Introducere

În era digitală, protecția datelor cu caracter personal a devenit un aspect esențial pentru individ și organizații. Regulamentul General privind Protecția Datelor (GDPR) a fost introdus în mai 2018 pentru a consolida și standardiza protecția datelor în Uniunea Europeană. De la implementarea sa, GDPR a generat numeroase întrebări și preocupări din partea companiilor și persoanelor fizice. Acest articol are scopul de a aborda cele mai frecvente întrebări referitoare la GDPR și de a oferi răspunsuri și orientări clare în legătură cu cerințele și responsabilitățile pe care le implică acest regulament.

Întrebări generale:

1. Ce este GDPR?

GDPR (General Data Protection Regulation) este un set de reguli și reglementări adoptate de Uniunea Europeană (UE) în 2016 și aplicate începând cu 25 mai 2018. Scopul acestui regulament este de a proteja drepturile și libertățile fundamentale ale persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și de a asigura libera circulație a acestor date în cadrul UE. GDPR impune obligații stricte pentru companii și organizații care prelucrează date personale și stabilește sancțiuni semnificative pentru nerespectarea reglementărilor.

Pentru mai multe detalii despre GDPR în România vă recomandăm articolul GDPR România – despre protecția datelor cu caracter personal precum și articolul despre Legea GDPR – Legislația specifică protecției datelor.

2. Cui se aplică GDPR?

GDPR se aplică:

  • Organizațiilor și companiilor stabilite în UE: Indiferent de dimensiunea lor sau de natura afacerii, GDPR se aplică tuturor companiilor și organizațiilor din UE care prelucrează date personale ale persoanelor fizice (cetățeni sau rezidenți ai UE).
  • Organizațiilor și companiilor din afara UE: GDPR se aplică și companiilor și organizațiilor stabilite în afara UE, dacă acestea oferă bunuri sau servicii în UE (chiar și în mod gratuit) sau monitorizează comportamentul persoanelor fizice din UE (de exemplu, prin urmărirea activității online).

3. Unde este obligatorie respectarea Regulamentului privind Protecția Datelor?

Respectarea Regulamentului privind Protecția Datelor (GDPR) este obligatorie în toate statele membre ale Uniunii Europene (UE) și Spațiului Economic European (SEE). De asemenea, GDPR se aplică și companiilor sau organizațiilor stabilite în afara UE și SEE, dacă oferă bunuri sau servicii (inclusiv gratuite) persoanelor fizice din UE sau monitorizează comportamentul acestora în cadrul UE. Prin urmare, GDPR are o aplicabilitate extrateritorială, ceea ce înseamnă că organizațiile din întreaga lume trebuie să respecte reglementările, atâta timp cât prelucrează date personale ale cetățenilor sau rezidenților UE.

4. Ce înseamnă date cu caracter personal?

Datele cu caracter personal înseamnă orice informație care se referă la o persoană fizică identificată sau identificabilă. O persoană fizică identificabilă este acea persoană care poate fi identificată, direct sau indirect, în special prin referire la un identificator, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online sau unul sau mai mulți factori specifici identității fizice, fiziologice, genetice, psihice, economice, culturale sau sociale ale acelei persoane fizice.

Exemple de date cu caracter personal includ:

  • Nume și prenume
  • Adresă de domiciliu
  • Adresă de e-mail
  • Număr de telefon
  • CNP (Cod Numeric Personal)
  • Date de localizare (de exemplu, coordonate GPS)
  • Identificatori unici, cum ar fi numerele de pașaport sau ID-uri online (cookie-uri, adrese IP)
  • Date demografice, cum ar fi vârsta, sexul, etnia
  • Date medicale, financiare sau de angajare

Pentru mai multe exemple și categorii de date cu caracter personal, vă recomandăm articolul dedicat despre date cu caracter personal.

Este important de menționat că anumite date, atunci când sunt combinate, pot duce la identificarea unei persoane, chiar dacă în mod individual aceste date nu permit identificarea directă.

5. Care sunt categoriile speciale de date cu caracter personal?

Categoriile speciale de date cu caracter personal, cunoscute și ca date sensibile, sunt acele informații care dezvăluie aspecte mai delicate ale vieții unei persoane și care, în cazul utilizării sau divulgării necorespunzătoare, pot duce la discriminare sau alte consecințe negative. Regulamentul GDPR acordă o protecție sporită acestor categorii de date. Categoriile speciale de date cu caracter personal includ:

  • Originea rasială sau etnică
  • Opiniile politice
  • Convingerile religioase sau filozofice
  • Apartenența sindicală
  • Datele genetice (informații rezultate din analiza ADN-ului unei persoane)
  • Datele biometrice (utilizate în scopul identificării unice a unei persoane, cum ar fi amprentele digitale, recunoașterea facială, etc.)
  • Datele privind sănătatea (informații referitoare la starea de sănătate fizică sau mintală a unei persoane, tratamente medicale, etc.)
  • Datele referitoare la viața sexuală sau orientarea sexuală

Pentru o detaliere a categoriilor speciale de date cu caracter personal vă recomandăm să parcurgeți articolul despre: 10 cazuri în care pot fi prelucrate datele din categorii speciale (datele sensibile)

6. Ce înseamnă prelucrare de date cu caracter personal?

Prelucrarea datelor cu caracter personal se referă la orice operațiune sau set de operațiuni efectuate asupra datelor personale, cu sau fără utilizarea unor proceduri automate. Aceasta include o gamă largă de acțiuni legate de datele cu caracter personal, precum:

  • Colectarea: obținerea datelor de la persoanele vizate sau din alte surse
  • Înregistrarea: documentarea sau stocarea datelor într-un sistem organizat
  • Organizarea: structurarea datelor într-un mod care permite accesul și utilizarea facilă
  • Structurarea: crearea unui sistem de clasificare sau indexare a datelor
  • Stocarea: păstrarea datelor pe o perioadă de timp, în format electronic sau fizic
  • Adaptarea sau modificarea: schimbarea sau actualizarea informațiilor personale în funcție de nevoile specifice
  • Extragerea: selectarea unor date specifice dintr-un set mai mare de informații
  • Consultarea: examinarea sau verificarea datelor cu caracter personal
  • Utilizarea: aplicarea datelor în diverse scopuri, cum ar fi analiza, raportarea sau luarea deciziilor
  • Divulgarea prin transmitere: partajarea datelor cu alte entități, inclusiv prin intermediul rețelelor de comunicații
  • Diseminarea sau punerea la dispoziție în orice alt mod: distribuirea sau publicarea datelor într-un mod accesibil unui număr mare de persoane
  • Alinierea sau combinarea: interconectarea sau îmbinarea datelor cu alte seturi de informații
  • Restrângerea: limitarea accesului sau utilizării datelor cu caracter personal
  • Ștergerea sau distrugerea: eliminarea permanentă a datelor personale

Practic, orice acțiune care implică utilizarea, manipularea sau gestionarea datelor cu caracter personal poate fi considerată prelucrare în sensul GDPR.

7. Este interzisă prelucrarea categoriilor speciale de date ?

Prelucrarea categoriilor speciale de date (sau date sensibile) este în general interzisă, însă există anumite excepții și condiții în care prelucrarea acestor date este permisă. Potrivit GDPR, prelucrarea datelor sensibile poate fi efectuată în următoarele cazuri:

  1. Persoana vizată și-a dat consimțământul explicit pentru prelucrarea datelor în scopurile specificate.
  2. Prelucrarea este necesară pentru îndeplinirea unor obligații și exercitarea unor drepturi specifice ale operatorului de date sau ale persoanei vizate în domeniul muncii și al securității sociale, în conformitate cu legislația relevantă.
  3. Prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane, în cazul în care persoana vizată nu este în măsură să-și dea consimțământul.
  4. Prelucrarea este efectuată de către o fundație, o asociație sau orice alt organism nonprofit cu scop politic, filozofic, religios sau sindical, în cadrul activităților lor legale, și se referă exclusiv la membrii acestora sau la persoanele care întrețin legături regulate cu organismul respectiv.
  5. Prelucrarea se referă la datele cu caracter personal care sunt făcute publice în mod evident de către persoana vizată.
  6. Prelucrarea este necesară pentru constatarea, exercitarea sau apărarea unui drept în instanță.
  7. Prelucrarea este necesară din motive de interes public major, în baza legislației aplicabile.
  8. Prelucrarea este necesară în scopul efectuării unor activități specifice în domeniul sănătății, al asistenței sociale sau al managementului serviciilor de sănătate, în conformitate cu legislația relevantă.
  9. Prelucrarea este necesară pentru motive de interes public în domeniul sănătății publice, cum ar fi protejarea împotriva amenințărilor transfrontaliere la adresa sănătății sau asigurarea unor standarde ridicate de calitate și siguranță în domeniul sănătății.
  10. Prelucrarea este necesară în scopuri de arhivare în interes public, pentru cercetare științifică sau istorică sau pentru scopuri statistice, în conformitate cu legislația relevantă.

În cazul în care prelucrarea categoriilor speciale de date este permisă în baza unuia dintre scenariile de mai sus, este important să se asigure că sunt implementate măsuri de protecție adecvate și proporționale pentru a minimiza riscurile asociate cu prelucrarea acestor date.

Pentru o detaliere a situațiilor în care pot fi prelucrate categoriilor speciale de date cu caracter personal vă recomandăm să parcurgeți articolul despre: 10 cazuri în care pot fi prelucrate datele din categorii speciale (datele sensibile)

8. Ce înseamnă „monitorizare periodică și sistematică”?

„Monitorizare periodică și sistematică” se referă la procesul de urmărire și colectare constantă, repetitivă și planificată a datelor cu caracter personal referitoare la anumite persoane fizice, în special atunci când activitatea implică o analiză și evaluare sistematică a acestora. Acest termen este folosit în contextul GDPR pentru a descrie o serie de activități de prelucrare a datelor care pot avea un impact asupra drepturilor și libertăților fundamentale ale persoanelor fizice.

Monitorizarea periodică și sistematică poate include, dar nu se limitează la:

  • Profilarea și analiza comportamentală online (de exemplu, analiza intereselor, preferințelor și comportamentului utilizatorilor pe internet)
  • Sisteme de supraveghere video sau audio în zone publice sau private
  • Monitorizarea comunicațiilor (de exemplu, interceptarea sau scanarea e-mailurilor, apelurilor telefonice, mesajelor text)
  • Monitorizarea locației geografice a persoanelor (de exemplu, prin utilizarea dispozitivelor GPS sau a rețelelor Wi-Fi)
  • Evaluarea creditelor sau a riscurilor financiare asociate cu anumite persoane

GDPR impune o serie de obligații pentru operatorii de date care se implică în monitorizarea periodică și sistematică a persoanelor fizice, cum ar fi numirea unui responsabil cu protecția datelor (DPO) sau efectuarea unei evaluări a impactului asupra protecției datelor (DPIA) în anumite cazuri.

9. Ce înseamnă „pe scară largă” în GDPR?

Termenul „pe scară largă” se referă la prelucrarea datelor cu caracter personal într-un mod extins, masiv sau la o scară semnificativă, care poate afecta un număr mare de persoane, implica un volum mare de date sau acoperă o arie geografică extinsă. În contextul GDPR, acest termen este folosit pentru a sublinia cazurile în care prelucrarea datelor poate avea un impact major asupra drepturilor și libertăților fundamentale ale persoanelor vizate și, ca urmare, impune o atenție sporită și respectarea unor cerințe suplimentare.

Deși GDPR nu oferă o definiție exactă sau criterii specifice pentru a determina ce înseamnă „pe scară largă”, se pot lua în considerare următoarele aspecte pentru a evalua dacă prelucrarea datelor are loc pe scară largă:

  • Numărul de persoane vizate: prelucrarea datelor implică un număr mare de persoane fizice
  • Volumul sau proporția datelor cu caracter personal: prelucrarea implică un volum mare de date sau o parte semnificativă a setului de date cu caracter personal
  • Durata sau permanența prelucrării: prelucrarea se desfășoară pe o perioadă lungă de timp sau în mod constant
  • Aria geografică: prelucrarea datelor se întinde pe o zonă geografică extinsă sau are impact asupra persoanelor din mai multe țări

În cazul prelucrării datelor cu caracter personal pe scară largă, operatorii de date pot fi obligați să respecte anumite cerințe suplimentare, cum ar fi numirea unui responsabil cu protecția datelor (DPO) sau efectuarea unei evaluări a impactului asupra protecției datelor (DPIA).

10. Ce înseamnă ”Pseudonimizarea” în GDPR?

Pseudonimizarea este un proces de protecție a datelor cu caracter personal prin înlocuirea unor identificatori direcți cu alți identificatori sau chei care nu permit identificarea directă a persoanelor vizate. Acest proces reduce riscul de identificare a persoanelor și contribuie la protejarea confidențialității și a vieții private. Pseudonimizarea este recunoscută în GDPR ca o tehnică de protecție a datelor și este menționată ca o măsură de securitate potențială.

Este important de reținut că pseudonimizarea nu este echivalentă cu anonimizarea. Anonimizarea implică eliminarea oricăror informații care ar putea fi utilizate pentru identificarea unei persoane, într-un mod ireversibil. În schimb, pseudonimizarea este un proces reversibil, deoarece datele pseudonimizate pot fi asociate din nou cu persoana vizată, dacă se deține cheia sau informațiile suplimentare necesare.

Pseudonimizarea poate fi realizată în mai multe moduri, cum ar fi:

  • Înlocuirea numelor și a altor identificatori direcți cu coduri alfanumerice sau simboluri
  • Utilizarea algoritmilor de criptare pentru a transforma identificatorii direcți în chei criptografice
  • Agregarea sau gruparea datelor pentru a reduce specificitatea informațiilor referitoare la anumite persoane

Pseudonimizarea poate ajuta la reducerea riscurilor asociate cu prelucrarea datelor cu caracter personal și poate permite utilizarea datelor în scopuri de cercetare, analiză sau raportare, fără a compromite drepturile și libertățile persoanelor vizate. Cu toate acestea, operatorii de date trebuie să mențină măsuri de securitate adecvate și să se asigure că datele pseudonimizate nu pot fi combinate cu alte informații pentru a reidentifica persoanele.

11. Ce este un operator de date?

Un operator de date este o persoană juridică, autoritate publică, agenție sau alt organism care, singur sau împreună cu alții, determină scopurile și mijloacele prelucrării datelor cu caracter personal. În contextul GDPR, operatorul de date are responsabilitatea principală de a se asigura că prelucrarea datelor personale este efectuată în conformitate cu principiile și cerințele Regulamentului.

Responsabilitățile unui operator de date includ, dar nu se limitează la:

  • Asigurarea conformității cu principiile de protecție a datelor, cum ar fi legalitatea, echitatea, transparența, limitarea scopului, minimizarea datelor, exactitatea, limitarea stocării, integritatea și confidențialitatea
  • Prelucrarea datelor cu caracter personal doar în cazurile în care există un temei legal
  • Informarea persoanelor vizate despre prelucrarea datelor lor cu caracter personal, drepturile lor și modalitățile de exercitare a acestora
  • Implementarea măsurilor de securitate adecvate pentru protejarea datelor cu caracter personal împotriva accesului, divulgării, distrugerii sau pierderii neautorizate
  • Păstrarea unui registru al activităților de prelucrare a datelor
  • Colaborarea cu autoritățile de supraveghere și respectarea cerințelor acestora
  • Numirea unui responsabil cu protecția datelor (DPO), dacă este necesar
  • Evaluarea impactului asupra protecției datelor (DPIA) în cazul prelucrărilor cu risc ridicat pentru drepturile și libertățile persoanelor vizate
  • Încheierea de acorduri cu persoanele împuternicite (entitățile care prelucrează datele cu caracter personal în numele operatorului) pentru a se asigura că aceștia respectă GDPR.

În practică, un operator de date poate fi o companie, o organizație non-profit, o instituție publică sau orice altă entitate care prelucrează date cu caracter personal în scopurile sale, chiar și o persoană fizică.

12. Care este diferența dintre un operator de date și un împuternicit al operatorului de date?

Diferența principală dintre un operator de date și un împuternicit al operatorului de date constă în rolul și responsabilitățile pe care le au în prelucrarea datelor cu caracter personal în conformitate cu GDPR.

Operatorul de date este entitatea care determină scopurile și mijloacele prelucrării datelor cu caracter personal, în timp ce împuternicitul operatorului de date este entitatea care prelucrează aceste date în numele și conform instrucțiunilor operatorului de date.

Redăm mai jos definițiile celor doi termeni pentru o mai bună înțelegere:

Operator de date (Controlor de date):

Un operator de date este o persoană juridică, autoritate publică, agenție sau alt organism care, singur sau împreună cu alții, determină scopurile și mijloacele prelucrării datelor cu caracter personal. Operatorul de date are responsabilitatea principală de a se asigura că prelucrarea datelor personale este efectuată în conformitate cu principiile și cerințele GDPR. Operatorul de date decide de ce și cum sunt colectate și utilizate datele personale și este responsabil de a proteja drepturile persoanelor vizate.

Împuternicit al operatorului de date (Procesor de date):

Un împuternicit al operatorului de date este o persoană juridică, autoritate publică, agenție sau alt organism care prelucrează datele cu caracter personal în numele operatorului de date. Procesorul de date acționează conform instrucțiunilor și sub autoritatea operatorului de date și nu are autonomie în a decide scopurile și mijloacele prelucrării datelor. Responsabilitățile procesorului de date includ asigurarea securității datelor și conformitatea cu GDPR în ceea ce privește prelucrarea datelor în numele operatorului de date.

Un exemplu tipic al relației dintre un operator de date și un împuternicit al operatorului de date este atunci când o companie (operatorul de date) externalizează gestionarea bazelor de date sau a serviciilor de marketing către o altă companie specializată (împuternicitul operatorului de date). În acest caz, operatorul de date este responsabil pentru scopurile și mijloacele prelucrării datelor, iar împuternicitul operatorului de date este responsabil pentru prelucrarea efectivă a datelor în conformitate cu instrucțiunile primite de la operatorul de date.

13. Care sunt principiile care stau la baza GDPR?

GDPR stabilește șapte principii fundamentale care guvernează prelucrarea datelor cu caracter personal. Aceste principii trebuie să fie respectate de operatorii de date și procesorii de date în orice activitate de prelucrare a datelor personale:

  1. Legalitate, echitate și transparență: Prelucrarea datelor cu caracter personal trebuie să fie legală, echitabilă și transparentă în raport cu persoana vizată. Aceasta înseamnă că prelucrarea trebuie să aibă o bază legală, să nu afecteze negativ drepturile persoanei vizate și să fie realizată într-un mod clar și deschis.
  2. Limitarea scopului: Datele cu caracter personal trebuie să fie colectate într-un scop specific, explicit și legitim și să nu fie prelucrate într-un mod incompatibil cu acest scop. În alte cuvinte, datele trebuie să fie utilizate doar pentru scopurile pentru care au fost inițial colectate.
  3. Minimizarea datelor: Datele cu caracter personal trebuie să fie adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile pentru care sunt prelucrate. Acest principiu se referă la colectarea și utilizarea doar a datelor personale strict necesare pentru a îndeplini scopul specificat.
  4. Exactitate: Datele cu caracter personal trebuie să fie exacte și, acolo unde este necesar, actualizate. Operatorii de date au responsabilitatea de a asigura că datele inexacte sau incomplete sunt corectate sau șterse.
  5. Limitarea stocării: Datele cu caracter personal trebuie să fie păstrate într-o formă care să permită identificarea persoanelor vizate numai pe o perioadă cât este necesară pentru realizarea scopurilor pentru care sunt prelucrate. Acest principiu se referă la stocarea datelor doar pe durata necesară și implementarea de termene de păstrare adecvate.
  6. Integritate și confidențialitate: Datele cu caracter personal trebuie să fie prelucrate într-un mod care asigură securitatea adecvată a datelor, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, distrugerii sau deteriorării accidentale. Acest principiu impune implementarea unor măsuri tehnice și organizatorice adecvate pentru a asigura securitatea datelor.
  7. Responsabilitate: Operatorul de date este responsabil pentru respectarea principiilor menționate mai sus și trebuie să fie în măsură să demonstreze conformitatea cu aceste principii. Acest principiu subliniază importanța responsabilității proactive și a documentării conformității cu GDPR.

Aceste principii reprezintă fundația pentru protecția datelor cu caracter personal în cadrul GDPR și trebuie să fie respectate în toate activitățile de prelucrare a datelor.

Recomandare: pentru o detaliere a principiilor ce stau la baza GDPR, vă recomandăm articolul dedicat despre Cele 7 principii GDPR. Principii legate de prelucrarea datelor cu caracter personal.

Principii GDPR

14. Care sunt temeiurile legale în baza cărora se pot prelucra date?

În conformitate cu GDPR, prelucrarea datelor cu caracter personal este permisă numai dacă se bazează pe cel puțin unul dintre următoarele temeiuri legale:

  1. Consimțământ: Persoana vizată și-a dat consimțământul pentru prelucrarea datelor cu caracter personal pentru unul sau mai multe scopuri specifice. Consimțământul trebuie să fie liber exprimat, informat, specific și neechivoc.
  2. Executarea contractului: Prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a întreprinde acțiuni la cererea persoanei vizate înainte de încheierea unui contract.
  3. Obligație legală: Prelucrarea este necesară pentru a respecta o obligație legală care îi revine operatorului de date. Aceasta se referă la cazurile în care operatorul de date are o obligație legală specifică de a prelucra datele cu caracter personal.
  4. Protejarea intereselor vitale: Prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale unei alte persoane fizice. Acest temei legal este aplicabil în situații de urgență sau de risc pentru viața și integritatea persoanei vizate sau a altor persoane.
  5. Îndeplinirea unei sarcini de interes public sau în exercitarea autorității publice: Prelucrarea este necesară pentru îndeplinirea unei sarcini de interes public sau pentru exercitarea autorității publice de care este investit operatorul de date. Acest temei legal se aplică, de obicei, autorităților publice și entităților care exercită puteri conferite de lege.
  6. Interesul legitim: Prelucrarea este necesară pentru scopul interesului legitim urmărit de operatorul de date sau de o terță parte, cu excepția cazului în care interesele sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protecția datelor cu caracter personal, prevalează asupra acestor interese. Acest temei legal presupune o evaluare a intereselor și drepturilor persoanei vizate în raport cu interesele operatorului de date sau ale terței părți.

Operatorii de date trebuie să se asigure că orice prelucrare a datelor cu caracter personal se bazează pe cel puțin unul dintre aceste temeiuri legale. În caz contrar, prelucrarea datelor ar putea fi considerată ilegală, iar operatorul de date ar putea fi supus sancțiunilor și amenzilor prevăzute de GDPR.

15. Ce este un consimțământ explicit și când este necesar?

Un consimțământ explicit este o formă clară și neechivocă de acord pe care o persoană vizată o oferă pentru prelucrarea datelor cu caracter personal într-un scop specific sau mai multe scopuri. Acesta reprezintă unul dintre temeiurile legale pentru prelucrarea datelor cu caracter personal în conformitate cu GDPR.

Consimțământul explicit se referă la situații în care persoana vizată își exprimă acordul în mod clar și direct, de obicei printr-o declarație scrisă sau o acțiune afirmativă clară. Spre deosebire de consimțământul „implicit” sau „presupus”, care poate fi dedus din comportamentul persoanei vizate, consimțământul explicit necesită un act voluntar și informat al acesteia.

Consimțământul explicit este necesar în următoarele cazuri:

  • Prelucrarea datelor sensibile (categoriile speciale de date): GDPR impune cerințe mai stricte pentru prelucrarea acestor date, care includ informații despre originea rasială sau etnică, opiniile politice, convingerile religioase sau filozofice, apartenența sindicală, datele genetice, datele biometrice, datele privind sănătatea, viața sexuală sau orientarea sexuală. Pentru a prelucra aceste date, operatorii de date trebuie să obțină consimțământul explicit al persoanei vizate, cu excepția cazurilor în care se aplică alte temeiuri legale specifice prevăzute de GDPR.
  • Transferul de date cu caracter personal în afara UE: Consimțământul explicit poate fi necesar atunci când datele cu caracter personal sunt transferate în afara UE sau Spațiului Economic European (SEE), către țări care nu oferă un nivel adecvat de protecție a datelor, conform evaluării Comisiei Europene. În astfel de cazuri, operatorii de date trebuie să obțină consimțământul explicit al persoanei vizate pentru transferul datelor în afara UE/SEE.

Pentru a fi valid, consimțământul explicit trebuie să fie:

  • Liber exprimat: Persoana vizată nu trebuie să fie constrânsă, manipulată sau influențată în mod incorect să-și dea consimțământul.
  • Informat: Persoana vizată trebuie să fie informată în mod clar și complet despre scopul prelucrării datelor, identitatea operatorului de date și orice alte informații relevante.
  • Specific: Consimțământul trebuie să se refere la un scop sau la mai multe scopuri specifice, separate și distincte.
  • Neechivoc: Consimțământul trebuie să fie exprimat printr-o acțiune afirmativă clară, cum ar fi bifarea unei casete de selectare, semnarea unei declarații sau efectuarea unei acțiuni similare.

Operatorii de date trebuie să păstreze o înregistrare a consimțământului obținut pentru a demonstra conformitatea cu GDPR. De asemenea, trebuie să informeze persoanele vizate despre dreptul lor de a-și retrage consimțământul în orice moment și să asigure că retragerea consimțământului este la fel de simplă ca și acordarea acestuia.

Este important de menționat că, dacă un operator de date se bazează pe consimțământul explicit al persoanei vizate pentru prelucrarea datelor cu caracter personal și persoana vizată își retrage consimțământul, operatorul de date trebuie să înceteze prelucrarea datelor pentru scopurile pentru care consimțământul a fost acordat, cu excepția cazurilor în care există un alt temei legal pentru continuarea prelucrării.

16. Ce este interesul legitim și când poate fi folosit?

Interesul legitim reprezintă unul dintre temeiurile legale pentru prelucrarea datelor cu caracter personal în conformitate cu GDPR. Acesta permite operatorilor de date să prelucreze datele cu caracter personal atunci când acest lucru este necesar pentru interesul legitim al operatorului de date sau al unei terțe părți, cu condiția ca interesele sau drepturile și libertățile fundamentale ale persoanei vizate să nu prevaleze asupra acestor interese.

Interesul legitim poate fi folosit într-o varietate de situații, inclusiv:

  • Prevenirea fraudelor: Operatorii de date pot prelucra date cu caracter personal pentru a preveni și a detecta fraudele în tranzacții financiare, abuzuri de servicii sau furt de identitate.
  • Securitatea rețelei și a informațiilor: Prelucrarea datelor cu caracter personal poate fi necesară pentru a asigura securitatea rețelei, a sistemelor informatice și a datelor în sine, precum și pentru a preveni atacurile cibernetice și alte incidente de securitate.
  • Administrarea și întreținerea relațiilor cu clienții: Operatorii de date pot prelucra date cu caracter personal pentru a comunica cu clienții, a răspunde la solicitări, a furniza asistență tehnică și a gestiona plângerile.
  • Marketing direct: Prelucrarea datelor cu caracter personal în scopul trimiterii de materiale publicitare sau promoționale către clienți poate fi considerată de interes legitim, cu condiția ca persoanele vizate să aibă posibilitatea de a se opune în mod eficient la acest tip de prelucrare.
  • Îmbunătățirea și dezvoltarea produselor sau serviciilor: Operatorii de date pot prelucra date cu caracter personal pentru a analiza și a îmbunătăți produsele sau serviciile existente sau pentru a dezvolta noi produse sau servicii.

Înainte de a se baza pe interesul legitim ca temei legal pentru prelucrarea datelor cu caracter personal, operatorii de date trebuie să efectueze o evaluare a impactului, cunoscută și sub numele de „testul de balanță”. Acest test implică analiza intereselor legitime ale operatorului de date sau ale terței părți în raport cu interesele, drepturile și libertățile fundamentale ale persoanei vizate. Operatorul de date trebuie să determine dacă interesele sale legitime prevalează asupra drepturilor și libertăților persoanei vizate și să documenteze această evaluare.

Dacă operatorul de date ajunge la concluzia că interesele sale legitime prevalează asupra drepturilor și libertăților persoanei vizate, poate continua cu prelucrarea datelor în baza interesului legitim. Cu toate acestea, persoanele vizate au dreptul să se opună prelucrării datelor pe baza interesului legitim și operatorii de date trebuie să înceteze prelucrarea în cazul în care persoana vizată își exercită dreptul de opoziție, cu excepția cazurilor în care operatorul de date poate demonstra că există motive legitime și imperioase care justifică prelucrarea și care prevalează asupra intereselor, drepturilor și libertăților persoanei vizate, sau în cazul în care prelucrarea este necesară pentru constatarea, exercitarea sau apărarea unui drept în instanță.

17. Ce este evaluarea de impact privind protecția datelor și când trebuie efectuată?

Evaluarea de impact privind protecția datelor (DPIA – Data Protection Impact Assessment) este un proces care ajută operatorii de date să identifice și să minimizeze riscurile asociate cu prelucrarea datelor cu caracter personal în cadrul unui proiect sau unei activități specifice. DPIA este o cerință a GDPR în anumite situații și este concepută pentru a promova o abordare preventivă în ceea ce privește protecția datelor și respectarea principiilor de bază ale GDPR, cum ar fi protecția încorporată a datelor și protecția implicită a datelor.

Evaluarea de impact privind protecția datelor trebuie efectuată înainte de începerea prelucrării datelor cu caracter personal în următoarele cazuri:

  • Prelucrarea pe scară largă a categoriilor speciale de date sau a datelor privind condamnările penale și infracțiunile: Aceasta include prelucrarea pe scară largă a datelor sensibile, cum ar fi datele de sănătate, datele biometrice sau datele genetice.
  • Monitorizarea pe scară largă a persoanelor vizate: Acesta se referă la monitorizarea în masă a comportamentului, a locației sau a activităților persoanelor vizate, cum ar fi monitorizarea online sau supravegherea video pe scară largă.
  • Sistemele de evaluare sau de notare automată: Aceasta include sistemele care evaluează și notează aspecte personale ale persoanelor vizate, cum ar fi performanța la locul de muncă, sănătatea, interesele personale sau preferințele, și care pot avea consecințe juridice sau efecte similare semnificative asupra persoanei vizate.
  • Utilizarea tehnologiilor inovatoare: Utilizarea unor tehnologii noi sau emergente, care ar putea implica riscuri noi și neprevăzute pentru protecția datelor, poate necesita o DPIA.
  • Transferul de date cu caracter personal în afara UE sau SEE: În cazul în care datele cu caracter personal sunt transferate în afara UE sau SEE, către țări care nu oferă un nivel adecvat de protecție a datelor, este posibil să fie necesară efectuarea unei DPIA.

DPIA trebuie să includă o descriere detaliată a prelucrării propuse, o evaluare a necesității și a proporționalității prelucrării, o evaluare a riscurilor asociate cu prelucrarea și măsurile planificate pentru a aborda aceste riscuri și pentru a demonstra conformitatea cu GDPR. În cazul în care DPIA indică un risc ridicat și operatorul de date nu poate implementa măsuri adecvate pentru a atenua acest risc, acesta trebuie să consulte autoritatea de supraveghere înainte de a începe prelucrarea datelor cu caracter personal.

Dacă ai nevoie de o evaluare de impact, nu ezita să ne contactezi pe contact@gdprcomplet.ro si echipa noastră de specialiști te poate ajuta. Cere o ofertă personalizată de DPIA.

18. Ce trebuie să facă o companie în cazul unei încălcări a securității datelor?

În cazul unei încălcări a securității datelor, o companie trebuie să ia măsuri rapide pentru a aborda și remedia situația în conformitate cu cerințele GDPR. Aceste măsuri includ:

  1. Identificarea și închiderea breșei de securitate: Compania trebuie să investigheze imediat cauza încălcării și să ia măsuri pentru a închide breșa și a preveni accesul neautorizat la date.
  2. Evaluarea riscurilor: Compania trebuie să evalueze riscurile potențiale asociate cu încălcarea, inclusiv riscurile pentru drepturile și libertățile persoanelor vizate, precum și riscurile pentru reputația și activitatea companiei.
  3. Notificarea autorității de supraveghere: Dacă încălcarea securității datelor prezintă un risc pentru drepturile și libertățile persoanelor vizate, compania trebuie să notifice autoritatea de supraveghere competentă în termen de 72 de ore de la luarea la cunoștință a încălcării. Notificarea trebuie să includă o descriere detaliată a încălcării, numărul estimat de persoane afectate, posibilele consecințe ale încălcării și măsurile luate sau propuse de companie pentru a remedia situația.
  4. Notificarea persoanelor vizate: Dacă încălcarea securității datelor prezintă un risc ridicat pentru drepturile și libertățile persoanelor vizate, compania trebuie să informeze și persoanele vizate într-un termen rezonabil, în mod clar și înțeles de acestea. Comunicarea trebuie să includă o descriere a încălcării, posibilele consecințe, măsurile luate sau propuse pentru a remedia situația și informații despre cum pot obține mai multe detalii sau asistență.
  5. Înregistrarea incidentului: Compania trebuie să păstreze o înregistrare a încălcării securității datelor, inclusiv detaliile incidentului, consecințele acestuia, măsurile luate pentru a remedia situația și orice comunicări cu autoritatea de supraveghere sau persoanele vizate.
  6. Revizuirea și îmbunătățirea măsurilor de securitate: După remedierea incidentului, compania ar trebui să revizuiască și să îmbunătățească măsurile de securitate existente pentru a preveni încălcări similare în viitor. Aceasta poate include analiza proceselor și politicilor interne, instruirea personalului și implementarea unor tehnologii de securitate mai avansate.

Este foarte important ca fiecare companie să aibă planuri de intervenție în caz de incidente și proceduri bine stabilite pentru a aborda în mod eficient încălcările securității și pentru a se asigura că respectă prevederile GDPR. Totodată, instruirea angajaților în ceea ce privește importanța protejării datelor și metodele de identificare și raportare a incidentelor de securitate este crucială pentru preîntâmpinarea și gestionarea adecvată a încălcărilor de securitate. Prin luarea măsurilor adecvate în cazul unei încălcări a securității datelor, companiile pot reduce riscurile asociate cu pierderea sau accesul neautorizat la datele cu caracter personal și pot asigura respectarea cerințelor GDPR, protejând în același timp drepturile și libertățile persoanelor vizate.

19. Instruirea angajaților este obligatorie în fiecare an?

GDPR nu specifică un interval de timp exact în care instruirea angajaților trebuie să fie repetată. Cu toate acestea, este recomandat ca întreprinderile să organizeze instruirea angajaților în mod regulat, inclusiv actualizări anuale sau ori de câte ori apar modificări semnificative în reglementări, tehnologie sau practici interne legate de protecția datelor.

Instruirea periodică și actualizarea angajaților ajută la menținerea unui nivel ridicat de conștientizare și înțelegere a responsabilităților legate de protecția datelor și a securității informațiilor. De asemenea, este util să se ofere instruire suplimentară angajaților noi și celor care își schimbă rolurile în cadrul companiei, pentru a se asigura că înțeleg în mod clar responsabilitățile și cerințele specifice rolului lor în ceea ce privește protecția datelor cu caracter personal.

Avem un articol dedicat instruirii angajaților cu privire la protecția datelor, Te invităm să îl parcurgi: GDPR Training – Instruirea angajaților cu privire la protecția datelor.

20. Care sunt drepturile persoanelor în ceea ce privește GDPR?

GDPR prevede o serie de drepturi pentru persoanele vizate (persoanele ale căror date cu caracter personal sunt prelucrate) în ceea ce privește protecția datelor. Aceste drepturi sunt menite să ofere persoanelor vizate mai mult control asupra datelor lor personale și să asigure transparența și responsabilitatea din partea operatorilor de date. Drepturile principale ale persoanelor vizate în conformitate cu GDPR includ:

  1. Dreptul la informare: Persoanele vizate au dreptul să fie informate în legătură cu prelucrarea datelor lor personale, inclusiv scopul prelucrării, categoriile de date prelucrate, destinatarii cărora le sunt dezvăluite datele și perioada de păstrare a datelor.
  2. Dreptul de acces: Persoanele vizate au dreptul să solicite confirmarea că datele lor personale sunt prelucrate și, în caz afirmativ, să obțină acces la aceste date și informații detaliate despre prelucrarea datelor.
  3. Dreptul la rectificare: Persoanele vizate au dreptul să solicite corectarea datelor lor personale inexacte și să completeze datele care sunt incomplete.
  4. Dreptul la ștergerea datelor („dreptul de a fi uitat”): Persoanele vizate au dreptul să solicite ștergerea datelor lor personale în anumite circumstanțe, cum ar fi atunci când datele nu mai sunt necesare pentru scopurile pentru care au fost colectate sau prelucrate, sau când persoana își retrage consimțământul.
  5. Dreptul la restricționarea prelucrării: Persoanele vizate au dreptul să solicite restricționarea prelucrării datelor lor personale în anumite situații, cum ar fi atunci când exactitatea datelor este contestată sau când prelucrarea este ilegală, dar persoana se opune ștergerii datelor.
  6. Dreptul la portabilitatea datelor: Persoanele vizate au dreptul să primească datele personale pe care le-au furnizat unui operator de date într-un format structurat, utilizat în mod obișnuit și care poate fi citit automat, și au dreptul să transmită aceste date altui operator de date fără a fi împiedicate de operatorul de date curent.
  7. Dreptul la obiecție: Persoanele vizate au dreptul să se opună prelucrării datelor lor personale în anumite circumstanțe, cum ar fi atunci când prelucrarea se bazează pe interesul legitim al operatorului de date sau pe îndeplinirea unei sarcini de interes public.
  8. Dreptul de a nu fi supus unor decizii automate, inclusiv profilarea: Persoanele vizate au dreptul să nu fie supuse unor decizii care se bazează exclusiv pe prelucrarea automată a datelor lor personale, inclusiv profilarea, care produc efecte juridice sau afectează în mod semnificativ persoana vizată. Acest drept se aplică în special atunci când deciziile sunt luate fără intervenția umană și au consecințe negative, cum ar fi refuzul unui credit sau oferta personalizată cu prețuri mai ridicate. Există excepții în cazul în care deciziile automate sunt necesare pentru încheierea sau executarea unui contract, sunt autorizate de lege sau se bazează pe consimțământul explicit al persoanei vizate.
  9. Dreptul de a depune o plângere la o autoritate de supraveghere: Persoanele vizate au dreptul să depună o plângere la o autoritate națională de protecție a datelor dacă consideră că prelucrarea datelor lor personale încalcă GDPR sau alte legi privind protecția datelor.

Este responsabilitatea operatorilor de date și a împuterniciților operatorilor de date să se asigure că respectă aceste drepturi și să răspundă în mod corespunzător solicitărilor persoanelor vizate. Companiile trebuie să aibă mecanisme adecvate pentru a gestiona solicitările referitoare la drepturile persoanelor vizate și să comunice în mod clar și transparent cu persoanele vizate în legătură cu exercitarea acestor drepturi.

Vă recomandăm să citiți articolul dedicat acestui subiect GDPR – drepturile persoanei vizate. Scopul acestui articol este să ajute operatorii pe de o parte și persoanele vizate pe de altă parte să înțeleagă când și în baza cărui temei legal își pot exercita drepturile.

GDPR - Drepturile persoanelor vizate

21. Ce înseamnă portabilitatea datelor și cum funcționează aceasta?

Portabilitatea datelor este un drept al persoanei vizate, garantat de GDPR, care îi permite să primească datele personale pe care le-a furnizat unui operator de date într-un format structurat, utilizat în mod obișnuit și care poate fi citit automat. Acest drept îi permite, de asemenea, să transmită aceste date unui alt operator de date fără a fi împiedicată de operatorul de date curent.

Scopul portabilității datelor este de a oferi persoanelor vizate un control sporit asupra datelor lor personale și de a facilita schimbul de date între diferiți operatori de date, în special în contextul serviciilor online.

Portabilitatea datelor funcționează astfel:

  • Persoana vizată trimite o solicitare de portabilitate a datelor operatorului de date curent. Solicitarea trebuie să fie clară și specifică cu privire la datele pe care persoana dorește să le primească și să le transfere.
  • Operatorul de date are obligația de a răspunde solicitării în termen de o lună de la primirea acesteia. Acest termen poate fi prelungit cu încă două luni în cazul în care solicitarea este complexă sau dacă operatorul de date a primit un număr mare de solicitări. În orice caz, operatorul de date trebuie să informeze persoana vizată despre motivul prelungirii.
  • Operatorul de date trebuie să furnizeze datele personale într-un format structurat, utilizat în mod obișnuit și care poate fi citit automat (de exemplu, CSV, JSON, XML). Acest lucru facilitează importul datelor în sistemele altor operatori de date.

Dacă persoana vizată solicită transmiterea directă a datelor personale între doi operatori de date și dacă acest lucru este tehnic posibil, operatorul de date curent trebuie să transfere datele direct către noul operator de date.

Este important de menționat că portabilitatea datelor se aplică numai datelor personale furnizate de persoana vizată și prelucrate în baza consimțământului sau pentru executarea unui contract. Acest drept nu se aplică datelor prelucrate în baza interesului legitim al operatorului de date sau a îndeplinirii unei sarcini de interes public.

22. Ce este o clauză de protecție a datelor?

O clauză de protecție a datelor este o secțiune dintr-un contract sau un acord care tratează aspecte legate de colectarea, prelucrarea, stocarea și transferul datelor cu caracter personal. Această clauză servește pentru a asigura conformitatea cu GDPR și alte legi privind protecția datelor, precum și pentru a stabili drepturile și responsabilitățile părților implicate în prelucrarea datelor cu caracter personal.

Clauzele de protecție a datelor sunt adesea incluse în contractele dintre operatorii de date și împuterniciții operatorilor de date, precum și în contractele dintre companii și clienții lor, sau în politica de confidențialitate a unei companii.

Clauza de protecție a datelor ar trebui să includă, cel puțin, următoarele informații și elemente:

  • Scopul prelucrării datelor și categoriile de date cu caracter personal care vor fi prelucrate.
  • Obligațiile și responsabilitățile operatorului de date și ale împuternicitului operatorului de date în ceea ce privește protecția datelor.
  • Măsurile de securitate pe care părțile se angajează să le implementeze pentru a proteja datele cu caracter personal.
  • Perioada de păstrare a datelor cu caracter personal și procedurile pentru ștergerea datelor la încetarea contractului.
  • Condițiile pentru transferul datelor cu caracter personal către terțe părți sau către țări terțe, dacă este cazul.
  • Drepturile persoanelor vizate și modul în care acestea pot fi exercitate în legătură cu prelucrarea datelor cu caracter personal.
  • Procedurile de audit și control pentru a verifica conformitatea cu GDPR și cu clauzele de protecție a datelor din contract.

Includerea unei clauze de protecție a datelor adecvate în contracte și acorduri ajută la minimizarea riscurilor asociate cu încălcarea legislației privind protecția datelor și contribuie la menținerea unui nivel înalt de protecție a datelor cu caracter personal.

23. Care sunt obligațiile unei companii în cazul transferului de date către țări terțe?

Atunci când o companie transferă date cu caracter personal către țări terțe (țări care nu fac parte din Spațiul Economic European – SEE), trebuie să respecte o serie de obligații pentru a asigura conformitatea cu GDPR. Aceste obligații includ:

  • Verificarea nivelului de protecție a datelor în țara terță: Înainte de a transfera date cu caracter personal, compania trebuie să se asigure că țara terță are un nivel adecvat de protecție a datelor, conform evaluării Comisiei Europene. Dacă nu există o decizie de adecvare a Comisiei Europene pentru țara respectivă, compania trebuie să pună în aplicare măsuri de protecție adecvate.
  • Implementarea măsurilor de protecție adecvate: Dacă țara terță nu are un nivel adecvat de protecție a datelor, compania trebuie să utilizeze măsuri de protecție adecvate, cum ar fi clauzele contractuale standard (CCS) aprobate de Comisia Europeană, reguli corporative obligatorii (BCR) pentru transferuri în cadrul aceluiași grup de companii sau alte instrumente juridice pentru transferul de date.
  • Informarea persoanelor vizate: Compania trebuie să informeze persoanele vizate despre transferul de date către țări terțe, inclusiv despre țara de destinație, nivelul de protecție și măsurile de protecție adecvate implementate.
  • Asigurarea respectării drepturilor persoanelor vizate: Compania trebuie să se asigure că persoanele vizate pot exercita în continuare drepturile lor în conformitate cu GDPR, chiar și în cazul transferului de date către țări terțe. Acest lucru include dreptul la informare, acces, rectificare, ștergere, restricționare a prelucrării, portabilitate a datelor și obiecție.
  • Revizuirea periodică a transferurilor de date: Compania trebuie să monitorizeze și să revizuiască periodic transferurile de date către țări terțe pentru a se asigura că măsurile de protecție adecvate sunt în continuare eficiente și că se respectă GDPR.
  • Cooperarea cu autoritățile de supraveghere: Compania trebuie să coopereze cu autoritățile naționale de protecție a datelor și să se conformeze instrucțiunilor acestora în cazul transferurilor de date către țări terțe.

Prin respectarea acestor obligații, companiile pot asigura un nivel adecvat de protecție a datelor cu caracter personal în cazul transferurilor internaționale și pot evita sancțiunile și amenzile care pot rezulta din încălcarea GDPR.

24. Care sunt obligațiile unei companii în cazul utilizării automatizării și a profilării?

Atunci când o companie utilizează automatizarea și profilarea în procesarea datelor cu caracter personal, trebuie să respecte o serie de obligații în conformitate cu GDPR:

  • Informarea persoanelor vizate: Companiile trebuie să informeze persoanele vizate cu privire la utilizarea automatizării și a profilării în prelucrarea datelor lor cu caracter personal. Aceasta include furnizarea de informații despre logica implicată, precum și importanța și consecințele preconizate ale prelucrării pentru persoana vizată.
  • Obținerea consimțământului: În anumite cazuri, companiile trebuie să obțină consimțământul explicit al persoanei vizate înainte de a utiliza datele cu caracter personal în procese de automatizare și profilare. Acest lucru este valabil în special atunci când se utilizează date sensibile sau atunci când profilarea are un impact semnificativ asupra persoanei vizate.
  • Dreptul de a contesta și dreptul la intervenție umană: Persoanele vizate au dreptul să conteste deciziile luate în întregime pe baza automatizării, inclusiv profilarea, dacă aceste decizii produc efecte juridice sau efecte semnificative similare asupra lor. De asemenea, persoanele vizate au dreptul să solicite intervenția umană în procesul de luare a deciziilor, să își exprime punctul de vedere și să conteste decizia.
  • Implementarea măsurilor de protecție a datelor: Companiile trebuie să implementeze măsuri de protecție a datelor adecvate pentru a asigura securitatea și confidențialitatea datelor cu caracter personal utilizate în procesele de automatizare și profilare. Aceasta poate include criptarea datelor, limitarea accesului la date și menținerea unui nivel înalt de securitate informatică.
  • Evaluarea impactului asupra protecției datelor (DPIA): În cazul în care procesele de automatizare și profilare prezintă un risc ridicat pentru drepturile și libertățile persoanelor vizate, companiile trebuie să efectueze o evaluare a impactului asupra protecției datelor pentru a identifica și a aborda riscurile potențiale.
  • Respectarea principiilor GDPR: Companiile trebuie să se asigure că procesele de automatizare și profilare respectă principiile GDPR, cum ar fi minimizarea datelor, limitarea scopului, acuratețea datelor și perioada de păstrare. Acest lucru implică prelucrarea datelor cu caracter personal numai în măsura în care este necesar pentru scopurile specificate și păstrarea datelor numai pentru perioada necesară.

Prin respectarea acestor obligații, companiile pot asigura conformitatea cu GDPR în cazul utilizării automatizării și a profilării și pot proteja drepturile și libertățile persoanelor vizate în prelucrarea datelor lor cu caracter personal. Astfel, companiile pot reduce riscul de a încălca GDPR și de a se confrunta cu sancțiuni sau amenzile aplicabile.

25. Cum poate fi verificată conformitatea?

Verificarea conformității cu GDPR poate fi realizată printr-o serie de pași și măsuri proactive. Iată câteva aspecte cheie pe care companiile ar trebui să le ia în considerare pentru a se asigura că respectă GDPR:

  1. Evaluarea internă: Efectuați o analiză a proceselor și sistemelor actuale de prelucrare a datelor cu caracter personal. Identificați toate punctele de colectare, stocare și prelucrare a datelor și asigurați-vă că acestea respectă principiile GDPR, precum minimizarea datelor, acuratețea, limitarea scopului și perioada de păstrare.
  2. Desemnarea unui responsabil cu protecția datelor (DPO): În funcție de dimensiunea companiei și de tipul de prelucrare a datelor, poate fi necesar să desemnați un responsabil cu protecția datelor (DPO). DPO-ul va monitoriza conformitatea cu GDPR, va oferi sfaturi și va coopera cu autoritățile de supraveghere.
  3. Crearea și actualizarea politicilor și procedurilor: Dezvoltați și actualizați politicile și procedurile interne care privesc protecția datelor. Acestea ar trebui să includă politici privind securitatea informațiilor, proceduri de răspuns la incidente și instrucțiuni clare pentru angajați privind prelucrarea datelor cu caracter personal.
  4. Implementarea măsurilor tehnice și organizatorice adecvate: Asigurați-vă că implementați măsuri de securitate adecvate pentru a proteja datele cu caracter personal, cum ar fi criptarea, controlul accesului și monitorizarea continuă a sistemelor.
  5. Realizarea de evaluări ale impactului asupra protecției datelor (DPIA): Efectuați evaluări ale impactului asupra protecției datelor pentru procesele de prelucrare a datelor cu caracter personal care prezintă un risc ridicat pentru drepturile și libertățile persoanelor vizate.
  6. Revizuirea acordurilor cu furnizorii și partenerii: Verificați și actualizați acordurile cu furnizorii, partenerii și împuterniciții operatorilor de date pentru a vă asigura că acestea includ clauze de protecție a datelor și respectă GDPR.
  7. Asigurarea drepturilor persoanelor vizate: Implementați mecanisme pentru a permite persoanelor vizate să își exercite drepturile conform GDPR, cum ar fi accesul, rectificarea, ștergerea, restricționarea prelucrării, portabilitatea datelor și obiecția.
  8. Furnizarea de instruire și conștientizare: Asigurați-vă că personalul este instruit și conștient de obligațiile lor în ceea ce privește GDPR și protecția datelor. Furnizați instruire periodică și actualizări pentru a menține nivelul de conștientizare și a păstra în permanență conformitatea cu GDPR.
  9. Documentație și evidență: Păstrați documente și înregistrări care demonstrează conformitatea cu GDPR, inclusiv o evidență a activităților de prelucrare a datelor, consimțăminte, evaluări ale impactului asupra protecției datelor și acorduri cu terții.
  10. Monitorizarea și revizuirea continuă: Verificați și revizuiți periodic conformitatea cu GDPR, deoarece reglementările și tehnologiile se schimbă în timp. Asigurați-vă că procesele și sistemelor de prelucrare a datelor sunt adaptate în mod corespunzător pentru a răspunde noilor cerințe și riscuri.
  11. Colaborarea cu autoritățile de supraveghere: În cazul în care apar probleme legate de protecția datelor sau dacă este necesar să raportați o încălcare a securității datelor, cooperați cu autoritatea de supraveghere relevantă (cum ar fi Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal în România) și respectați orice cerințe sau instrucțiuni.

Prin abordarea acestor aspecte și prin menținerea unei abordări proactive, companiile pot verifica și menține conformitatea cu GDPR, protejând în același timp drepturile și libertățile persoanelor vizate și reducând riscul de sancțiuni sau amenzile aplicabile.

26. Persoanele fizice pot fi amendate pentru încălcarea GDPR?

Regulamentul General privind Protecția Datelor menționează că persoanele fizice sau juridice care colectează, înregistrează sau stochează informații referitoare la alte persoane fizice primesc calitatea de „operatori de date”.

Astfel că, deși în general, GDPR se concentrează pe companii, organizații și alte entități care prelucrează date cu caracter personal, există totuși cazuri în care persoanele fizice pot fi considerate responsabile pentru încălcarea GDPR și pot fi pasibile de sancțiuni sau amenzi.

Un exemplu de astfel de caz ar fi când o persoană fizică colectează și prelucrează date cu caracter personal într-un mod care nu respectă GDPR, dar acest lucru se întâmplă într-un context în afara scopurilor exclusiv personale sau casnice.

Aceasta ar putea include, de exemplu:

  • instalarea unei camere de bord în mașină – în acest mod sunt filmate, înregistrate alte persoane, alte mașini, deci sunt prelucrate date cu caracter personal.
  • postarea în cadrul unei rețele de socializare a datelor cu caracter personal ale unor persoane fără consimțământul acestora sau fără un alt temei juridic pentru prelucrarea datelor cu caracter personal.

De la intrarea în vigoare a GDPR, mai 2018 și până acum (aprilie 2023) în România au fost sancționate 5 persoane fizice pentru nerespectarea cerințelor GDPR.

Vezi lista de amenzi aplicate pentru nerespectarea GDPR în România și află pentru ce au fsot sancționate persoane fizice.

27. Care sunt penalitățile pentru ne-conformitate?

Penalitățile pentru neconformitate cu GDPR pot fi semnificative și sunt stabilite în funcție de gravitatea încălcării, natura datelor afectate și istoricul conformității al organizației. GDPR stabilește două niveluri de sancțiuni administrative pentru neconformitate:

  • Nivelul inferior: Amenzile pot ajunge până la 10 milioane de euro sau 2% din cifra de afaceri globală anuală a companiei, în funcție de care este mai mare. Aceste penalități sunt aplicate pentru încălcări legate de obligațiile tehnice și organizatorice ale companiilor, cum ar fi nerespectarea cerințelor privind evaluarea de impact asupra protecției datelor sau nerespectarea obligațiilor de a raporta încălcările de securitate.
  • Nivelul superior: Amenzile pot ajunge până la 20 milioane de euro sau 4% din cifra de afaceri globală anuală a companiei, în funcție de care este mai mare. Aceste penalități sunt aplicate pentru încălcări legate de drepturile persoanelor vizate sau încălcări ale principiilor fundamentale ale prelucrării datelor, cum ar fi nerespectarea principiului consimțământului, nerespectarea drepturilor persoanelor vizate sau transferul neautorizat de date cu caracter personal către țări terțe.

Pe lângă amenzi, autoritățile de supraveghere pot impune și alte sancțiuni în caz de neconformitate, cum ar fi avertismente, interdicții temporare sau permanente de a prelucra date cu caracter personal, retrageri sau restricții ale autorizațiilor de transfer de date sau obligații de a informa persoanele vizate despre încălcările de securitate.

Merită menționat că autoritățile de supraveghere iau în considerare o serie de factori atunci când decid sancțiunile, cum ar fi gradul de cooperare al operatorului de date cu autoritatea, intenția din spatele încălcării, natura și gravitatea încălcării și măsurile luate pentru a remedia încălcarea.

28. Pe scurt, care sunt cele 10 cerințe-cheie ale GDPR?

GDPR a impus companiilor și organizațiilor o serie de cerințe stricte în legătură cu gestionarea și protecția datelor cu caracter personal. Cele 10 cerințe-cheie ale GDPR sunt:

  1. Informarea și consimțământul: Operatorii de date trebuie să obțină consimțământul liber, informat și explicit al persoanelor vizate înainte de a prelucra datele lor cu caracter personal.
  2. Drepturile persoanelor vizate: GDPR conferă persoanelor vizate o serie de drepturi, inclusiv dreptul la informare, dreptul la acces, dreptul la rectificare, dreptul la ștergere („dreptul de a fi uitat”), dreptul la restricționarea prelucrării, dreptul la portabilitatea datelor și dreptul de a se opune prelucrării.
  3. Principiile prelucrării datelor: Operatorii de date trebuie să respecte principiile GDPR privind prelucrarea datelor, inclusiv legalitatea, echitatea, transparența, limitarea scopului, minimizarea datelor, acuratețea, limitarea păstrării, integritatea și confidențialitatea.
  4. Evaluarea impactului asupra protecției datelor (DPIA): În cazul prelucrărilor cu risc ridicat pentru drepturile și libertățile persoanelor vizate, operatorii de date trebuie să efectueze o evaluare a impactului asupra protecției datelor.
  5. Desemnarea unui responsabil cu protecția datelor (DPO): Companiile care desfășoară prelucrări de date pe scară largă sau care prelucrează categorii speciale de date trebuie să numească un DPO.
  6. Măsuri de securitate adecvate: Operatorii de date trebuie să implementeze măsuri tehnice și organizatorice adecvate pentru a asigura un nivel corespunzător de securitate a datelor cu caracter personal.
  7. Raportarea încălcărilor de securitate: În cazul unei încălcări a securității datelor, operatorii de date sunt obligați să raporteze incidentul autorității de supraveghere în termen de 72 de ore de la luarea la cunoștință a încălcării.
  8. Transferul de date internațional: Operatorii de date trebuie să se asigure că transferul de date cu caracter personal către țări terțe sau organizații internaționale se efectuează în conformitate cu normele GDPR.
  9. Responsabilitatea: Operatorii de date trebuie să demonstreze conformitatea cu GDPR, să țină evidența prelucrărilor de date și să coopereze cu autoritățile de supraveghere.
  10. Principiul protecției încorporate a datelor și protecției implicite a datelor – Privacy by Design și Privacy by Default: Operatorii de date trebuie să ia în considerare protecția datelor încă din faza de concepție a sistemelor și proceselor și să minimizeze colectarea și prelucrarea datelor cu caracter personal.

În concluzie, cele 10 cerințe-cheie ale GDPR au fost concepute pentru a asigura protecția adecvată a datelor cu caracter personal și pentru a garanta drepturile persoanelor vizate. Companiile și organizațiile trebuie să fie conștiente de aceste cerințe și să se asigure că le respectă în mod corespunzător pentru a evita sancțiuni semnificative și pentru a câștiga încrederea clienților și partenerilor. Prin urmare, conformitatea cu GDPR este esențială într-o lume în care datele cu caracter personal sunt tot mai valoroase și riscante.

Ai nevoie de ajutor în implementarea GDPR?
Apelează la serviciile noastre de consultanță GDPR.

  • Îți evaluăm riscurile în cel mai mic detaliu

  • Te asistăm pas cu pas în implementare

  • Îți instruim angajații care prelucrează date

  • Îți oferim proceduri și documente tipizate

Întrebări referitoare la funcția DPO – Responsabilul cu protecția datelor

29. Ce este un DPO? Ce este un responsabil cu protecția datelor?

Un DPO (Data Protection Officer) sau responsabil cu protecția datelor este o persoană desemnată de o organizație pentru a se asigura că aceasta respectă cerințele GDPR (Regulamentul General privind Protecția Datelor) și alte legi și reglementări privind protecția datelor. Rolul principal al unui DPO este de a supraveghea și a monitoriza conformitatea organizației cu privire la protecția datelor cu caracter personal, precum și de a acționa ca punct de contact între organizație, autoritățile de reglementare și persoanele vizate (cărora le aparțin datele cu caracter personal).

Pentru răspunsuri referitoare la DPO, vă recomandăm să parcurgeți articolul nostru dedicat despre Funcția DPO – tot ce trebuie să știi despre un responsabil cu protecția datelor.

30. În ce cazuri e obligatorie desemnarea unui DPO?

Desemnarea unui DPO (Data Protection Officer) este obligatorie în următoarele cazuri, conform GDPR:

  1. Autorități publice sau organismele publice, cu excepția instanțelor judecătorești atunci când acționează în cadrul rolului lor judiciar. Acestea includ, de exemplu, agențiile guvernamentale sau autoritățile locale.
  2. Organizațiile care desfășoară activități de monitorizare periodică și sistematică a persoanelor vizate într-o scară largă, ca parte a activităților lor principale. Acest lucru ar putea include companiile care se ocupă cu profilarea consumatorilor sau supravegherea comportamentului online.
  3. Organizațiile care prelucrează, într-o scară largă, categorii speciale de date cu caracter personal sau date privind condamnările penale și infracțiunile, ca parte a activităților lor principale. Categoriile speciale de date cu caracter personal includ informații privind originea rasială sau etnică, opiniile politice, convingerile religioase sau filozofice, apartenența sindicală, datele genetice, datele biometrice, sănătatea, viața sexuală sau orientarea sexuală.

Dacă o organizație intră în oricare dintre aceste categorii, este obligatorie desemnarea unui DPO. De asemenea, este important de menționat că unele state membre ale UE pot impune și alte criterii sau obligații suplimentare pentru desemnarea unui DPO.

31. Ce înseamnă „conflict de interese” în desemnarea unui DPO?

Un „conflict de interese” în desemnarea unui DPO (Data Protection Officer) se referă la situația în care persoana desemnată ca DPO deține, de asemenea, alte responsabilități sau funcții în cadrul organizației care ar putea influența sau compromite capacitatea sa de a îndeplini în mod imparțial și eficient rolul de DPO.

Un astfel de conflict de interese poate apărea dacă DPO-ul deține o poziție în cadrul organizației care implică luarea unor decizii cu privire la prelucrarea datelor cu caracter personal sau stabilirea scopurilor și mijloacelor de prelucrare, deoarece aceasta ar putea duce la o situație în care DPO-ul ar trebui să evalueze propriile sale decizii în ceea ce privește conformitatea cu GDPR.

Pentru a evita conflictele de interese, organizațiile ar trebui să asigure o separare clară a atribuțiilor și responsabilităților între rolul de DPO și orice alte roluri pe care persoana desemnată ca DPO le-ar putea deține în cadrul organizației. De asemenea, DPO-ul nu ar trebui să primească instrucțiuni de la organizație cu privire la modul în care își îndeplinește sarcinile, pentru a asigura o independență adecvată în exercitarea funcției sale.

Citește mai multe despre situațiile în care pot apărea conflicte de interese în numirea unui DPO.

32. Care sunt cerințele de calificare pentru un DPO?

Un DPO (Data Protection Officer) trebuie să aibă anumite calificări și competențe pentru a-și îndeplini eficient rolul. Cerințele de calificare pentru un DPO includ:

  • Cunoștințe solide în materie de protecție a datelor: DPO-ul trebuie să aibă o înțelegere aprofundată a legislației privind protecția datelor, în special a Regulamentului General privind Protecția Datelor (GDPR) și a altor legi naționale și internaționale relevante în domeniu.
  • Experiență relevantă: Un DPO ar trebui să aibă experiență în gestionarea problemelor de protecție a datelor și să fie capabil să pună în aplicare politicile și procedurile necesare pentru a asigura conformitatea cu GDPR.
  • Abilități de comunicare: DPO-ul trebuie să poată comunica eficient cu toate părțile interesate, inclusiv cu angajații organizației, cu persoanele vizate și cu autoritățile de supraveghere.
  • Capacitatea de a lucra independent: DPO-ul trebuie să fie capabil să acționeze în mod independent și să nu primească instrucțiuni cu privire la modul în care își îndeplinește atribuțiile.
  • Abilități de gestionare a riscurilor: DPO-ul trebuie să poată identifica, evalua și gestiona riscurile asociate cu prelucrarea datelor cu caracter personal, precum și să elaboreze și să implementeze măsuri de mitigare a acestor riscuri.
  • Abilități de monitorizare și audit: DPO-ul trebuie să aibă abilități solide de monitorizare și audit pentru a verifica conformitatea cu GDPR și pentru a asigura implementarea corectă a politicilor și procedurilor de protecție a datelor.
  • Abilități de formare și conștientizare: DPO-ul trebuie să fie capabil să dezvolte și să implementeze programe de formare și conștientizare pentru angajați și alte părți interesate cu privire la protecția datelor și conformitatea cu GDPR.

Deși nu există o certificare specifică obligatorie pentru un DPO, există cursuri și certificări disponibile care pot ajuta la consolidarea competențelor și cunoștințelor unui DPO în domeniul protecției datelor. Este esențial ca DPO să fie în măsură să își îndeplinească rolul eficient, având în vedere complexitatea și importanța conformității cu GDPR.

33. Care sunt responsabilitățile unui DPO?

Un Data Protection Officer (DPO) are numeroase responsabilități într-o organizație pentru a asigura conformitatea cu Regulamentul General privind Protecția Datelor (GDPR) și alte legi relevante privind protecția datelor. Printre responsabilitățile unui DPO se numără:

  1. Informarea și consilierea: DPO-ul trebuie să informeze și să ofere sfaturi organizației și angajaților săi cu privire la obligațiile lor în conformitate cu GDPR și alte legi privind protecția datelor.
  2. Supravegherea conformității: DPO-ul trebuie să supravegheze conformitatea organizației cu GDPR, inclusiv alocarea de resurse, sensibilizarea și formarea personalului și auditarea regulată a activităților de prelucrare a datelor.
  3. Consultarea cu privire la evaluarea impactului asupra protecției datelor (DPIA): DPO-ul trebuie să ofere consultanță cu privire la realizarea evaluărilor de impact asupra protecției datelor și să monitorizeze implementarea acestora în cazul prelucrărilor de date cu risc înalt.
  4. Cooperarea cu autoritatea de supraveghere: DPO-ul trebuie să coopereze cu autoritatea națională de supraveghere a protecției datelor (în România, ANSPDCP) și să acționeze ca punct de contact între organizație și autoritate.
  5. Gestionarea cererilor persoanelor vizate: DPO-ul trebuie să se asigure că organizația respectă drepturile persoanelor vizate în conformitate cu GDPR, cum ar fi dreptul la acces, la rectificare, la ștergere, la restricționarea prelucrării și la portabilitatea datelor.
  6. Monitorizarea măsurilor de securitate: DPO-ul trebuie să verifice și să evalueze în mod regulat măsurile de securitate ale organizației pentru a asigura protecția datelor cu caracter personal.
  7. Raportarea incidentelor de securitate: DPO-ul trebuie să se asigure că organizația are proceduri adecvate pentru identificarea, raportarea și gestionarea incidentelor de securitate și a încălcărilor de date.
  8. Îndrumarea privind transferul de date internaționale: DPO-ul trebuie să ofere sfaturi cu privire la transferul de date cu caracter personal către țări terțe și să se asigure că acestea sunt realizate în conformitate cu GDPR.
  9. Crearea și menținerea unei culturi de protecție a datelor: DPO-ul trebuie să promoveze o cultură de conștientizare și respectare a protecției datelor în cadrul organizației, încurajând bunele practici și politici solide de protecție a datelor.
  10. Documentarea și menținerea unui registru al activităților de prelucrare a datelor: DPO-ul trebuie să se asigure că organizația păstrează un registru al activităților de prelucrare a datelor cu caracter personal, în conformitate cu cerințele GDPR.
  11. Reevaluarea periodică a rolului DPO: DPO-ul trebuie să revizuiască și să actualizeze periodic propriul rol și responsabilitățile în funcție de evoluțiile legislației privind protecția datelor și de nevoile organizației.
  12. Consultarea cu privire la subcontractarea prelucrării datelor: DPO-ul trebuie să ofere consultanță cu privire la subcontractarea prelucrării datelor cu caracter personal și să se asigure că organizația și subcontractanții săi respectă cerințele GDPR.

În concluzie, rolul unui DPO este esențial pentru a asigura conformitatea organizației cu GDPR și alte legi privind protecția datelor. Acesta presupune o varietate de responsabilități care includ informarea, consilierea, supravegherea conformității și cooperarea cu autoritatea de supraveghere, precum și gestionarea drepturilor persoanelor vizate și promovarea unei culturi de protecție a datelor în cadrul organizației.

34. DPO-ul trebuie să fie persoană tehnică?

DPO-ul nu trebuie să fie neapărat o persoană cu competențe tehnice avansate, dar ar trebui să aibă cunoștințe suficiente în domeniul protecției datelor și să înțeleagă aspectele tehnice și organizaționale ale prelucrării datelor cu caracter personal. Cunoștințele lor ar trebui să le permită să identifice și să gestioneze riscurile asociate cu prelucrarea datelor și să ofere sfaturi adecvate cu privire la conformitatea cu GDPR.

Pe lângă cunoștințele legate de protecția datelor, un DPO eficient ar trebui să aibă abilități de comunicare și să fie capabil să colaboreze cu diferite părți interesate, precum angajații, conducerea organizației și autoritățile de supraveghere. DPO-ul ar trebui, de asemenea, să fie capabil să gestioneze relațiile cu persoanele vizate și să le informeze despre drepturile lor în conformitate cu GDPR.

În concluzie, deși nu este obligatoriu ca un DPO să fie o persoană tehnică, este important ca acesta să aibă cunoștințe și competențe care îi permit să poată gestiona aspectele tehnice și organizaționale ale prelucrării datelor cu caracter personal.

35. DPO este personal responsabil pentru nerespectarea cerințelor de protecție a datelor?

DPO (Responsabilul cu protecția datelor) are un rol consultativ și de monitorizare în cadrul unei organizații. Acesta ajută la asigurarea conformității cu GDPR și oferă consiliere și recomandări cu privire la protecția datelor, dar nu este personal responsabil pentru nerespectarea cerințelor de protecție a datelor.

Răspunderea pentru conformitatea cu GDPR și pentru nerespectarea cerințelor de protecție a datelor revine operatorului de date (organizația sau compania) și, în unele cazuri, împuternicitului său (subcontractantul care prelucrează datele în numele operatorului de date).

Cu toate acestea, DPO-ul trebuie să fie implicat în toate aspectele legate de protecția datelor, să monitorizeze implementarea și respectarea regulilor GDPR în cadrul organizației și să coopereze cu autoritatea de supraveghere. În acest sens, DPO-ul poate contribui la prevenirea nerespectării cerințelor de protecție a datelor, dar nu este responsabil în mod direct pentru eventualele încălcări ale acestora.

36. DPO trebuie localizat obligatoriu în UE?

Nu este obligatoriu ca DPO (Responsabilul cu protecția datelor) să fie localizat în UE, dar este recomandat ca DPO să fie situat într-o poziție geografică apropiată de organizația pe care o reprezintă. Acest lucru facilitează comunicarea și cooperarea eficientă între DPO, operatorul de date și autoritatea de supraveghere.

Cu toate acestea, este important ca DPO să aibă cunoștințe solide despre legislația UE în domeniul protecției datelor și să poată comunica și colabora eficient cu operatorul de date și autoritatea de supraveghere în cadrul UE. În plus, DPO-ul trebuie să fie accesibil pentru întreaga organizație și să poată răspunde la solicitările de informații și asistență în timp util.

37. Există posibilitatea desemnării unui DPO extern?

Da, există posibilitatea desemnării unui DPO extern. Alegerea unui DPO extern poate aduce multe avantaje, cum ar fi accesul la o gamă largă de competențe și experiență în domeniul protecției datelor. Având în vedere complexitatea și diversitatea cerințelor GDPR, colaborarea cu un DPO extern poate fi o opțiune eficientă și rentabilă.

Echipa GDPR Complet are o experiență solidă în domeniul protecției datelor și este formată din profesioniști calificați, care sunt capabili să gestioneze responsabilitățile și să asigure conformitatea cu GDPR. Alegerea unui DPO extern vă va permite să vă concentrați pe activitățile principale ale companiei, în timp ce echipa noastră se va asigura că cerințele de protecție a datelor sunt îndeplinite în mod corespunzător.

Citiți mai multe despre avantajele și dezavantajele DPO intern vs DPO extern pentru a alege ce este mai potrivit pentru compania dumneavoastră.

Dacă aveți nevoie de un DPO extern trebuie să știi că am implementat standardul GDPR și suntem responsabil cu protecția datelor în diverse instituții publice și companii private. Putem face același lucru și in cadrul companiei/instituției tale! Cere ofertă personalizată de DPO externalizat.

38. DPO este obligat să răspundă la toate solicitările personelor vizate?

Da, unul dintre rolurile și responsabilitățile unui DPO (Responsabil cu protecția datelor) este să comunice cu persoanele vizate și să răspundă la întrebările și solicitările lor legate de protecția datelor. DPO-ul trebuie să acționeze ca punct de contact între companie și persoanele vizate, precum și cu autoritatea de supraveghere.

În cazul în care o persoană vizată exercită drepturile sale în conformitate cu GDPR, cum ar fi dreptul de acces, dreptul la rectificare, dreptul la ștergere („dreptul de a fi uitat”), dreptul la restricționarea prelucrării, dreptul la portabilitatea datelor sau dreptul de a se opune prelucrării, DPO-ul trebuie să se asigure că solicitările sunt gestionate corespunzător și în termenii legali stabiliți.

DPO-ul trebuie să ofere informații și sfaturi persoanelor vizate cu privire la exercitarea drepturilor lor și să colaboreze cu autoritatea de supraveghere în ceea ce privește solicitările persoanelor vizate.

Sunt însă situații în care nu e obligatoriu să dăm curs cererilor de la persoanele vizate. Citește mai multe despre drepturile persoanelor vizate precum și când răspundem și când nu cererilor lor.

39. Ce trebuie să facă un DPO în cazul unei încălcări a securității datelor?

În cazul unei încălcări a securității datelor, un DPO (Responsabil cu protecția datelor) trebuie să ia următoarele măsuri:

  • Evaluare: DPO-ul trebuie să evalueze gravitatea și impactul încălcării și să determine dacă aceasta reprezintă un risc pentru drepturile și libertățile persoanelor vizate.
  • Notificare internă: DPO-ul trebuie să informeze imediat conducerea companiei și alte părți relevante, cum ar fi departamentele de IT, securitate și juridic, pentru a se asigura că toți actorii implicați sunt conștienți de situație și pot lua măsuri adecvate.
  • Documentare: DPO-ul trebuie să documenteze toate aspectele legate de încălcarea securității datelor, inclusiv cauza, natura și consecințele acesteia, precum și măsurile luate pentru a remedia situația și pentru a preveni încălcări similare în viitor.
  • Notificare autorității de supraveghere: Dacă încălcarea securității datelor reprezintă un risc pentru drepturile și libertățile persoanelor vizate, DPO-ul este responsabil pentru notificarea autorității de supraveghere competente în termen de 72 de ore de la constatare, conform articolului 33 din GDPR.
  • Comunicare către persoanele vizate: În cazul în care încălcarea securității datelor reprezintă un risc înalt pentru drepturile și libertățile persoanelor vizate, DPO-ul trebuie să le informeze fără întârziere nejustificată, conform articolului 34 din GDPR. Comunicarea trebuie să includă informații despre natura încălcării, măsurile luate pentru a remedia situația și informații de contact ale DPO-ului sau ale altor puncte de contact relevante.
  • Remediere și prevenire: DPO-ul trebuie să colaboreze cu echipele relevante din companie pentru a remedia încălcarea securității datelor și pentru a implementa măsuri suplimentare de protecție, astfel încât să se prevină încălcări similare în viitor.
  • Monitorizare și revizuire: DPO-ul trebuie să monitorizeze și să revizuiască periodic măsurile luate în urma încălcării securității datelor pentru a se asigura că acestea rămân eficiente și relevante. Aceasta implică, de asemenea, analiza și adaptarea proceselor și politicilor interne ale companiei, pentru a ține cont de evoluțiile tehnologice și de alte schimbări care pot afecta securitatea datelor.
  • Raportare și analiză: DPO-ul trebuie să raporteze rezultatele analizei și acțiunilor întreprinse în urma încălcării securității datelor către conducerea companiei și alte părți interesate relevante. Aceasta include evaluarea eficienței măsurilor de remediere și prevenire și identificarea oricăror aspecte care necesită îmbunătățiri suplimentare.
  • Formare și conștientizare: DPO-ul ar trebui să colaboreze cu departamentele relevante pentru a se asigura că angajații companiei sunt instruiți și informați despre importanța protecției datelor și despre modul de identificare, raportare și gestionare a încălcărilor de securitate. Acest lucru poate include organizarea de sesiuni de formare, distribuirea de materiale informative și promovarea unei culturi de protecție a datelor în cadrul companiei.
  • Cooperare cu autoritățile de supraveghere: DPO-ul trebuie să coopereze cu autoritatea de supraveghere competentă în cazul unei investigații sau a unui control în legătură cu încălcarea securității datelor sau cu alte aspecte legate de protecția datelor. Acest lucru poate include furnizarea de informații, documente sau alte materiale solicitate de autoritate și participarea la întâlniri sau discuții cu reprezentanții autorității.

Este important de menționat că responsabilitățile unui DPO pot varia în funcție de specificul companiei, complexitatea și amploarea încălcării de securitate și cerințele legale aplicabile.

40. Ce trebuie să facă un DPO pentru a se pregăti pentru un control al autorității de supraveghere?

Pentru a se pregăti pentru un control al autorității de supraveghere, un DPO trebuie să ia următoarele măsuri:

  • Verificați documentația: Asigurați-vă că politica de protecție a datelor, procedurile și documentele legate de GDPR sunt actualizate și complete. Acest lucru include politica de confidențialitate, acordurile de prelucrare a datelor, evaluările de impact asupra protecției datelor și înregistrările de prelucrare.
  • Implementați măsuri de securitate adecvate: Verificați dacă măsurile de securitate tehnice și organizatorice sunt adecvate pentru a proteja datele cu caracter personal împotriva accesului neautorizat, pierderii sau distrugerii.
  • Întocmiți un plan de răspuns la incidente: Elaborați un plan de răspuns la incidente și asigurați-vă că personalul este instruit și pregătit pentru a face față oricărei încălcări a securității datelor.
  • Conformitatea cu drepturile persoanelor vizate: Asigurați-vă că aveți proceduri în vigoare pentru a permite persoanelor vizate să își exercite drepturile în conformitate cu GDPR, cum ar fi accesul la date, rectificarea, ștergerea și portabilitatea datelor.
  • Comunicarea cu autoritatea de supraveghere: Fiți pregătiți să comunicați deschis și transparent cu autoritatea de supraveghere în timpul controlului. Asigurați-vă că știți cine este persoana de contact în cadrul autorității și care sunt canalele de comunicare.
  • Pregătirea angajaților: Asigurați-vă că angajații sunt conștienți de importanța protecției datelor și de rolul lor în cadrul companiei. Instruiți personalul cu privire la politica de protecție a datelor și la procedurile interne.
  • Revizuirea și monitorizarea: Monitorizați în mod regulat conformitatea cu GDPR și revizuiți periodic politicile și procedurile pentru a vă asigura că acestea rămân relevante și eficiente.

Prin pregătirea corespunzătoare și colaborarea cu autoritatea de supraveghere, DPO-ul poate contribui la asigurarea conformității companiei cu GDPR și la prevenirea sancțiunilor în cazul unui control.

41. Ce trebuie să facă un DPO pentru a se asigura că angajații unei companii respectă cerințele GDPR?

Pentru a se asigura că angajații unei companii respectă cerințele GDPR, un DPO trebuie să ia următoarele măsuri:

  • Crearea unei culturi a protecției datelor: Promovați importanța protecției datelor în cadrul organizației și încurajați o cultură în care angajații înțeleg și respectă cerințele GDPR.
  • Dezvoltarea și implementarea politicilor și procedurilor: Elaborați politici și proceduri clare și coerente privind protecția datelor, care să fie accesibile și ușor de înțeles pentru angajați.
  • Instruire și formare: Asigurați-vă că angajații primesc instruire adecvată cu privire la GDPR și la politica și procedurile interne de protecție a datelor. Aceasta poate include sesiuni de formare, materiale informative și exemple practice.
  • Comunicare și conștientizare: Mențineți o comunicare deschisă cu angajații despre GDPR și despre responsabilitățile lor în ceea ce privește protecția datelor. Acest lucru poate include comunicări periodice, newslettere și sesiuni de întrebări și răspunsuri.
  • Monitorizarea și evaluarea: Monitorizați în mod regulat respectarea cerințelor GDPR de către angajați și identificați orice probleme potențiale sau încălcări ale regulilor. De asemenea, evaluați periodic eficacitatea măsurilor luate și ajustați-le în consecință.
  • Asigurarea responsabilității: Asigurați-vă că există mecanisme în vigoare pentru a face angajații responsabili de respectarea cerințelor GDPR, cum ar fi evaluările de performanță, revizuirile periodice și sancțiunile în cazul unor încălcări grave.
  • Suport și asistență: Fie că este vorba despre întrebări sau îndrumări privind GDPR, DPO-ul ar trebui să fie disponibil pentru a ajuta angajații în orice aspect legat de protecția datelor.

Prin luarea acestor măsuri, DPO-ul poate contribui la asigurarea conformității angajaților cu GDPR și la prevenirea încălcărilor care ar putea duce la sancțiuni și daune reputaționale.

42. Ce ar trebui să conțină un raport de activitate al DPO?

Un raport de activitate al Responsabilului cu protecția datelor trebuie să conțină informații detaliate despre activitățile și responsabilitățile DPO-ului în ceea ce privește conformitatea cu GDPR și protecția datelor în cadrul companiei. Un astfel de raport ar putea include următoarele elemente:

  • Introducere: O prezentare generală a scopului și obiectivelor raportului, precum și o descriere a rolului DPO-ului în organizație.
  • Activități și responsabilități: O listă detaliată a activităților și responsabilităților DPO-ului, incluzând, de exemplu, comunicarea cu autoritățile de supraveghere, gestionarea cererilor persoanelor vizate și coordonarea activităților de protecție a datelor în organizație.
  • Monitorizarea conformității: O descriere a modului în care DPO-ul a monitorizat conformitatea organizației cu GDPR și cu alte reglementări privind protecția datelor, incluzând, de exemplu, efectuarea de audituri interne și evaluări de risc.
  • Instruire și conștientizare: O prezentare a eforturilor DPO-ului de a instrui și sensibiliza angajații cu privire la protecția datelor și la cerințele GDPR.
  • Incidente și încălcări ale securității datelor: O prezentare a eventualelor incidente sau încălcări ale securității datelor survenite în cadrul organizației și a măsurilor luate de DPO pentru a le remedia și a preveni recidiva.
  • Recomandări și acțiuni de îmbunătățire: O listă a recomandărilor DPO-ului pentru îmbunătățirea conformității organizației cu GDPR și protecția datelor, precum și a acțiunilor întreprinse pentru a implementa aceste recomandări.
  • Concluzii: Un rezumat al constatărilor raportului și al oricăror alte observații relevante despre activitățile și responsabilitățile DPO-ului în cadrul organizației.
  • Anexe (dacă este cazul): Anexe pot include orice alte documente relevante, cum ar fi rezultatele auditurilor interne, evaluările de risc sau rapoartele privind incidentele de securitate.

Raportul de activitate al DPO ar trebui să fie un instrument util pentru a evalua eficacitatea DPO-ului în îndeplinirea responsabilităților sale și pentru a asigura că organizația respectă cerințele GDPR și ale altor reglementări privind protecția datelor.

43. Care sunt cele mai comune probleme cu care se confruntă un DPO și cum pot fi abordate?

Un Responsabil cu protecția datelor se poate confrunta cu diverse probleme în timp ce își îndeplinește responsabilitățile de a asigura conformitatea cu GDPR și alte reglementări privind protecția datelor. Iată câteva dintre cele mai comune probleme și moduri de abordare a acestora:

  • Lipsa de resurse și sprijin din partea organizației: Un DPO poate întâmpina dificultăți în a-și îndeplini responsabilitățile fără resursele necesare și sprijinul conducerii. Pentru a aborda această problemă, DPO-ul ar trebui să comunice clar nevoile sale și să obțină sprijinul managementului pentru a aloca resursele necesare.
  • Lipsa de cunoștințe și instruire a angajaților: Un DPO se poate confrunta cu probleme dacă angajații nu sunt instruiți corespunzător în ceea ce privește protecția datelor și cerințele GDPR. Pentru a rezolva acest aspect, DPO-ul trebuie să implementeze programe de instruire și conștientizare pentru angajați.
  • Comunicarea inadecvată cu persoanele vizate și autoritățile de supraveghere: Un DPO trebuie să comunice eficient atât cu persoanele vizate, cât și cu autoritățile de supraveghere. Pentru a aborda această problemă, DPO-ul trebuie să se asigure că procesele de comunicare sunt clare și eficiente și că informațiile relevante sunt comunicate în timp util.
  • Conflictul de interese: Un DPO poate avea un conflict de interese dacă îndeplinește și alte funcții în cadrul organizației care pot influența negativ rolul său de DPO. Pentru a aborda acest aspect, este important ca DPO-ul să aibă o poziție independentă în cadrul organizației și să nu fie implicat în activități care ar putea crea un conflict de interese.
  • Gestionarea incidentelor de securitate și încălcărilor de date: Un DPO se poate confrunta cu provocări în gestionarea incidentelor de securitate și a încălcărilor de date. Pentru a aborda această problemă, DPO-ul trebuie să implementeze proceduri clare de răspuns la incidente și să colaboreze cu alte părți implicate pentru a identifica și remedia problemele.
  • Menținerea conformității în contextul schimbărilor legislative și tehnologice: Un DPO trebuie să se asigure că organizația rămâne în conformitate cu reglementările în vigoare și să adapteze practicile de protecție a datelor la evoluțiile tehnologice. Pentru a face acest lucru, DPO-ul trebuie să rămână informat despre schimbările legislative și tehnologice și să actualizeze periodic politicile și procedurile organizației.
  • Monitorizarea terților și a procesatorilor de date: Un DPO poate întâmpina dificultăți în monitorizarea conformității terților și a procesatorilor de date cu care colaborează organizația. Pentru a aborda această problemă, DPO-ul trebuie să efectueze evaluări periodice ale riscului și să se asigure că există clauze contractuale adecvate în acordurile cu terții și procesatorii de date.
  • Gestionarea solicitărilor persoanelor vizate: Un DPO trebuie să gestioneze solicitările persoanelor vizate referitoare la drepturile lor în conformitate cu GDPR. Pentru a aborda această problemă, DPO-ul trebuie să stabilească proceduri clare pentru gestionarea și răspunsul la solicitări, asigurându-se că răspunsurile sunt furnizate în timp util și în conformitate cu cerințele legale.
  • Crearea și actualizarea documentației necesare: Un DPO trebuie să se asigure că organizația are documentația adecvată în vigoare pentru a demonstra conformitatea cu GDPR. Aceasta poate include evaluări ale impactului asupra protecției datelor, rapoarte de activitate ale DPO și politici interne de protecție a datelor. Pentru a aborda această problemă, DPO-ul trebuie să revizuiască și să actualizeze periodic documentația, având în vedere orice schimbări în cadrul legislativ sau în activitatea organizației.
  • Menținerea încrederii și a reputației organizației: Un DPO are un rol important în menținerea încrederii și a reputației organizației în ceea ce privește protecția datelor. Pentru a aborda această problemă, DPO-ul trebuie să comunice în mod transparent și eficient cu persoanele vizate, autoritățile de supraveghere și alte părți interesate și să se asigure că organizația adoptă o abordare proactivă în gestionarea problemelor de protecție a datelor.

Prin abordarea acestor probleme comune și lucrând în strânsă colaborare cu conducerea organizației și angajații, un DPO poate contribui semnificativ la protecția datelor și la menținerea conformității cu GDPR și alte reglementări relevante.

Ai nevoie de DPO extern?
Lasă provocările GDPR în seama GDPR Complet – echipă de profesioniști cu expertiză juridică, expertiză în securitate IT și expertiză în managementul afacerilor

  • Exercităm funcția de DPO

  • Audităm și Implementăm

  • Instruim personalul

  • Comunicăm cu autoritatea

Concluzii

Sperăm că acest articol v-a oferit răspunsuri și clarificări utile la cele mai frecvente întrebări legate de GDPR. Este important să reținem că respectarea GDPR nu este doar o sarcină legală, ci și o responsabilitate etică pentru a proteja drepturile și libertățile fundamentale ale persoanelor vizate. Prin înțelegerea și aplicarea corectă a regulamentului, organizațiile și persoanele fizice pot asigura protecția datelor cu caracter personal, preveni încălcările și crește încrederea între toți actorii implicați. Continuați să vă informați și să vă adaptați la cerințele GDPR pentru a asigura un mediu digital sigur și transparent.

Dacă aveți nevoie de asistență în implementarea Regulamentului privind Protecția Datelor, fie prin servicii de consultanță GDPR fie prin serviciul DPO externalizat, echipa GDPR Complet vă stă la dispoziție. Cereți o ofertă persoanlizată pe contact@gdprcomplet.ro.