GDPR
Redactare și reprezentare

Rezumat GDPR – Ce este, ce presupune, masuri de implementare, obligatii si sanctiuni

Noul regulament european privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date („GDPR”) va intra in vigoare la data de 25 mai 2018.

Doriti implementare GDPR la cheie? Click aici.

Domeniu de aplicare

GDPR este aplicabil:

  1. prelucrarii datelor cu caracter personal in cadrul activitatilor unui sediu al unui operator sau al unei persoane imputernicite de operator pe teritoriul Uniunii, indiferent daca prelucrarea are loc sau nu pe teritoriul Uniunii
  2. prelucrarii datelor cu caracter personal ale unor persoane vizate care se afla in Uniune de catre un operator sau o persoana imputernicita de operator care nu este stabilit(a) in Uniune, atunci cand activitatile de prelucrare sunt legate de: (a) oferirea de bunuri sau servicii unor astfel de persoane vizate in Uniune, indiferent daca se solicita sau nu efectuarea unei plati de catre persoana vizata; sau (b) monitorizarea comportamentului lor daca acesta se manifesta in cadrul Uniunii.

Se supun prevederilor GDPR toate societatile sau persoanele fizice autorizate  proceseaza datele personale in activitatea lor (cu exceptia activitatilor exclusiv personale sau domestice), fie ca aceste date sunt ale angajatilor, clientilor, furnizorilor sau oricaror parteneri contractuali.

Identificarea datelor cu caracter personal

Date cu caracter personal” inseamna orice informatii privind o persoana fizica identificata sau identificabila („persoana vizata”); o persoana fizica identificabila este o persoana care poate fi identificata, direct sau indirect, in special prin referire la un element de identificare, cum ar fi un nume, un numar de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identitatii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.

Exista prevederi speciale cu privire la categoriile speciale de date cu caracter personal, precum confesiunea religioasa, apartenenta la sindicate, date biometrice, date pentru identificarea unica a unei persoane fizice sau date privind sanatatea.

Principiile legate de prelucrarea datelor cu caracter personal

  • legalitate, echitate si transparenta
  • limitari legate de scop: datele trebuie colectate in scopuri determinate, explicite si legitime si nu sunt prelucrate ulterior intr-un mod incompatibil cu aceste scopuri;
  • reducerea la minimum a datelor : datele trebuie sa fie adecvate, relevante si limitate la ceea ce este necesar in raport cu scopurile in care sunt prelucrate;
  • exactitate: datele trebuie sa fie exacte si, in cazul in care este necesar, sa fie actualizate; trebuie sa se ia toate masurile necesare pentru a se asigura ca datele cu caracter personal care sunt inexacte, avand in vedere scopurile pentru care sunt prelucrate, sunt sterse sau rectificate fara intarziere;
  • limitari legate de stocare: datele trebuie pastrate intr-o forma care permite identificarea persoanelor vizate pe o perioada care nu depaseste perioada necesara indeplinirii scopurilor in care sunt prelucrate datele;
  • integritate si confidentialitate: datele trebuie prelucrate intr-un mod care asigura securitatea adecvata a datelor cu caracter personal, inclusiv protectia impotriva prelucrarii neautorizate sau ilegale si impotriva pierderii, a distrugerii sau a deteriorarii accidentale, prin luarea de masuri tehnice sau organizatorice corespunzatoare.

Masuri pentru implementarea GDPR

1. Identificarea categoriilor de date prelucrate; de exemplu: nume, CNP etc

2. Stabilirea scopului prelucrarii; de exemplu, puteti prelucra datele in scopul derularii contractelor cu clienti/furnizori, in scop de resurse umane, pentru indeplinirea obligatiilor legale de plata a taxelor si impozitelor sau in scop de marketing si publicitate.

3. Stabilirea temeiului prelucrarii

Prelucrarea datelor cu caracter personal pentru fiecare dintre scopurile de mai sus este legala daca are unul dintre temeiurile expres identificate in art. 6 din GDPR, cum ar fi:

  • persoana vizata si-a dat consimtamantul;
  • datele sunt necesare pentru executarea unui contract la care persoana vizata este parte sau pentru a face demersuri la cererea persoanei vizate inainte de incheierea unui contract;
  • indeplinirea unei obligatii legale care ii revine operatorului;
  • datele sunt necesare pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;
  • datele sunt necesare pentru indeplinirea unei sarcini care serveste unui interes public sau care rezulta din exercitarea autoritatii publice;
  • prelucrarea este necesara in scopul intereselor legitime urmarite de operator sau de o parte terta, cu exceptia cazului in care prevaleaza interesele sau drepturile si libertatile fundamentale ale persoanei vizate, care necesita protejarea datelor cu caracter personal, in special atunci cand persoana vizata este un copil.

Cu privire la obtinerea consimtamantului, trebuie sa fiti in masura sa demonstrati ca persoana vizata si-a dat consimtamantul pentru prelucrarea datelor sale cu caracter personal, ca i s-a explicat si acordat dreptul de a-si retrage consimtamantul in orice moment si ca acesta este acordat in mod liber in mod liber, neconditionat (executarea unui contract, inclusiv prestarea unui serviciu nu trebuie sa fie conditionata de consimtamantul cu privire la prelucrarea datelor cu caracter personal care nu este necesara pentru executarea acestui contract). Formal, consimtamantul poate fi acordat si printr-o declaratie scrisa care se refera si la alte aspecte, cu conditia ca cererea privind consimtamantul sa fie prezentata intr-o forma care o diferentiaza in mod clar de celelalte aspecte, intr-o forma inteligibila si usor accesibila, utilizand un limbaj clar si simplu. Exista prevederi speciale cu privire la consimtamantul copiilor in legatura cu serviciile societatii informationale si cu privire la prelucrarea de categorii speciale de date cu caracter personal (date care dezvaluie originea rasiala sau etnica, opiniile politice, confesiunea religioasa sau convingerile filozofice sau apartenenta la sindicate si prelucrarea de date genetice, de date biometrice pentru identificarea unica a unei persoane fizice, de date privind sanatatea sau de date privind viata sexuala sau orientarea sexuala ale unei persoane fizice).

Obligatii

– respectarea drepturilor persoanelor vizate prin implementarea unor masuri/ proceduri care sa asigure respectarea acestor drepturi (ex. dreptul de informare si acces la date cu caracter personal, dreptul la rectificare, dreptul la stergerea datelor („dreptul de a fi uitat”), dreptul la restrictionarea prelucrarii, dreptul la portabilitatea datelor, dreptul la opozitie si procesul decizional individual automatizat).

– obligatia de a recurge doar la persoane imputernicite care ofera garantii suficiente pentru punerea in aplicare a unor masuri tehnice si organizatorice adecvate, astfel incat prelucrarea sa respecte cerintele prevazute in regulament si sa asigure protectia drepturilor persoanei vizate.

– obligatia de a pastra o evidenta a activitatilor de prelucrare, care cuprinde printre altele scopurile prelucrarii, o descriere a categoriilor de persoane vizate si a categoriilor de date cu caracter personal, termenele-limita preconizate pentru stergerea diferitelor categorii de date.

– obligatia de a asigura securitatea datelor cu caracter personal prin implementarea unor masuri tehnice si organizatorice adecvate, incluzand printre altele, dupa caz: (a) pseudonimizarea si criptarea datelor cu caracter personal; (b) capacitatea de a asigura confidentialitatea, integritatea, disponibilitatea si rezistenta continue ale sistemelor si serviciilor de prelucrare; (c) capacitatea de a restabili disponibilitatea datelor cu caracter personal si accesul la acestea in timp util in cazul in care are loc un incident de natura fizica sau tehnica; (d) un proces pentru testarea, evaluarea si aprecierea periodice ale eficacitatii masurilor tehnice si organizatorice pentru a garanta securitatea prelucrarii.

– obligatia de a stabili procedura de notificare a autoritatii de supraveghere in cazul incalcarii securitatii datelor cu caracter personal, de notificare a persoanei vizate cu privire la incalcarea securitatii datelor cu caracter personal, evaluarea impactului asupra protectiei datelor, cu respectarea art. 33-35 din regulament.

– obligatia de a desemna un responsabil cu protectia datelor ori de cate ori a) prelucrarea este efectuata de o autoritate sau un organism public, cu exceptia instantelor care actioneaza in exercitiul functiei lor jurisdictionale; (b) activitatile principale ale operatorului sau ale persoanei imputernicite de operator constau in operatiuni de prelucrare care, prin natura, domeniul de aplicare si/sau scopurile lor, necesita o monitorizare periodica si sistematica a persoanelor vizate pe scara larga; sau (c) activitatile principale ale operatorului sau ale persoanei imputernicite de operator constau in prelucrarea pe scara larga a unor categorii speciale de date.

Sanctiuni

– amenzi de pana la 10.000.000 EUR sau pana la 2% din cifra mondiala totala anuala corespunzatoare anului financiar anterior, pentru incalcari privind obligatiile operatorului si imputernicitului;

– amenzi de pana la 20.000.000 EUR sau pana la 4% din cifra mondiala totala anuala corespunzatoare anului financiar anterior, pentru incalcarea principiilor de baza privind prelucrarea datelor, inclusiv consimtamantul, incalcarea drepturilor persoanelor vizate, transferurilor internationale de date si nerespectarea masurilor unei autoritati de supraveghere;