Ce trebuie sa stie firmele despre noul regulament european de protectie a datelor cu caracter personal

De | 22 ianuarie 2018
0 Comentarii

În aproximativ patru luni va intra în vigoare ordonanţa EU GDPR (General Data Protection Regulation), iar firmele ar trebui să înceapă să lucreze la modificările cerute de acest regulament.

Termenul limită pentru introducerea noului regulament este 25 mai 2018, iar acesta va fi cea mai strictă reglementare în materie de protecție a datelor personale introdusă vreodată de Uniunea Europeană, unul din obiectivele ei fiind de a întări și de a da o formă unitară modalităților de colectare a datelor online în cadrul Uniunii.

Pot fi considerate date cu caracter personal:

  • Numărul și seria actului de identitate;
  • Adresa de e-mail;
  • Data nașterii (doar coroborată cu alte informații poate duce la identificarea persoanei, întrucât există un număr mare de oameni născuți în aceeași zi și în același an);
  • Numărul de înmatriculare al unei mașini (pentru că poate da informații despre cine este proprietarul mașinii sau cine a condus autovehiculul la un anumit moment);
  • Adresa IP.

Nu există o listă definitivă a ceea ce înseamnă date cu caracter personal, întrucât, în multe situații, pot fi luate în considerare două sau mai multe elemente separate care, coroborate, pot duce la identificarea unei persoane.

Excepții:

  • Colectarea și prelucrarea se fac cu acordul expres al persoanei. Însă asta nu înseamnă semnarea unui formular lung de către acea persoană, ci exprimarea unui acord clar, care stipulează și la ce vor fi folosite datele (de ex.: “Da, sunt de acord cu colectarea și prelucrarea acestor date care vor fi folosite pentru…”);
  • Dreptul muncii – dispoziții specifice. În temeiul unui contract de muncă, de exemplu;
  • Intocmirea facturii;
  • În cazul unui ONG, când prelucrarea este efectuată în cadrul activităților sale legitime de către o fundație, asociație, cu condiția ca persoana vizată să fie membră sau să întrețină cu aceasta relații care privesc specificul activității organizației. Așadar, colectarea și prelucrarea de date cu caracter special este permisă dacă organizația se ocupă chiar de domeniul respectiv.
  • Date făcute publice în mod manifest de către persoana vizată;
  • Prelucrarea de date este necesară în scopuri de medicină preventivă, de stabilire a diagnosticelor medicale, de administrare a unor îngrijiri sau tratamente medicale pentru persoana vizată – doar dacă prelucrarea este făcută de un medic;
  • Prelucrarea datelor privind starea de sănătate poate fi efectuată numai de către ori sub supravegherea unui cadru medical (excepție: pericol eminent sau consimțământ expres scris).

Principii care trebuie respectate:

Datele trebuie procesate legal și cu bună-credință.

  • În cazul trimiterii unui newsletter, de exemplu, datele procesate legal și cu bună-credință înseamnă că acele date sunt folosite doar cu consimțământul persoanei (de exemplu, nu se pot folosi baze de date cu adrese găsite pe Internet) și doar pentru ceea ce ONG-ul promite ca scop al utilizării lor, atunci când obține acordul persoanei pentru colectare și procesare de date personale.

Datele trebuie colectate în scop determinat și explicit.

  • În cazul unui newsletter, scopul este trimiterea newsletter-ului. Asta înseamnă că utilizatorul știe în momentul în care se abonează că va primi un newsletter, nu alte informații (de ex.: marșuri sau alte oportunități care nu fac parte din newsletter).

Datele trebuie să fie adecvate, pertinente și neexcesive în raport cu scopul declarat.

  • Practic, în cazul trimiterii unui newsletter, singura informație necesară este adresa de e-mail. Orice altă informație suplimentară legată de e-mail nu este adecvată în raport cu scopul. În plus, nu îi putem cere utilizatorului numărul, seria de buletin și data nașterii, pentru că am avea o colectarea de date excesive în raport cu scopul. Dacă este vorba despre un newsletter personalizat, e în regulă să fie cerute mai multe date personale, ca prenumele sau alte informații, daca explici de ce este nevoie. De asemenea, furnizarea anumitor date poate fi opțională și însoțită de o explicație pentru care acele date sunt necesare (de ex.: “Data nașterii este necesară pentru că, de obicei, trimitem un e-mail de felicitare la zile de naștere”).

Datele trebuie să fie exacte și actualizate și șterseterse când nu mai sunt necesare.

  • Legea spune că utilizatorul trebuie să aibă posibilitatea să își actualizeze datele personale (de exemplu, să își poată schimba adresa de e-mail pe care primește newsletter-ul). În plus, datele trebuie să fie șterse când nu mai sunt necesare. În practică, însă, în toată zona de tehnologie a informației, de obicei aceste date nu sunt șterse, ci rămân stocate pe un server (care poate fi atacat) și datele pot fi folosite într-un scop neadecvat. În cazul unui newsletter, datele ar putea fi șterse pentru că devin inutile dacă, de exemplu, utilizatorul nu a deschis 20 de e-mailuri succesive sau nu a interacționat cu newsletter-ul o perioadă foarte lungă de timp.

Datele trebuie păstrate doar pe perioada scopului declarat.

  • În funcție de scop, se stabilește perioada de păstrare. Datele nu ar trebui păstrate pe o perioadă nedeterminată sau pe tot parcursul vieții unei persoane pentru că ar însemna o prelucrare excesivă și acest lucru poate afecta dreptul la viață privată al persoanei respective.

Cine trebuie să aplice  noul regulament de protectie a datelor

Acest regulament se adresează cam tuturor firmelor dar in special celor care au ca principal obiect de activitate prelucrarea datelor si stocarea datelor. Orice firmă care colectează, stochează, distribuie informaţii intră sub incidenţa acestui regulament. Există un număr extrem de limitat de firme care să nu fie nevoite să aplice GDPR. Câteva prevederi din regulament vizează doar companiile mai mari, spre exemplu, cele cu peste 250 de angajaţi care trebuie să angajeze o persoană special pentru a se ocupa cu implementarea prevederilor regulamentului – trebuie să aibă un angajat pe poziţia de DPO (data protection officer).

Organizațiile ar trebui să aibă și să poată prezenta oricând autorităților documente care să demonstreze că datele sunt prelucrate în mod legal, echitabil șitransparent, fiind colectate în scopuri determinate, explicite și legitime, adecvate, relevante și limitate. În plus, datele trebuie să fie exacte, actualizate și stocate pe o perioadă determinată în condiții de integralitate și confidențialitate.

ANSPDCP (Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal) – este autoritatea care va fi responsabilă de verificarea aplicării noului regulament

Câteva întrebări utile pentru a clarifica raportul pe care o organizație îl are cu colectarea și prelucrarea de date personale:

  • Ce date personale colectați?

Exemple: Datele membrilor, datele persoanelor înscrise la newsletter, datele vizitatorilor paginii web, datele vizitatorilor paginii de Facebook, datele angajaților, datele suporterilor sau suținătorilor, datele participanților la un eveniment etc.

  • Legalitate – pe ce bază colectați datele personale?

Cel mai simplu pentru a îndeplini temeiul de legalitate este consimțământul persoanelor vizate. Câteodată, însă, acordul este greu de luat (uneori persoana se poate și răzgândi, deci nu vă puteți baza pe consimțământ). Pe lângă consimțământ, se poate apela la: încheierea unui contract între două părți, obligația legală care îi revine operatorului, interesul legitim al operatorului;

Exemple: datele unui newsletter se bazează pe consimțământ, datele pentru un contract folosesc la încheierea acordului dintre cele două părți, datele pentru o factură este o obligație legală; datele cu caracter personal (inclusiv imagini) obținute de la un eveniment se colectează, de obicei, pe bază de consimțământ.

  • Cui îi mai dați datele personale colectate? (cine altcineva mai are acces la date, pe lângă acel ONG?)

Există două entități diferite care pot avea acces la date: operatorul (persoana fizică sau juridică care, singură sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal. De obicei, operatorul este ONG-ul) sau persoana împuternicită de operator(persoana fizică sau juridică care prelucrează datele în numele operatorului, adică un intermediar ca: programatorii care lucreză la un site, o bancă, un software, un furnizor de marketing, un finanțator sau orice alt terț). În momentul în care ONG-ul folosește o persoană împuternicită, trebuie să existe un contract scris (pe hârtie sau electronic) care să precizeze în ce situații acea persoană poate să colecteze datele respective. Desigur, persoanele împuternicite de operator nu au dreptul să dea datele colectate către alte persoane.

  • Ce măsuri luați pentru a asigura securitatea datelor?

Nu există o listă finală și fixă de măsuri pentru securitatea prelucrării datelor, deci este la latitudinea operatorului, în funcție de datele colectate și în funcție de capacitatea de a face față anumitor măsuri (ex: pe care să și le permită). O măsură organizatorică pentru a spori securitatea ar putea fi ca doar anumite persoane din organizație (în special în organizațiile mari) să aibă accesla datele personale. Din categoria de măsuri tehnice care se pot lua pentru protecția datelor face parte, de exemplu, parolarea bazei de date cu datele personale colectate, criptarea datelor personale colectate. Angajații ONG-urilor care prelucrează date ar trebui să aibă clauze de confidențialitate în contracte. Clauze similare se pot stabili și în cazul terților care au acces la acele date.

  • Puteți să informați autoritatea în cazul încălcării securității datelor?

Noul Regulament UE va introduce obligația ca, dacă există o încălcare a securității datelor (nu neapărat o pierdere a lor, ci inclusiv faptul că cineva neautorizat a avut acces la acele date), în termen de 72 de ore de la încălcare Autoritatea să fie notificată. Este posibil ca momentul în care este sesizată această încălcare de către operator să fie foarte îndepărtat. Chiar și așa, trebuie să fie notificată Autoritatea (există posibilitatea chiar ca Autoritatea să oblige la notificarea persoanelor ale căror date au fost pierdute sau compromise).

ATENTIE ! Amenzile anunţate pentru firmele care vor încălca noua legislaţie vor putea ajunge până la 20 milioane de euro sau 4% din cifra de afaceri.

Toti posesorii de SITE-URI web au obligatia de a seta site-ul astfel incat sa ii comunice utilizatorului utilizarea de cookies. O puteti face prin realizarea unei sectiuni pe site „Informare Cookies”, aceasta actionand ca un disclaimer sau un banner ce trebuie să anunțe existența lor la prima accesare a site-ului.

Cookie-urile joaca un rol important in facilitarea accesului si livrarii multiplelor servicii de care utilizatorul se bucura pe internet. Ele ofera detinatorilor de site-uri un feedback valoros asupra modului cum sunt utilizate site-urile lor de catre utilizatori, astfel incat sa le eficientizeze si sa fie mai accesibile pentru utilizatori.

Companiile trebuie sa afișeze termenii și condițiile, prin care se detaliază modul în care poate fi accesat și utilizat site-ul, precum și afișarea politicilor de confidențialitate.

 

Comunicate
Autor: Cristina Zafiu

In calitatea sa de asistent al presedintelui, asigura secretariatul permanent al asociatiei profesionale. Cea mai mare parte din activitatea sa este consacrata comunicarii cu membrii patronatului si cu celelalte organizatii si institutii cu care patronatul coopereaza.

Articole Similare

Lasă un răspuns