Regulamentul General privind Protecția Datelor (GDPR) este legislația-cadru din Uniunea Europeană care asigură protecția datelor cu caracter personal. Datele cu caracter personal sunt acele informații care se referă la o persoană fizică. Acestea sunt, de exemplu, numele și prenumele, domiciliul, CNP-ul, datele de contact, datele medicale, informațiile bancare. În esență, orice informație prin care o persoană poate fi identificată, direct sau indirect, este considerată a se încadra în noțiunea de „date cu caracter personal”. Sunt considerate a fi date cu caracter personal nu doar informațiile care identifică direct o persoană (de exemplu, numele și prenumele sau CNP-ul), ci si informațiile care identifică în mod indirect o persoană (adresa IP, datele de localizare, etc).
GDPR urmărește crearea unui cadru juridic în care sunt respectate drepturile, viața privată și intimitatea persoanelor. Astfel, GDPR urmărește ca drepturile persoanelor vizate să fie mai puternice și mai ușor de exercitat. Companiile și alte entități care prelucrează datele (operatori, persoane împuternicite, etc) au obligații stricte privind prelucrarea datelor cu caracter personal ale persoanelor fizice din Uniunea Europeană. Dacă nu se conformează acestor obligații specifice, operatorii și persoanele împuternicite riscă amenzi care pot ajunge până la 4% din cifra de afaceri.
Redăm, în cele ce urmează, o listă a celor mai importante aspecte reglementate de GDPR.
1. GDPR are o aplicare teritorială extinsă: GDPR se aplică nu doar în Uniunea Europeană, ci în toată lumea. GDPR se aplică tuturor entităților care prelucrează date cu caracter personal atunci când oferă bunuri sau servicii persoanelor fizice din UE sau atunci când monitorizează comportamentul acestora (de exemplu, prin tehnologii de urmărire a persoanelor pe internet – tracking). Astfel, chiar și companiile din afara UE trebuie să respecte normele GDPR atunci când prelucrează date ale persoanelor din UE sau când le monitorizează comportamentul.
2. Drepturile persoanelor fizice vizate: GDPR conferă persoanelor fizice vizate anumite drepturi privind datele lor cu caracter personal, de exemplu dreptul de acces la propriile date cu caracter personal, dreptul la rectificarea datelor, dreptul la ștergerea datelor, dreptul la restricționarea prelucrării, datelor dreptul la portabilitatea datelor și dreptul de a se opune prelucrării datelor. Persoanele fizice vizate își pot exercita aceste drepturi pentru a avea un oarecare control asupra modulului în care li se prelucrează datele.
3. Obligațiile operatorilor și ale persoanelor împuternicite: GDPR impune obligații specifice operatorilor și persoanelor împuternicite. Operatorii și persoanele împuternicite trebuie să respecte principiile de prelucrare. Printre obligațiile acestora se numără obligații de prelucrare legală și transparentă a datelor, informarea persoanelor vizate, asigurarea securității și confidențialității datelor, prelucrarea unei cantități minime de date, prelucrarea datelor pentru scopuri precise, păstrarea datelor pe o durată maximă, efectuarea de evaluări de impact, obținerea (în anumite cazuri) a consimțământului persoanelor, asigurarea faptului că transferurile către statele din afara UE sunt legale, notificarea incidentelor de securitate, numirea unui responsabil cu protecția datelor (DPOA), încheierea de contracte cu furnizorii de servicii (persoanele împuternicite) pentru protecția datelor cu caracter personal.
Implementează GDPR și evită amenzile!
4. Consimțământul: GDPR introduce standarde înalte și cerințe stricte pentru obținerea consimțământului privind prelucrarea datelor cu caracter personal. Consimțământul trebuie să fie liber, informat, specific și neechivoc, iar persoanele trebuie să aibă posibilitatea de a-și retrage consimțământul în orice moment.
5. Consimțământul explicit: GDPR impune că prelucrarea datelor speciale (date medicale, date biometrice, date privind credințele religioase, opiniile politice, datele genetice, etc) trebuie să se bazeze pe consimțământul explicit al persoanelor vizate. Diferența dintre consimțământul normal și consimțământul explicit este aceea că nivelul de claritate și specificitate al consimțământul explicit trebuie să fie mai ridicat decât acela al consimțământului normal. Consimțământul explicit se obține prin modalități specifice, de exemplu prin declarații semnate, prin opt-in pe e-mail, prin căsuțe de bifat privind exprimarea consimțământului explicit, prin verificări a consimțământului în mai multe etape. Consimțământul explicit este necesar și pentru transferul datelor personale în afara UE.
6. Notificarea încălcărilor de securitate: Atunci când intervine un incident de securitate sau o dezvăluire/accesare neautorizată a datelor cu caracter personal, companiile trebuie să notifice acest incident autoritățile de supraveghere competente. Atunci când incidentul de securitate prezintă riscuri ridicate, și persoanele vizate trebuie notificate. Notificarea nu este necesară atunci când respectiva încălcare de securitate nu prezintă riscuri pentru persoanele vizate. Notificarea trebuie transmisă către autoritatea de supraveghere competentă într-un termen rezonabil (maxim 72 de ore de la conștientizarea incidentului). Notificarea trebuie să includă informații despre natura încălcării și despre măsurile luate pentru remedierea situației, pentru reducerea la minimum a riscurilor și pentru protecția drepturilor persoanelor vizate.
7. Protecția datelor prin design și protecția datelor în mod implicit (Privacy by design și Privacy by default): GDPR impune integrarea principiilor de protecție a datelor încă de la etapa de proiectare a sistemelor și serviciilor și pe tot ciclul lor de viață.
8. Transferurile internaționale de date: Transferurile de date între statele din UE se poate realiza fără niciun fel de restricție. Cu toate acestea, transferul datelor către țări din afara UE ridică numeroase probleme în practică deoarece se pune întrebarea dacă aceste date au legislație pentru a proteja în mod adecvat datele cu caracter personal. Astfel, potrivit GDPR, transferul datelor către țări și organizații din afara UE se poate realiza doar cu respectarea unor condiții stricte. Transferurile internaționale de date pot fi efectuate doar dacă state respective asigură un nivel adecvat de protecție a datelor. În majoritatea situațiilor, este nevoie de mecanisme suplimentare de protecție a datelor (clauzele contractuale standard, reguli corporative obligatorii).
9. Evaluarea impactului asupra protecția datelor. În cazul prelucrărilor de date care pot prezenta riscuri ridicate pentru drepturile și libertățile persoanelor, operatorii trebuie să efectueze, în prealabil, o evaluare a impactului asupra protecției datelor (DPIA). Efectuarea unei DPIA presupune analiza și evaluarea riscurilor potențiale și reziduale. DPIA trebuie să prezintă măsuri pentru reducerea la minimum a riscurilor și pentru protecția drepturilor persoanelor. Dacă, în urma unei DPIA, rezultă că riscurile sunt ridicate și nu pot fi atenuate, atunci prelucrarea datelor trebuie să înceteze. Dacă dorește să prelucreze datele în această situație, organizația trebuie să consulte autoritatea de supraveghere.
10. Protecția datelor și marketing-ul direct: Companiile trebuie să obțină consimțământul explicit al persoanelor înainte de a le trimite conținut de tip comercial. Persoanele au dreptul de a se opune activităților de marketing direct.
11. Sancțiuni și amenzi. Companiile și celelalte entități care prelucrează date personale și care nu se conformează prevederilor GDPR riscă amenzi care pot ajunge până la 4% din cifra de afaceri globală.
Te-ar putea interesa și: