Ce este GDPR? Regulament GDPR explicat în 5 minute.

regulament gdpr

Ce este GDPR?

Ce este GDPR? GDPR reprezintă abrevierea de la Regulamentul General privind Protecția Datelor. Regulamentul GDPR este un regulament european care a devenit lege în România începând cu 25 mai 2018. Din 2018 și până în prezent, numeroase organizații din România au fost sancționate pentru că au prelucrat în mod nelegal datele cu caracter personal ale persoanelor fizice. Companiile care nu se conformează dispozițiilor regulamentului GDPR riscă amenzi care pot ajunge până la 4% din cifra de afaceri sau 20.000.000 euro. Investigația unei organizații române pentru nerespectarea legislației GDPR se realizează de către o autoritate independentă, denumită Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal („ANSPDCP”). Investigațiile pot fi deschise la plângerea (sau sesizarea) unei persoane fizice sau din oficiu de către ANSPDCP. 

Regulamentul GDPR are în centrul său un element primordial: persoana fizică. Datele cu caracter personal ale persoanelor fizice trebuie să fie protejate prin măsuri adecvate împotriva dezvăluirilor către terți și împotriva utilizărilor nelegale. Organizațiile și entitățile care prelucrează date cu caracter personal se numesc operatori. 

Regulament GDPR introduce un principiu important: responsabilitatea. Pe scurt, responsabilitatea înseamnă că operatorul de date este singurul responsabil de a implementa măsurile adecvate pentru protecția datelor cu caracter personal și că poate demonstra că aceste măsuri au fost implementate. Cu alte cuvinte, nu este suficient să protejăm datele cu caracter personal, ci trebuie și să documentăm aceste procese prin politici și proceduri adecvate, precum registre, analize, acorduri cu partenerii comerciali, consimțăminte documentate, informări către persoane.

În era digitală, protecția datelor cu caracter personal este un subiect serios pe agenda fiecărei companii.

În continuare, vom prezenta pe scurt cele mai importante aspecte ale Regulamentului GDPR. 

 

Implementează GDPR rapid, simplu și eficient!

 

Regulament GDPR. Principiile de prelucrare

GDPR introduce șapte principii-cheie care trebuie respectate de către orice Organizație care prelucrează datele cu caracter personal. Aceste principii sunt (1) legalitatea, echitatea și transparența; (2) limitarea scopului; (3) reducerea la minim a datelor; (4) exactitatea; (5) limitările legate de stocare; (6) integritate și confidențialitate; (7) responsabilitate. 

Principiul legalității, echității și transparenței

Principiul legalității, echității și transparenței presupune faptul că datele cu caracter personal trebuie prelucrate în mod legal, echitabil și transparent față de persoana fizică vizată.

Prelucrarea legală a datelor cu caracter personal înseamnă că datele trebuie să fie prelucrate în conformitate cu legea și să se încadreze pe cel puțin unul dintre temeiurile juridice de prelucrare de la art. 6 GDPR. Aceste temeiuri sunt consimțământul, contractul, obligația legală, interesul vital, interesul public și interesul legitim. În situația în care prelucrarea datelor nu respectă legea atunci prelucrarea va fi ilegală, iar organizația va putea fi amendată. În mod similar, dacă prelucrarea datelor nu se bazează pe niciun temei juridic dintre cele prevăzute la art. 6 GDPR atunci prelucrarea datelor cu caracter personal va fi ilegală. 

Legalitatea prelucrării datelor speciale trebuie să respecte anumite cerințe suplimentare. Datele speciale sunt datele cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice; datele privind apartenența la sindicate, datele genetice, datele biometrice în vederea identificării unei ființe umane, datele cu privire la sănătate, datele privind viața sexuală sau orientarea sexuală a unei persoane. Prelucrarea acestor date cu caracter personal sensibil este, în general, interzisă. Cu toate acestea, există anumite situații excepționale când prelucrarea acestor date este legală, de exemplu atunci când datele sunt necesare pentru încheierea unui contract de muncă sau pentru furnizarea unor servicii medicale. 

Principiul echității înseamnă faptul că datele cu caracter personal nu pot fi prelucrate în moduri incorecte, imorale sau în moduri care ar putea prejudicia persoanele vizate. 

Principiul transparenței înseamnă faptul că persoanele fizice trebuie să cunoască modul în care o organizație îi prelucrează datele. Astfel, pentru a respecta principiul transparenței, operatorii trebuie să informeze persoana vizată cu privire la modul în care îi prelucrează datele. Aceasta informare trebuie, de regulă, să se facă înainta de colectarea datelor. Informarea se realizează prin intermediul unor note de informare. Principiul transparenței presupune și faptul că operatorii trebuie să comunice în mod optim și transparent cu persoanele vizate și să le faciliteze exercitarea drepturilor. 

Principiul limitării scopului 

Scopurile prelucrării datelor trebuie să fie determinate, explicite și legitime. Regulamentul GDPR interzice ca datele cu caracter personal să fie prelucrate în alte scopuri incompatibile cu scopurile inițiale. De exemplu, dacă inițial o companie a colectat numărul de telefon al unui client pentru a-i putea livra un produs comandat nu poate utiliza acest număr de telefon într-un scop incompatibil. De exemplu, dacă în viitor, această companie își extinde obiectul de activitate pentru a organiza evenimente, nu poate utiliza numărul de telefon al clientului pentru a-l invita la eveniment. Acest scop (invitarea la eveniment) este diferit și incompatibil de scopul inițial (livrarea bunurilor). Fiind un scop incompatibil, prelucrarea datelor cu caracter personal în noul scop nu va fi legală. 

Principiul reducerii la minimum a datelor 

Principiul reducerii la minimum a datelor presupune faptul că operatorii trebuie să prelucreze doar cantitatea minimă de date pentru atingerea scopurilor. Operatorii nu au voie să prelucreze mai multe date decât le trebuie. Cu alte cuvinte, în materie de date cu caracter personal, „ce e prea mult strică”. De exemplu, pentru livrarea unui produs, o companie are nevoie de numele, adresa, telefonul și (eventual) adresa de e-mail a clientului. Prelucrarea altor date care nu ar fi necesară atingerii scopului (livrarea bunurilor) va fi ilegală. De exemplu, prelucrarea CNP-ului, a imaginii faciale sau a datei de naștere va fi, în general, ilegală deoarece s-ar încălca principiul „reducerii la minimum a datelor”. 

Principiul exactității 

Principiul exactității înseamnă că datele cu caracter personal trebuie să fie exacte, complete și actualizate. Pentru a respecta acest principiu, companiile trebuie să depună toate eforturile pentru a verifica dacă datele cu caracter personal sunt actualizate. Datele care sunt inexacte trebuie șterse sau actualizate fără întârziere. 

Principiul integrității și confidențialității

Pentru a respecta acest principiu, operatorul trebuie, în primul rând, să asigure securitatea datelor. De exemplu, operatorul trebuie să protejeze datele împotriva accesărilor neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale. Conform Regulamentului GDPR, pentru a asigura integritatea și confidențialitatea datelor cu caracter personal, operatorul trebuie să ia măsuri tehnice și organizatorice adecvate, de exemplu să implementeze politici și proceduri de protecție a datelor cu caracter personal. 

Principiul responsabilității

Principiul responsabilității înseamnă faptul că operatorul este responsabil cu privire la respectarea principiilor de mai sus și că poate demonstra această conformitate. Cu alte cuvinte, principiul responsabilității înseamnă nu doar că operatorul trebuie să respecte principiile GDPR, ci și faptul că el trebuie să fie capabil să demonstreze că respectă aceste principii. Demonstrarea respectării principiilor se realizează, de exemplu, prin implementarea unor politici și proceduri de protecție a datelor cu caracter personal. 

Implementează GDPR și evită amenzile!

 

Regulament GDPR. Legalitatea

Toate operațiunile asupra datelor trebuie să fie legale, adică să se bazeze pe cel puțin unul dintre temeiurile de mai jos:

  • Consimțământul – persoana și-a dat în mod valabil consimțământul;
  • Contractul – există un contract sau urmează să se încheie un contract;
  • Obligația legală – există o obligație legală;
  • Interesul vital – protejezi viața sau sănătatea persoanei;
  • Interesul public;
  • Interesul tău legitim – atâta timp cât nu intră în conflict cu interesul persoanei fizice;

Indiferent de temei (consimțământul, contractul, obligația legală etc), operatorul trebuie să respecte GDPR și să pună în practică politici adecvate de protecție a datelor.

Cele șase temeiuri enumerate mai sus se află pe poziție de egalitate. Consimțământul este important, însă el vine cu dezavantaje, cum ar fi dreptul de retragere a consimțământului, imposibilitatea de a obține consimțământul tuturor persoanelor, refuzul de a-și da consimțământul. De aceea, ai putea considera util să verifici dacă nu cumva poți prelucra datele în baza altui temei. Există o obligație legală? Ai un contract cu persoana? Nu ai nevoie de consimțământ.

Interesul legitim se va folosi cu precauție. El se folosește, de regulă, pentru situații în care nu există nu se poate sau nu se dorește obținerea consimțământului și nu există alt temei (supraveghere CCTV, monitorizare locație gps, recrutare, organizări evenimente etc). Pentru a se putea utiliza interesul legitim, este nevoie ca Organizația să documenteze în scris că interesul ei primează asupra drepturilor și intereselor persoanelor vizate.

 

 

Implementează GDPR și evită amenzile!

 

Consimțământul

Consimțământul persoanei trebuie să îndeplinească o serie de condiții, printre care să fie cert și informat. Căsuțele pre-bifate, tăcerea sau inacțiunea nu valorează consimțământ. Persoana trebuie să îți dea consimțământul printr-o acțiune reală, precum bifarea unei căsuțe, o semnătură sau un DA categoric înregistrat.

Consimțământul trebuie să fie însoțit de o notă de informare prin care persoana să afle pentru ce anume își dă consimțământul.

Va trebui să poți demonstra că ai obținut consimțământul valabil și să îi permiți persoanei să își retragă în orice moment consimțământul și la fel de simplu cum l-a dat, dar nu neapărat prin aceeași acțiune.

Pentru copii sub 16 ani, își vor da părinții consimțământul. Iar în anumite cazuri, precum prelucrarea datelor sensibile sau transferul international de date, consimțământul trebuie să fie explicit: verificare în doi factori, semnătură scrisă, semnătură electronica etc.

 

Ce drepturi are persoana fizică?

Regulamentul GDPR oferă persoanei fizice mai multe drepturi (drept la informare, acces, ștergere). Persoana vizată își poate exercita aceste drepturi în raport cu operatorul de date, prin transmiterea unei cereri în acest sens. De exemplu, persoana vizată își poate exercita dreptul la ștergerea datelor prin transmiterea unei cereri de ștergere a datelor către operator. Operatorul nu poate ignora aceasta cerere. El trebuie să o întregistreze și să răspundă la ea în termenul legal. Acest termen este o lună de la primirea cererii. Dacă cererea este complexă sau dacă operatorul are prea multe cereri, termenul de o lună poate fi prelungit cu încă două luni. 

Următorul tabel prezintă drepturile pe care le are persoana fizică conform Regulamentului GDPR: 

 

1 Dreptul la informare persoana trebuie să fie informată, printre altele, cu privire la ce date sunt prelucrate, de ce, în ce scopuri, cui sunt transmise și ce drepturi are

 

 

2 Dreptul de acces persoana are dreptul să își acceseze propriile date cu caracter personal, iar operatorul trebuie să ofere persoanei vizate acces la propriile date
 

 

3

 

 

 

 

 

Dreptul la rectificare

 

 

 

 

 

persoana are dreptul de a obține rectificarea informațiilor incomplete și inexacte care o privesc
 

 

4

 

 

 

 

 

Dreptul la ștergere

 

 

 

 

 

 

În unele situații, persoana are dreptul de a solicita ștergerea datelor cu caracter personal

5 Dreptul la restricționarea prelucării  

 

În unele cazuri, persoana fizică are dreptul de a solicita și obține restricționarea datelor cu caracter personal

 

6  

 

 

 

Dreptul de a portabilitate

 

 

 

În unele cazuri, persoana fizică are dreptul de a solicita și obține portabilitatea datelor cu caracter personal 
 

 

7

 

 

Dreptul la opoziție

 

 

Dreptul persoanei de a se opune prelucrării, atunci când există temei

 

 

8

 

 

Dreptul de a nu fi supusă unei decizii automate, inclusiv crearea de profiluri

 

Persoana are dreptul de a nu face obiectul unei decizii automate cu impact semnificativ. În situația în care face obiectul acestei decizii, ea are dreptul de a contesta decizia și dreptul de a solicita intervenție umană. 

 

 

9

 

 

Dreptul de a depune o plângere la Autoritatea de supraveghere

 

 

Atunci când este nemulțumită de modalitatea în care i se prelucrează datele sau când drepturile nu i-au fost respectate, persoana vizată are dreptul de a depune o plângere la autoritatea de supaveghere 

 

 

10

 

 

Dreptul de a se adresa instanței de judecată

 

 

Persoana vizată are dreptul de a intenta procese în justiție pentru a obține daune materiale și/sau morale pentru prejudiciile cauzate de prelucrarea nelegală a datelor cu caracter personal. 

 

Responsabilul cu protecția datelor

Conform acestui Regulament GDPR, desemnarea responsabilul cu protecția datelor este obligatorie în anumite cazuri. În cazurile în care desemnarea responsabilului nu este obligatorie, este totuși recomandat să desemnați un astfel de responsabil cu protecția datelor. Responsabilul cu protecția datelor este un expert în legislația datelor cu caracter personal și vă poate ajuta pe trei piloni: (1) monitorizarea respectării regulamentului GDPR; (2) comunicarea cu persoanele vizate; (3) comunicarea cu autoritatea de supraveghere. 

Când sunteți obligați să desemnați un responsabil cu protecția datelor? În următoarele trei cazuri desemnarea responsabilului cu protecția datelor este obligatorie: 

  • Sunteți o autoritate sau un organism public;
  • Monitorzați persoanele vizate pe scară largă;
  • Prelucrați volume mari de date speciale.

Responsabilul cu protecția datelor monitorizează respectarea Regulament GDPR de către Organizație și reprezintă principalul punct de contact dintre Organizație, pe o parte și Autoritatea de supraveghere și persoanele vizate, pe de altă parte. El are diverse atribuții și funcții pentru a ajuta Organizația să protejeze datele personale. Responsabilul cu protecția datelor este o funcție independentă. El nu poate fi sancționat și/sau demis pentru îndeplinirea atribuțiilor sale vis-a-vis de monitorizarea Regulamentului GDPR. 

 

 

⇒ Implementează GDPR rapid, simplu și eficient!

 

Evidența activităților de prelucrare

Regulament GDPR obligă operatorii și persoanele împuternicite să țină o evidență a activităților de prelucrare, în următoarele situații:

  • atunci când entitatea are mai mult de 250 angajați;
  • atunci când prelucrarea este susceptibilă să genereze un risc pentru drepturile și libertățile persoanei vizate prelucrarea include categorii speciale de date;
  • atunci când prelucrarea nu este ocazională.

Având în vedere că, în general, în activitatea unei firme, prelucrarea nu este ocazională, ar trebui ca fiecare organizație să aibă o evidență internă a activităților care să fie revizuită periodic.

Evidența poate fi ținută sub forma unui registru și trebuie să cuprindă:

  • numele și datele de contact ale operatorului;
  • descrierea activiților de prelucrare;
  • scopurile prelucrării;
  • categoriile de date prelucrate;
  • categoriile de persoane vizate;
  • categoriile de destinatari;
  • transferurile internaționale de date, dacă e cazul;
  • durata de stocare;
  • măsurile tehnice și organizatorice luate.

Verificarea partenerilor comerciali 

Dacă se transferă date cu caracter personal de la un operator la altul, GDPR obligă operatorii să lucreze doar cu partenerii care prezintă garanții suficiente privind prelucrarea datelor cu caracter personal. Transferul datelor trebuie să se realizeze în siguranță. Datele cu caracter personal trebuie să ajungă doar la parteneri care asigură protecția datelor. Astfel, operatorii nu pot lucra cu alte firme care nu protejează datele cu caracter personal. Înainte de a contracta cu un nou partener, firmele trebuie să realizeze un audit al partenerilor cu privire la gradul de protecție a datelor cu caracter personal. 

Dacă în urma auditului rezultă că potențialul partener comercial nu prezintă garanții suficiente pentru asigurarea protecției datelor cu caracter personal, operatorul nu poate transfera datele cu caracter personal. Dacă încalcă această regulă și transmite datele către o entitate care nu prezintă garanții adecvate privind protecția datelor, operatorul poate fi sancționat pentru încălcarea GDPR. 

În mod ideal, operatorul trebuie să realizeze o auditare constantă (de exemplu, anuală) a partenerilor comerciali. Auditarea se poate realiza prin completarea de chestionarea sau, în cazuri mai complexe (volume mari de date, categorii speciale de date), auditarea se poate realiza prin audituri tehnice (examinarea mijloacelor de protecție, teste de penetrare, etc). 

Acordurile între Operator și Persoana Împuternicită

Acest Regulament GDPR este foarte clar într-o privință: trebuie să existe acorduri scrise între operatorul de date și persoana împuternicită (furnizorul care are acces la date) și stabilește ce anume trebuie să conțină acest contract. De exemplu, operatorul trebuie să aibă contracte semnate cu alte companii către care transferă date (firme de contabilitate, IT, HR, marketing, etc). 

Împuternicitul trebuie să respecte termeni clari în materie de protecție a datelor, iar contractele existente trebuie actualizate cu acorduri de prelucrare. Chiar dacă nu există un contract scris între operator și furnizor, Regulamentul GDPR cere un contract scris în materie de protecție a datelor.

 

Autoritățile de supraveghere

Fiecare stat membru UE are o autoritate de supraveghere independentă responsabilă, printre altele, cu monitorizarea respectării legislației în materie de protecție a datelor, efectuarea investigațiilor, aplicarea sancțiunilor și spirijinul persoanelor vizate. În România, funcționează Autoritatea Națională de Supraveghere a Prelucării Datelor cu Caracter Personal. Conform raportului anual publicat pe site-ul Autorității, în anul 2017, ANSPDCP a dat 217 avertismente și 128 de amenzi.

 

⇒ Implementează GDPR și evită amenzile!

 

Regulament GDPR. Transferurile internaționale de date

Transferul de date ale cetățenilor europeni către state din afara UE ridică întrebări despre cât de bine pot fi protejate aceste date. Acest Regulament GDPR nu interzice în mos expres transferurile internaționale, ci precizează că acestea pot avea loc dacă există garanții corespunzătoare, de exemplu:

      • decizii adecvate.
      • Reguli corporatiste obligatorii;
      • Clauze standard

Există și derogări pentru situații specifice, cum ar fi consimțământul explicit al persoanei sau necesitatea executării unui contract.

 

Ce este GDPR? Regulament GDPR. Căi de atac, răspundere și sancțiuni

RGPD prevede faptul că amenda poate ajunge până la 4% din cifra de afaceri. Legea națională de punere în aplicare a RGPD (Legea nr. 190/2018) confirmă acest lucru.

Atunci când optează între a aplica un avertisment sau o amendă, iar în cazul amenzii, cuantumul acesteia, ANSPDCP ia în calcul mai mulți factori printre care: gradul de conformare, măsurile implementate, gravitatea abaterii, numărul încălcărilor, prejudiciile aduse persoanelor vizate și măsurile întreprinse de operator sau împuternicit pentru prevenirea limitarea prejudiciului.

Persoanele vizate nemulțumite de modul în care o Organizație le prelucrează datele au drepturile de a depune o plângere la Autoritatea de supraveghere și de a se adresa instanțelor de judecată pentru obținerea despăgubirilor.

Vrei să implementezi GDPR? Află mai multe aici !

AFLĂ MAI MULTE!

Vrei să primești articolele noastre direct pe mail?

Abonează-te, e gratuit!