Introducere in noul Regulament de protectie a datelor personale

Începând din 25 mai 2018, odată cu intrarea în vigoare a Regulamentului general privind protecția datelor, tuturor companiilor și organizațiilor care desfășoară activități în UE li se aplică același set de norme privind protecția datelor, oriunde și-ar avea sediul.

Datorită normelor mai stricte privind protecția datelor:

  • cetățenii se bucură de mai mult control asupra propriilor date cu caracter personal;
  • companiile beneficiază de condiții de concurență echitabile.

A. Ce este GDPR si de ce e necesar?

Noul Regulament general privind protecția datelor al Uniunii Europene („GDPR”) e o extensie evolutiva a Directivei de Protectie a Datelor 95/46/EC emisa de Comisia Europeana in 1995. El are ca scop principal unificarea si intarirea protectiei datelor pentru cetatenii Uniunii Europene. Totodata, formuleaza noi reguli pentru exportul datelor in afara UE.

E important sa stim ca GDPR are in vedere doar datele personale: nume, adrese de email, numere de telefon, starea civila, informatiile bancare si medicale, date privind locatia, adrese de IP, fotografii, dar si pozele si postarile persoanelor pe retelele sociale.

Scopurile sale principale sunt:

  • micsorarea volumului de date personale colectate,
  • stergerea datelor nenecesare,
  • restrictionarea accesului la datele personale,
  • securizarea datelor personale.

B. Care este sfera de aplicabilitate?

GDPR reglementează prelucrarea de către o persoană fizică, o societate sau o organizație a unor date cu caracter personal referitoare la persoane fizice în UE.

Regulamentul nu se aplică prelucrării datelor cu caracter personal ale persoanelor decedate sau ale persoanelor juridice.

C. Care sunt principalele noutati ale GDPR? 

GDPR oferă persoanelor fizice vizate de prelucrarea datelor cu caracter personal următoarele drepturi generale: Dreptul de a fi informat, de acces, de rectificare, de ștergere, de a restricționa procesarea, dreptul la portabilitatea datelor, la obiect, precum și drepturi legate de luarea de decizii automatizate și de profilare. 

Cele mai importante noutati se refera la:

  • Consimtamant – solicitarea consimtamantului trebuie să fie facuta intr-un limbaj clar si accesibil, cu specificarea naturii si scopurilor prelucrarii datelor personale. Consimtamantul trebuie sa fie la fel de usor de acordat si de retras. Exclusa folosirea de casute cu bifa pre-stabilita. Consimtamantul persoanei trebuie sa fie explicit, liber exprimat, specific si in cunostinta de cauza.
  • Dreptul de a fi uitat: persoana poate cere stergerea datelor sale daca acestea sunt prelucrate ilegal, fara consimtamant, sau daca datele nu mai sunt necesare scopului pentru care au fost furnizate;
  • Dreptul la portabilitatea datelor: utilizatorul poate alege sa transmita datele sale personale catre alt operator/business;
  • Prevederi referitoare la minori – daca serviciile organizatiei/companiei dvs sunt accesate de catre minori, va trebui sa aflati varsta utilizatorilor si sa obtineti consimtamantul parintelui pentru procesarea datelor; În România, în absența unei legislații specifice, vârsta consimțământului în domeniul digital pare să fie menținută la 16 ani; (citește mai mult >>)
  • Studiul de impact – inaintea procesarii datelor care presupun un risc ridicat asupra vietii personale, companiile sunt obligate sa efectueze un Studiu de Impact si sa ia masuri care sa impiedice aparitia/producerea acestor situatii;
  • Privacy by Design – daca sunteti dezvoltator de aplicatii care pot prelucra date personale, trebuie sa va asigurati din stadiul dezvoltarii lor ca aplicatiile respecta GDPR;
  • Privacy by Default : in cazul in care sunteti furnizor de aplicatii care prelucrează date personale, incepand de la setarile initiale, va asigurati ca utilizatorii au control asupra vietii lor private si asupra a ceea ce impartasesc cu alti utilizatori;
  • Notificarea prelucrării de date cu caracter personal – operatorii nu mai sunt obligați sa notifice prelucrările de date;
  • Scurgerile de date – trebuie raportate in 72 de ore catre autoritatile responsabile de protectia datelor;
  • Ofiterii de protectie a datelor – numirea OPD va fi obligatorie in toate situatiile in care activitatea principala a institutiei consta în prelucrari de date care necesită o monitorizare sistematică a persoanelor și la scara larga, sau prelucrari a unor categorii speciale de date, inclusiv date privind condamnările penale și infracțiunile.

D. Care sunt autoritatile care se ocupa de GDPR?

Pentru Romania exista Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal cu mentiunea, ca daca prelucrezi date la nivel transnational, autoritatile nationale vor colabora cu cele din statele in care sunt prelucrate datele. Gasesti aici lista completa a autoritatilor nationale din cadrul UE. 

E. Care sunt amenzile aplicabile de anul acesta?

Pentru nerespectarea GDPR sanctiunile sunt extrem de severe – pana la 10 – 20 milioane € sau intre 2% si 4% din cifra de afaceri la nivel international.

Link-uri utile:

Protecția datelor – Norme pentru protecția datelor personale în interiorul și în afara UE

Șapte pași pentru pregătirea întreprinderilor pentru GDPR