate acestea fac ca firma sa fie nevoita sa se adapteze normelor impuse de GDPR.
Trebuie sa mentionam faptul ca GDPR se aplica atat la nivelul firmelor de pe teritoriul UE, cat si firmelor din celelalte state in conditiile in care acestea prelucreaza datele unor persoane de pe teritoriul UE.
Care sunt principalele obligatii impuse de GDPR?
GDPR pastreaza foarte multe dintre obligatiile deja existente in legislatia europeana, dar acesta aduce in plus o multime de alte conditii, astfel incat este aproape imposibil ca o firma sa nu fie nevoita sa faca diferite modificari pentru a se conforma.
GDPR aduce o serie de modificari dintre care se disting:
- Reguli noi privind consimtamantul
Incepand cu 25 mai, consimtamantul pentru prelucrarea datelor va fi supus unui regim mult mai restrictiv. Orice solicitare a acordului trebuie sa fie realizata intr-o forma intangibila si usor accesibila. Limbajul utilizat trebuie sa fie clar si simplu. Daca sunt incluse mai multe aspecte, solicitarea acordului trebuie sa fie clara, diferentiate de celelalte aspecte, iar retragerea consimtamantului trebuie sa poata fi facuta la fel de simplu cum a fost dat. Conditionarea consimtamantului nu este admisa.
- DPO, noua functie la mare cautare
Din momentul intrarii in vigoare a GDPR, institutiile publice, dar si companiile care prelucreaza date pe scara larga sau categorii speciale de date sau date ce fac referire la condamnarile penale si infractiuni, vor fi obligate sa isi angajeze un responsabil cu protectia datelor personale ( DPO – Data Protection Officer).
- Transparenta
Potrivit GDPR, firmele trebuie sa ofere o transparenta mult mai extinsa despre cine este responsabilul cu protectia datelor, temeiul prelucrarii, perioada de mentinere a datelor etc. In acest fel persoanelor a caror date vor fi prelucrare, vor sti in permanenta cum, cat si unde vor fi folosite datele colectate de la ei.
- Set de drepturi noi pentru persoana vizata
Portabilitatea datelor este unul dintre drepturile noi pe care persoanele vizate le vor avea ca urmare a intrarii in vigoare a GDPR. Persoanele vor avea dreptul sa primeasca ( direct sau prin intermediul unui alt operator indicat) datele lor intr-un format structurat, utilizat in mod curent si care poate fi citit automat.
- Amenzi
Orice nerespecatare a GDPR atrage sanctiuni, inclusiv amenzi de 4% din cifra de afaceri globala. In cazurile in care persoanele vizate au suferit vreun prejudiciu, acestea pot obtine despagubiri care sa acopere valoarea acestor prejudicii, iar drepturile lor pot fi reprezentate inclusiv de organisme colective.
Pentru o intelegere mult mai buna a GDPR am extras urmatoarele informatii pe care ori firma trebuie sa le respecte incepand cu 25 mai 2018.
Relatia Operator-Imputernicit
Operatorul reprezinta entitatea care stabileste scopul si mijloacele prelucrarii datelor.
Imputernicitul este entitatea care prelucreaza datele in numele operatorului.
Operatorul stabileste scopul si mijloacele prelucrarii, este obligat sa contracteze doar imputernicitii care au garantii de confidentialitate si securitate. Acesta se supune obligatiilor impuse de regulament.
Intre operator si imputernicit nu este un raport de munca, intre cei doi existand doar o relatie contractuala externalizata (agentii de marketing, contabili, avocati etc.)
Imputernicitul are acces la datele personale ale operatorului, dar le prelucreaza doar in numele si conform instructiunilor acestuia, subordonandu-se si fiind obligat sa nu se abata de la instructiuni. Imputernicitul are obligatia de a se asigura de securitate, a nu contracta un alt subimputernicit fara acordul operatorului si de a raporta un incident de securitate.
Principiile de prelucrare a datelor
- Echitate, transparenta si legalitate
Totate datele sunt prelucrate in mod legal, echitabil si transparent fata de persoana vizata.
- Limitare la scop
Datele solicitate sunt colectate in scopuri determinate, explicite si legitime. Nu este permisa prelucrarea ulterioara a acestora intr-un mod incompatibil cu aceste scopuri.
- Solicitarea unui minim de date
Datele solicitate trebuie sa fie reduse la minim. Se vor solicita doar acele date necesare prelucrari in vederea atingerii obiectivelor.
- Actualizare
Datele colectate sunt exacte si se impune o actualizare a lor pentru o relevanta si mai mare.
- Durata de stocare
Datele nu trebuie pastrate mai mult decat este necesar.
- Confidentialitate si securitate
Toate datele colectate vor fi prelucrate intr-un mod ce ofera un nivel de securitate adecvat.
Prelucrarea datelor este legala in urmatoarele cazuri:
– incheierea sau executarea unui contact;
– persoana vizata si-a dat acordul;
– indeplinirea unei obligatiuni legale;
– atingerea intereselor legitime urmarite de operator sau de tert;
– indeplinirea unor sarcini care servesc unui interes public;
– protejarea intereselor vitale ale persoanei in cauza sau ale altei persoane fizice.
Datele pe care o firma le colecteaza trebuie sa se afle sub unul dintre temeiurile anterior mentionate.
Trebuie mentionat faptul ca prelucrarea datelor in alt scop fata de cel prezentat persoanei vizate este o actiune sanctionabila.
Consimtamantul persoanelor de la care colectati date trebuie sa fie:
- O alegere reala;
- Specific pentru fiecare scop in parte;
- Foarte bine informat asupra tuturor detaliilor prelucrarii;
- Clar si lipsit de ambiguitate;
- Tacerea, inactiunea sau casutele pre-bifate nu reprezinta un consimtamant;
- Retragerea consimtamantului poate fi facuta oricand si la fel de simplu ca acordarea lui;
- Operatorul trebuie sa poata face dovada ca a obtinut un consimtamant valabil;
- Obtinerea consimtamantului se face doar daca persoanei ii sunt furnizate intr-un limba simplu si clar: identitatea operatorului, scopurile prelucrarii, tipurile de date colectate, existenta dreptului de retragere si, daca este cazul, informatii despre profilare si decizii automate.
Pentru copii de 16 ani consimtamantul trebuie dat de un reprezentat legal (de obicei parintele).
Operatorul este obligat sa obtina consimtamantul din partea persoanelor de la care a colectat datele in urmatoarele situatii:
– cookies;
– marketing prin mijloacele electronice;
– date sensibile;
– decizii automate.
Indiferent de temeiul prelucrarii datelor, persoanele trebuie sa cunoasca toate informatiile despre operator si imputernicit, dar si despre scopul in care datele lor vor fi prelucrate.
Orice persoana are dreptul :
– sa fie informata cu privire la toate aspectele enumerate anterior;
– de acees la propriile date si poate solicita indormatii despre modul in care acestea sunt prelucrate;
– la rectificare a datelor;
– de stergere a datelor;
– la restrictionarea prelucrarii;
– de a nu fi supusa unei decizii automate cu efect semnificativ;
– de a se opune in orice moment la prelucrarea datelor cu caracter personal;
– la portabilitatea datelor;
– de a-si retrage consimtamantul acordat in orice moment in mod gratuit.
Operatorul este responsabil de stabilirea politicilor tehnice si organizationale care sa asigure respectarea GDPR cat si respectarea drepturilor persoanelor vizate. Acesta se angajeaza sa pastreze securitatea si confidentialitatea datelor, oferind informatii complete persoanelor vizate cu privire la datele colectate.
Orice nerespectare a GDPR se sanctioneaza conform regulamentului.
Vrem sa stim parerea ta