Despre GDPR există deja multe referințe în spațiul virtual și nu numai. Pentru a vă facilita însă o înțelegere mai profundă a acestui fenomen, vă oferim o sinteză a principalelor aspecte cu privire la GDPR.
Conținut
1. Ce este Regulamentul General privind Protecția Datelor (GDPR)?
GDPR înlocuiește Directiva privind protecția datelor – este obligatoriu în întregul său și aplicabil direct în toate Statele Membre și în spațiul economic European (EAA). Regulamentul stabileşte normele referitoare la protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal, precum şi normele referitoare la libera circulaţie a datelor cu caracter personal.
2. Care sunt definițiile cheie de care trebuie să se țină cont?
„Prelucrarea datelor cu caracter personal” reprezintă orice operaţiune sau set de operaţiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziţie în orice alt mod, alinierea sau combinarea, restricţionarea, ştergerea sau distrugerea.
Definiția „Datelor personale” este neschimbată în raport cu Directiva, și reprezintă orice informaţie privind o persoană fizică identificată sau identificabilă („persoana vizată”).
O persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identităţii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.
„Operator de date” – poate fi o persoană fizică sau o persoană juridică, care decide asupra naturii și limitelor prelucrării de date.
„O persoană împuternicită de operator” – respectiv o persoană care prelucrează date în numele operatorului. Definițiile depind de rolul pe care îl are persoana interesată în prelucrarea datelor. Aceste persoane interesate sunt importante datorită faptului că responsabilitățile și obligațiile sunt diferite în funcție de scop.
Regulamentul face trimitere și la așa numitele „Categorii speciale de date personale” : originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenenţa la sindicate şi prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viaţa sexuală sau orientarea sexuală ale unei persoane fizice.
3. În ce temei poate o Persoană Interesată să prelucreze legal date personale?
Temeiul legal pentru prelucrarea datelor personale este art.6 din Regulament:
- persoana vizată şi-a dat consimţământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;
- prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract;
- prelucrarea este necesară în vederea îndeplinirii unei obligaţii legale care îi revine operatorului;
- prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;
- prelucrarea este necesară pentru îndeplinirea unei sarcini care serveşte unui interes public sau care rezultă din exercitarea autorităţii publice cu care este învestit operatorul;
- prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terţă, cu excepţia cazului în care prevalează interesele sau drepturile şi libertăţile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil.
Persoanele Vizate trebuie notificate cu privire la temeiul legal și cu privire la scopul prelucrării. „Datele personale” pot fi stocate doar pe o perioadă determinată.
4. Cum poate o Persoană Interesată (operatorul de date sau persoana împuternicită) să garanteze drepturile persoanelor vizate?
- Persoana Interesată trebuie să furnizeze către persoanele vizate informații clare pentru a facilita exercitarea drepturilor.
- Persoanele Interesate trebuie să notifice persoanele vizate, cu privire la scopul prelucrării datelor lor.
- Persoanele Interesate trebuie să sprijine accesul la datele personale a persoanelor vizate. Să emită rectificarea datelor incorecte sau incomplete și să șteargă datele la cererea acestora.
- Persoanele Interesate ar trebui să se abțină de la prelucrarea datelor cu caracter personal în anumite situații cum ar fi, de exemplu, când persoana vizată contestă corectitudinea datelor sau se opune prelucrării etc.
5. Program de management al confidențialității
- Persoanele Interesate trebuie să numească un responsabil cu protecția datelor în următoarele situații:
- când prelucrarea este efectuată de o autoritate sau un organism public (cu excepția instanțelor de judecată)
- activitatea principală constă în monitorizarea periodică și sistematică, pe scară largă, a persoanelor vizate
- activitatea principală constă în prelucrarea pe scară largă a unor categorii speciale de date
- În alte cazuri decât cele menţionate anterior, operatorul sau persoana împuternicită de operator ori asociaţiile şi alte organisme care reprezintă categorii de operatori sau de persoane împuternicite de operatori pot desemna sau, acolo unde dreptul Uniunii sau dreptul intern solicită acest lucru, desemnează un responsabil cu protecţia datelor.
- Părțile Interesate care sunt operatori de date ar trebui să interprindă o evaluare a riscurilor, înainte de prelucrarea datelor, iar pentru riscuri ridicate să întreprindă o evaluare de impact și să consulte Autoritatea de Supraveghere.
- Părțile interesate trebui să aibă politici adecvate și măsuri tehnice și organizatorice pentru a garanta şi a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu regulamentul.
- Fiecare operator şi, după caz, reprezentantul acestuia păstrează o evidenţă a activităţilor de prelucrare desfăşurate sub responsabilitatea lor sau în numele operatorului, conform art.30 alin.1 și 2 din Regulament. Evidențele menționate sunt obligatorii în cazul întreprinderilor sau organizațiilor cu peste 250 de angajați, sau în celelalte cazuri, atunci când prelucrarea este susceptibilă să genereze un risc pentru drepturile și libertățile persoanelor vizate, când prelucrarea nu este ocazională sau când include categorii speciale de date.
- Este prevăzută cerința de notificare a încălcărilor care incumbă părților interesate fie că sunt operatori de date, fie că sunt persoane împuternicite de operatori.
6. Încălcările intenționate sau din neglijență a GDPR – la ce trebuie să fie atente părtile interesate?
- La amenzi administrative; pragurile de amenzi pentru încălcarea GDPR sunt între 10.000.000 EUR sau 2% din cifra de afaceri din anul financiar anterior, pe deoparte și 20.000.000 EUR sau 4% din cifra de afaceri în funcție de caracterul încălcării.
- Părțile interesate pot fi supuse legii penale în funcție de legislația statului membru.
- Orice conduită neconformă poate fi analizată și adusă în atenția publicului de către alte agenții atunci când adoptarea unui sistem adecvat sau a unui control privind protecția datelor nu au fost realizate.
- GDPR sprijină acțiunile coordonate de către Autoritățile de Supraveghere. Părțile interesate trebuie să-și revizuiască întreaga paletă de activități pentru a se asigura că au reguli în materia securității informatice.