13 lucruri de bază pe care trebuie să le știi legat de GDPR !
1.Motivele adoptării regulamentului
Principiile și normele referitoare la protecția persoanelor fizice, în ceea ce privește prelucrarea datelor lor cu caracter personal, ar trebui, indiferent de cetățenia sau de locul de reședință al persoanelor fizice, trebuie să respecte drepturile și libertățile fundamentale ale acestora, în special dreptul la protecția datelor cu caracter personal.
Apărarea dreptului la viață intimă, familială și privată în privința prelucrării datelor cu caracter personal. Regulamentul impune un set unic de reguli direct aplicabile in toate statele membre ale Uniunii Europene și înlocuiește Directiva 95/46/CE și, implicit, prevederile Legii nr. 677/2001.
2.Date cu caracter personal
Este considerată dată cu caracter personal orice informație referitoare la o persoană fizică identificată sau identificabilă. O persoană identificabilă este acea persoană care poate fi identificată, direct sau indirect, în mod particular prin referire la un număr de identificare ori la unul sau la mai mulți factori specifici identității sale fizice, fiziologice, psihice, economice, culturale sau sociale.
3.Date cu nivel de protecție normal:
Nume, Prenume,Adresa e-mail, Număr telefon, Numărul unui cont bancar, Data nașterii ,Număr de identificare personal etc.
Cu alte cuvinte, orice date care permit compromiterea directă sau indirectă a identității unei persoane prin intermediul unei terțe părți.
4.Date sensibile:
Date genetice – Definite în documente internaționale ca date referitoare la caracteristicile ereditare ale unei persoane sau la modelul ereditar al unor astfel de caracteristici referitoare la un grup de persoane dintr-o familie, datele genetice sunt date cu caracter personal în sensul Directivei 95/46/EC, deoarece permit identificarea persoanei în cauză, punând în evidență unicitatea acesteia.
Date biometrice – Datele biometrice incluse în documentele electronice sunt imaginea faciala în format digital și imaginile impresiunilor papilare a doua degete, în format digital.
Date privind sănătatea unei persoane – Presupun date cu caracter personal legate de sănătatea fizică sau mentală a unei persoane fizice, inclusiv prestarea de servicii de asistență medicală, care dezvăluie informații despre starea de sănătate a acesteia.
5.Condiții de prelucrare
Datele vor fi: Prelucrate în mod legal, echitabil și transparent față de persoana vizată (legalitate, echitate și transparență);
Adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate (reducerea la minimum a datelor).
6.Prelucrarea legală a datelor se face în următoarele condiții:
- Persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;
- Prelucrarea este necesară pentru executarea unui contract la care persoana vizată,este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract;
- Prelucrarea este necesară în vederea îndeplinirii unei obligații legale care ii revine operatorului;
- Prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;
- Prelucrarea este necesara pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este investit operatorul;
- Prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terță, cu excepția cazului în care prevalează interesele sau drepturile si libertățile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil.
7.Drepturi noi ale persoanei vizate aduse de Regulament Dreptul de acces la date
Dreptul de a obține de la operator informații cu privire la ce informații prelucrează, scopul lor etc. Dreptul la rectificarea datelor
Dreptul de a obține de la operator rectificarea datelor cu caracter personal inexacte care o privesc Dreptul la ștergea datelor (dreptul de a fi uitat)
Persoana vizată are dreptul de a obține din partea operatorului ștergerea datelor cu caracter personal care o privesc, fără întârzieri nejustificate, iar operatorul are obligația de a șterge datele cu caracter personal fără întârzieri nejustificate.
Dreptul la restricționarea prelucrării – este dreptul de a obtine restricționarea prelucrării datelor de către persoana vizată
8.Numirea unui responsabil cu protecția datelor (DPO)
Operatorul ori persoana împuternicită de operator va desemna un responsabil cu protecția datelor ori de cate ori:
- Prelucrarea este efectuată de o autoritate sau un organism public, cu excepția instanțelor care acționează în exercițiul funcției lor jurisdicționale;
- Activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în operațiuni de prelucrare care, prin natura, domeniul de aplicare și/sau scopurile lor, necesită o monitorizare periodică și sistematică a persoanelor vizate pe scară largă;
- Activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în prelucrarea pe scară largă a unor categorii speciale de date sau a unor date cu caracter personal privind condamnări penale și infracțiuni.
9.Sarcinile responsabilului cu protecția datelor:
- Informarea și consilierea operatorului sau a persoanei împuternicite de operator, precum și a angajaților care se ocupă de prelucrare cu privire la obligațiile care le revin în temeiul prezentului Regulament și al altor dispoziții de drept al Uniunii sau drept intern referitoare la protecția datelor;
- Monitorizarea respectării Regulamentului, a altor dispoziții de drept al Uniunii sau de drept intern referitoare la protecția datelor și a politicilor operatorului sau ale persoanei împuternicite de operator în ceea ce privește protecția datelor cu caracter personal, inclusiv alocarea responsabilităților și acțiunilor de sensibilizare și de formare a personalului implicat în operațiunile de prelucrare, precum și auditurile aferente;
- Furnizarea de consiliere la cerere în ceea ce privește evaluarea impactului asupra protecției datelor și monitorizarea funcționării acesteia;
- Cooperarea cu autoritatea de supraveghere;
- Asumarea rolului de punct de contact pentru autoritatea de supraveghere privind aspectele legate de prelucrare, inclusiv consultarea prealabilă și, dacă este cazul, consultarea cu privire la orice altă chestiune.
10.Cartografierea datelor
Începand cu 25 mai 2018, toți operatorii din sistemul public, persoanele împuternicite de operatori, precum și operatorii din sistemul privat cu mai mult de 250 de angajați au obligația de a cartografia prelucrările de date cu caracter personal efectuate.
Obligația de cartografiere este necesară și în cazul în care prelucrarea pe care o efectuează operatorul este susceptibilă de a genera un risc pentru drepturile și libertățile persoanelor vizate, prelucrarea nu este ocazională sau prelucrarea include categorii speciale de date sau date cu caracter personal referitoare la condamnări penale și infracțiuni.
Respectiva evidență a activităților de prelucrare va cuprinde următoarele informații:
- Numele și datele de contact ale operatorului și, după caz, ale operatorului asociat, ale reprezentantului operatorului și ale responsabilului cu protecția datelor;
- Scopurile prelucrării;
- Descrierea categoriilor de persoane vizate și a categoriilor de date cu caracter personal;
- Categoriile de destinatari cărora le-au fost sau le vor fi divulgate datele cu caracter personal, inclusiv destinatarii din țări terțe sau organizații internaționale;
- Dacă este cazul, transferurile de date cu caracter personal către o țară terță sau o organizație internațională, inclusiv identificarea țării terțe sau a organizației internaționale respectiv, documentația care dovedește existența unor garanții adecvate;
- Acolo unde este posibil, termenele-limită preconizate pentru ștergerea diferitelor categorii de date;
- Acolo unde este posibil, o descriere generală a măsurilor tehnice și organizatorice de securitate.
Evidența se va păstra în scris, inclusiv în format electronic.
La cerere, operatorul sau persoana împuternicită de acesta, precum și, după caz, reprezentantul operatorului sau al persoanei împuternicite de operator vor pune evidențele la dispoziția autoritatii de supraveghere.
11.One stop shop
Pentru operatorii de date care își desfășoară activitățile în mai multe state membre UE, autoritatea de supraveghere competentă este cea din statul membru în care operatorul respectiv își are stabilit sediul principal.
12. Încălcarea securității datelor
Operatorul și persoanele împuternicite vor avea obligația de notificare a autorității de supraveghere în cazul în care are loc o încălcare a securității datelor. Notificarea se va face în maximum 72 ore de la data la care Operatorul a luat cunoștință de această încălcare. În cazul în care există un risc major pentru drepturile și libertățile persoanei vizate (de exemplu, furt de identitate), aceasta va fi informată în cel mai scurt timp.
13.Dreptul la despăgubiri și răspundere
Orice persoană care a suferit un prejudiciu material sau moral ca urmare a unei încălcări a prezentului Regulament are dreptul să obțină despagubiri de la operator sau de la persoana împuternicită de operator pentru prejudiciul suferit. Orice operator implicat în operațiunile de prelucrare este răspunzător pentru prejudiciul cauzat de operațiunile sale de prelucrare care încalcă Regulamentul. Persoana împuternicită de operator este răspunzatoare pentru prejudiciul cauzat de prelucrare numai în cazul in care nu a respectat obligațiile din prezentul Regulament, care revin, în mod specific, persoanelor împuternicite de operator sau a acționat în afara sau în contradicție cu instrucțiunile legale ale operatorului.
Informațiile din aceste articole nu reprezintă o opinie sau o consiliere juridică. Unica răspundere privind analizarea regulilor GDPR și asigurarea conformității îi revine clientului.