GDPR
Ce este GDPR?
Regulamentul general privind protecția datelor (denumit în continuare „GDPR” sau „Regulament GDPR”) a devenit lege în România începând cu 25 mai 2018. Pentru nerespectarea cerințelor de protecție, sancțiunile pot ajunge până la 4% din cifra de afaceri sau 20.000.000 euro. Investigația unei organizații române se face de Autoritatea de supraveghere din România.
Regulament GDPR introduce un principiu important: responsabilitatea.
Pe scurt, responsabilitatea înseamnă că operatorul de date este singurul responsabil de a implementa măsurile adecvate pentru protecția datelor cu caracter personal și că poate demonstra că aceste măsuri au fost implementate. Cu alte cuvinte, nu este suficient să protejăm datele cu caracter personal, ci trebuie și să documentăm aceste procese prin politici și proceduri adecvate, precum registre, analize, acorduri cu partenerii comerciali, consimțăminte documentate, informări către persoane.
Regulament GDPR. Legalitatea
Toate operațiunile asupra datelor trebuie să fie legale, adică să se bazeze pe cel puțin unul dintre temeiurile de mai jos:
- Consimțământul – persoana și-a dat în mod valabil consimțământul;
- Contractul – există un contract sau urmează să se încheie un contract;
- Obligația legală – există o obligație legală;
- Interesul vital – protejezi viața sau sănătatea persoanei;
- Interesul public;
- Interesul tău legitim – atâta timp cât nu intră în conflict cu interesul persoanei fizice;
Indiferent de temei (consimțământul, contractul, obligația legală etc), trebuie să respecți GDPR și să pui în practică politici adecvate de protecție a datelor.
Cele șase temeiuri enumerate mai sus se află pe poziție de egalitate. Consimțământul este important, însă el vine cu dezavantaje, cum ar fi dreptul de retragere a consimțământului, imposibilitatea de a obține consimțământul tuturor persoanelor, refuzul de a-și da consimțământul. De aceea, ai putea considera util să verifici dacă nu cumva poți prelucra datele în baza altui temei. Există o obligație legală? Ai un contract cu persoana? Nu ai nevoie de consimțământ.
Interesul legitim se va folosi cu precauție. El se folosește, de regulă, pentru situații în care nu există nu se poate sau nu se dorește obținerea consimțământului și nu există alt temei (supraveghere CCTV, monitorizare locație gps, recrutare, organizări evenimente etc). Pentru a se putea utiliza interesul legitim, este nevoie ca Organizația sa documenteze în scris că interesul ei primează asupra drepturilor și intereselor persoanelor vizate.
Consimțământul
Consimțământul persoanei trebuie să îndeplinească o serie de condiții, printre care să fie cert și informat. Căsuțele pre-bifate, tăcerea sau inacțiunea nu valorează consimțământ. Persoana trebuie să îți dea consimțământul printr-o acțiune reală, precum bifarea unei căsuțe, o semnătură, un DA categoric înregistrat.
Consimțământul trebuie să fie însoțit de o notă de informare prin care persoana să afle pentru ce anume își dă consimțământul.
Va trebui să poți demonstra că ai obținut consimțământul valabil și să îi permiți persoanei să își retragă în orice moment consimțământul și la fel de simplu cum l-a dat, dar nu neapărat prin aceeași acțiune.
Pentru copii sub 16 ani, își vor da părinții consimțământul. Iar în anumite cazuri, precum prelucrarea datelor sensibile sau transferul international de date, consimțământul trebuie să fie explicit: verificare în doi factori, semnătură scrisă, semnătură electronica etc.
Ce drepturi are persoana fizică?
Ce este GDPR am aflat deja, dar în centrul GDPR se află persoana fizică, iar regulament GDPR introduce un set de drepturi pentru persoana fizică vizată pe care operatorul trebuie să le respecte și să răspundă în timp util la cererile persoanei, de obicei, în termen de maxim o lună.
1 | Dreptul la informare | Persoana trebuie să fie informată, printre altele, cu privire la ce date sunt prelucrate, de ce, în ce scopuri, cui sunt transmise și ce drepturi are. |
2 | Dreptul de acces | Persoana are dreptul să acceseze propriile informații personale prelucrate. |
3. | Dreptul la rectificare | Persoana are dreptul de a obține rectificarea informațiilor incomplete și inexacte care o privesc. |
4 | Dreptul la ștergere | În unele situații, persoana are dreptul de a solicita ștergerea datelor care nu mai sunt necesare |
5 | Dreptul la restricționarea prelucrarii | Restricționarea prelucrării atunci când există temei |
6 | Dreptul de a portabilitate | Dreptul persoanei de a solicita portarea datelor de la un operator la altul |
7 | Dreptul la obiecție | Dreptul persoanei de a se opune prelucrării, atunci când există temei |
8 | Dreptul de a nu fi supusă unei decizii automate, inclusiv crearea de profiluri | Persoana are dreptul la intervenție umană în cazul deciziilor importante care o privesc |
9 | Dreptul de a depune o plângere la Autoritatea de supraveghere | Atunci când este nemulțumită de modalitatea în care i se prelucrează datele sau când drepturile nu i-au fost respectate |
10 | Dreptul de a se adresa instanței de judecată | Pentru a obține daune materiale și/sau morale dacă a rezultat un prejudiciu |
Text preluat de aici
Adaugat la data de 26.10.2020