Ce este GDPR? Regulament GDPR explicat în 5 minute.

Share on facebook
Share on google
Share on twitter
Share on linkedin
regulament gdpr
5/5

Ce este GDPR?

Ce este GDPR? Regulamentul general privind protecția datelor (denumit în continuare „GDPR” sau „Regulament GDPR”) a devenit lege în România începând cu 25 mai 2018. Pentru nerespectarea cerințelor de protecție, sancțiunile pot ajunge până la 4% din cifra de afaceri sau 20.000.000 euro. Investigația unei organizații române se face de Autoritatea de supraveghere din România, dar, în unele cazuri și de autoritățile de supraveghere din alte state membre UE, cum ar fi, de exemplu, situația în care o organizație prelucrează date ale unei persoane fizice străine, iar aceasta are dreptul de a se adresa cu o plângere la ea acasă sau chiar de a se adresa instanțelor de judecată din țara de proveniență. Provocarea este mare, având în vedere că majoritatea site-urile pot fi accesate de oriunde, iar unele companii din România vând bunuri, prestează servicii sau interacționează în alte modalități cu cetățeni ai Uniunii.

Regulamentul GDPR are în centru său un element primordial: persoana fizică. Datele persoanei fizice trebuie protejate prin măsuri adecvate.

Regulament GDPR introduce un principiu important: responsabilitatea.

Pe scurt, responsabilitatea înseamnă că operatorul de date este singurul responsabil de a implementa măsurile adecvate pentru protecția datelor cu caracter personal și că poate demonstra că aceste măsuri au fost implementate. Cu alte cuvinte, nu este suficient să protejăm datele cu caracter personal, ci trebuie și să documentăm aceste procese prin politici și proceduri adecvate, precum registre, analize, acorduri cu partenerii comerciali, consimțăminte documentate, informări către persoane. Aceste documente în format editabil și descărcabil se găsesc în cursul nostru GDPR care poate fi urmat online aici 

În pas de traziție către era digitală, protecția datelor cu caracter personal este un subiect serios pe agenda fiecărei companii.

Acum că am aflat împreună ce este gdpr, în continuare, vom rezuma pe scurt GDPR, cu mențiunea că pe blogul LegalUp publicăm constant articole despre Regulamentul GDPR pentru a veni în spirijinul companiilor.

Regulament GDPR. Principiile 

GDPR introduce șase principii care trebuie respectate de către orice Organizație care prelucrează date așa cum sunt ele descrise pe scurt mai jos:

  • Legalitate, echitate și transparență

prelucrează datele legal și corect față de persoana vizată și explică-i de ce îi prelucrezi într-un limbaj pe care îl poate înțelege, fără jargon juridic.

  • Limitarea scopuluinu folosi datele în altă manieră decât aceea prezentată persoanei fizice;
  • Minimizarea datelornu prelucra mai multe date decât îți trebuie;
  • Exactitatepăstrează datele actualizate;
  • Integritate și confidențialitateprotejează datele prin măsuri adecvate;
  • Responsabilitatedocumentează procesele și fii capabil să demonstrezi respectarea principiilor de mai sus.

 

Te-ar putea interesa și:

 

Regulament GDPR. Legalitatea

Toate operațiunile asupra datelor trebuie să fie legale, adică să se bazeze pe cel puțin unul dintre temeiurile de mai jos:

  • Consimțământul – persoana și-a dat în mod valabil consimțământul;
  • Contractul – există un contract sau urmează să se încheie un contract;
  • Obligația legală – există o obligație legală;
  • Interesul vital – protejezi viața sau sănătatea persoanei;
  • Interesul public;
  • Interesul tău legitim – atâta timp cât nu intră în conflict cu interesul persoanei fizice;

Indiferent de temei (consimțământul, contractul, obligația legală etc), trebuie să respecți GDPR și să pui în practică politici adecvate de protecție a datelor.

Cele șase temeiuri enumerate mai sus se află pe poziție de egalitate. Consimțământul este important, însă el vine cu dezavantaje, cum ar fi dreptul de retragere a consimțământului, imposibilitatea de a obține consimțământul tuturor persoanelor, refuzul de a-și da consimțământul. De aceea, ai putea considera util să verifici dacă nu cumva poți prelucra datele în baza altui temei. Există o obligație legală? Ai un contract cu persoana? Nu ai nevoie de consimțământ.

Interesul legitim se va folosi cu precauție. El se folosește, de regulă, pentru situații în care nu există nu se poate sau nu se dorește obținerea consimțământului și nu există alt temei (supraveghere CCTV, monitorizare locație gps, recrutare, organizări evenimente etc). Pentru a se putea utiliza interesul legitim, este nevoie ca Organizația să documenteze în scris că interesul ei primează asupra drepturilor și intereselor persoanelor vizate.

 

Consimțământul

Consimțământul persoanei trebuie să îndeplinească o serie de condiții, printre care să fie cert și informat. Căsuțele pre-bifate, tăcerea sau inacțiunea nu valorează consimțământ. Persoana trebuie să îți dea consimțământul printr-o acțiune reală, precum bifarea unei căsuțe, o semnătură, un DA categoric înregistrat.

Consimțământul trebuie să fie însoțit de o notă de informare prin care persoana să afle pentru ce anume își dă consimțământul.

Va trebui să poți demonstra că ai obținut consimțământul valabil și să îi permiți persoanei să își retragă în orice moment consimțământul și la fel de simplu cum l-a dat, dar nu neapărat prin aceeași acțiune.

Pentru copii sub 16 ani, își vor da părinții consimțământul. Iar în anumite cazuri, precum prelucrarea datelor sensibile sau transferul international de date, consimțământul trebuie să fie explicit: verificare în doi factori, semnătură scrisă, semnătură electronica etc.

 

 

 

Ce drepturi are persoana fizică?

Ce este GDPR am aflat deja, dar în centrul GDPR se află persoana fizică, iar regulament GDPR introduce un set de drepturi pentru persoana fizică vizată pe care  operatorul trebuie să le respecte și să răspundă în timp util la cererile persoanei, de obicei, în termen de maxim o lună.

 

1 Dreptul la informare persoana trebuie să fie informată, printre altele, cu privire la ce date sunt prelucrate, de ce, în ce scopuri, cui sunt transmise și ce drepturi are

 

2 Dreptul de acces persoana are dreptul să acceseze propriile informații personale prelucrate
 

3

 

 

 

 

Dreptul la rectificare

 

 

 

 

 

persoana are dreptul de a obține rectificarea informațiilor incomplete și inexacte care o privesc
 

4

 

 

 

 

Dreptul la ștergere

 

 

 

 

 

În unele situații, persoana are dreptul de a solicita ștergerea datelor care nu mai sunt necesare

5 Dreptul la restricționarea prelucării  

Restricționarea prelucrării atunci când există temei

 

6  

 

 

Dreptul de a portabilitate

 

 

 

Dreptul persoanei de a solicita portarea datelor de la un operator la altul
 

7

 

Dreptul la obiecție

 

Dreptul persoanei de a se opune prelucrării, atunci când există temei

 

8

 

Dreptul de a nu fi supusă unei decizii automate, inclusiv crearea de profiluri

 

Persoana are dreptul la intervenție umană în cazul deciziilor importante care o privesc

 

9

 

Dreptul de a depune o plângere la Autoritatea de supraveghere

 

Atunci când este nemulțumită de modalitatea în care i se prelucrează datele sau când drepturile nu i-au fost respectate

 

10

 

Dreptul de a se adresa instanței de judecată

 

Pentru a obține daune materiale și/sau morale dacă a rezultat un prejudiciu

 

Responsabilul cu protecția datelor

În funcție de specificul organizației dumneavoastră, sunteți obligat sau nu să desemnați un responsabil cu protecția datelor.

Sunteți obligat să desemnați unul dacă:

  • Sunteți o autoritate sau un organism public;
  • Monitorzați persoanele vizate pe scară largă;
  • Prelucrați volume mari de date speciale.

Responsabilul cu protecția datelor monitorizează respectarea Regulament GDPR de către Organizație și reprezintă principalul punct de contact dintre Organizație, pe o parte și Autoritatea de supraveghere și persoanele vizate, pe de altă parte. El are diverse atribuții și funcții pentru a ajuta Organizația să protejeze datele personale.

 

Evidența activităților de prelucrare

Regulament GDPR obligă operatorii și persoanele împuternicite să țină o evidență a activităților de prelucrare, în următoarele situații:

  • atunci când entitatea are mai mult de 250 angajați;
  • prelucrarea este susceptibilă să genereze un risc pentru drepturile și libertățile persoanei vizate prelucrarea include categorii speciale de date;
  • prelucrarea nu este ocazională.

Având în vedere că, în general, în activitatea unei firme, prelucrarea nu este ocazională, ar trebui ca fiecare organizație să aibă o evidență internă a activităților care să fie revizuită periodic.

Evidența poate fi ținută sub forma unui registru și trebuie să cuprindă:

  • Numele și datele de contact ale operatorului;
  • descrierea activiților de prelucrare;
  • scopurile prelucrării;
  • categoriile de date prelucrate;
  • categoriile de persoane vizate;
  • categoriile de destinatari;
  • transferurile internaționale de date, dacă e cazul;
  • durata de stocare;
  • măsurile tehnice și organizatorice luate.

Acordurile între Operator și Împuternicit

GDPR este foarte clar într-o privință: trebuie să existe acorduri scrise între operatorul de date și persoana împuternicită (furnizorul care are acces la date) și stabilește ce anume trebuie să conțină acest contract. Împuternicitul trebuie să respecte termeni clari în materie de protecție a datelor, iar contractele existente trebuie actualizate cu acorduri de prelucrare. Chiar dacă nu există un contract scris între operator și furnizor, Regulament GDPR cere un contract scris în materie de proitecție a datelor.

 

Te-ar putea interesa și:

 

Autoritățile de supraveghere

Fiecare stat membru UE are o autoritate de supraveghere independentă responsabilă, printre altele, cu monitorizarea respectării legislației în materie de protecție a datelor, efectuarea investigațiilor, aplicarea sancțiunilor și spirijinul persoanelor vizate. În România, funcționează Autoritatea Națională de Supraveghere a Prelucării Datelor cu Caracter Personal. Conform raportului anual publicat pe site-ul Autorității, în anul 2017 ANSPDCP a dat 217 avertismente și 128 de amenzi.

 

Regulament GDPR. Transferurile internaționale de date

Transferul de date ale cetățenilor europeni către state din afara UE ridică întrebări despre cât de bine pot fi protejate aceste date. RGPD nu interzice în mos expres transferurile internaționale, ci precizează că acestea pot avea loc dacă există garanții corespunzătoare, de exemplu:

  • decizii adecvate, așa cum este cazul Privacy Shield unde sunt incluși marii furnizori de tehnologie (Google, Facebook, Amazon) și a alte companii.
  • Reguli corporatiste obligatorii;
  • Clauze standard

Există și derogări pentru situații specifice, cum ar fi consimțământul explicit al persoanei sau necesitatea executării unui contract.

 

Ce este GDPR? Regulament GDPR. Căi de atac, răspundere și sancțiuni

Și așa ajungem la motivul pentru care implementați normele GDPR: amenzile. RGPD prevede faptul că amenda poate ajunge până la 4% din cifra de afaceri. Legea națională de punere în aplicare a RGPD (Legea nr. 190/2018) confirmă acest lucru.

Atunci când optează între a aplica un avertisment sau o amendă, iar în cazul amenzii, cuantumul acesteia, ANSPDCP ia în calcul mai mulți factori printre care: gradul de conformare, măsurile implementate, gravitatea abaterii, numărul încălcărilor, prejudiciile aduse persoanelor vizate și măsurile întreprinse de operator sau împuternicit pentru prevenirea limitarea prejudiciului.

Persoanele vizate nemulțumite de modul în care o Organizație le prelucrează datele au drepturile de a depune o plângere la Autoritatea de supraveghere și de a se adresa instanțelor de judecată pentru obținerea despăgubirilor.

 

Vrei să implementezi GDPR? Consultă tutorialul nostru de implementare aici sau consultă oferta noastră aici .

 

Articolul este scris de Ruxandra Sava. 

Ruxandra Sava este avocat specializat în dreptul tehnologiei și al protecției datelor cu caracter personal. 

În iunie 2017, Ruxandra a fondat LegalUp cu scopul de fi principalul punct de informare în domeniul legislației privind protecția datelor cu caracter personal.


Pasionată de domeniu, a publicat în mediul online peste 100 de articole referitoare la GDPR, a implementat GDPR în cadrul a peste 20 de companii  (mici, medii, mari) și a lansat prima carte în domeniul intitulată „GDPR pe înțelesul tău”. 

Ruxandra a lansat în mai 2018, în colaborare cu o altă companie, primul KIT de implementare GDPR, care a fost achizitionat și implementat de numeroase companii, printre care Starbucks, Qfort, Regio Călători SRL, Aqua Carpatica. 4 luni mai târziu, Ruxandra Sava a dus proiectul la următorul nivel, potrivit feedback-ului din partea clienților: a îmbunătățit, a simplificat procedurile și a adăugat altele noi cu ajutor din partea specialiștilor în securitate și a lansat pe propria platformă, LegalUp, KIT GDPR Premium, incluzând și suportul la implementare.

Ruxandra Sava deține certificarea CIPP/E. CIPP/E este prima acreditare europeană specifică profesioniștilor europeni în domeniul protecției datelor care atestă cunoștințele teoretice și practice în domeniul confidențialității și securității datelor cu caracter personal. CIPP/E atestă cunoașterea legistației europene și naționale privind protecția datelor, aspectele practice și standardele în implementarea legislației în cadrul organizațiilor, precum și fluxurile internaționale de date.

LegalUp

LegalUp

Despre LegalUp

Despre LegalUp

LegalUp Innovators at Law. Creativi, vizionari și inovatori, noi avem cea mai bună soluție acolo unde tehnologia se intersectează cu dreptul.

Articole recente

Fii la curent cu noi

Servicii și produse recomandate

Vreau să fiu la curent cu articolele LegalUp

Prin abonarea la newsletter, declari că ai peste 16 ani, că ai citit și că ești de acord cu Politica de confidențialitate 

  • Termeni si conditii magazin online

    450lei
  • Analiză interes legitim monitorizare CCTV

    150lei
  • Regulamentul General privind Protectia Datelor (GDPR) pe întelesul tău. Sinteză teoretică și recomandări practice. Carte GDPR

    97lei
  • Politică de confidentialitate pentru site/magazin online

    250lei
  • Contract operator - împuternicit

    500lei
  • KIT GDPR Premium LegalUp

    1,600lei
regulament-gdpr-pe-scurt-afl-ce-presupune-n-mai-puin-de-5-minute

Ești în siguranță pe site-ul nostru.

LegalUp Innovators at Law utilizează fişiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe Website-ul nostru. Te informăm că ne-am actualizat politicile pentru a integra în acestea si în activitatea curentă a LegalUp.ro cele mai recente modificări propuse de Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date. Înainte de a continua navigarea pe Website-ul nostru te rugăm să aloci timpul necesar pentru a citi și înțelege conținutul Politica privind utilizarea modulelor Cookie și Politica noastră de confidențialitate. Nu uita totuși că poți modifica în orice moment setările acestor fişiere cookie urmând instrucțiunile din Politica de Cookies.

Privacy Settings saved!
Setari permisiuni

Cookie-urile sunt folosite pe acest site pentru a oferi cea mai bună experiență de utilizator. Dacă continuați, presupunem că sunteți de acord să primiți cookie-uri de pe acest site

Utilizăm fișiere de tip cookie pentru a personaliza și imbunătăți experiența ta pe website-ul nostru.

Utilizăm fișiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe website-ul nostru.
  • wordpress_test_cookie
  • wordpress_logged_in_
  • wordpress_sec

Decline all Services
Da, Sunt de acord