GDPR

GDPR și noua eră în prelucrarea datelor cu caracter personal

GDPR (General Data Protection Regulation) sau Regulamentul de protecție a datelor cu caracter personal prevede că datele persoanelor fizice se vor prelucra începând cu data de 25 mai 2018 într-un alt mod decât vreodată.

Ai nevoie să te aliniezi la noul regulament dacă:

  1. furnizezi produse / servicii în UE;
  2. colectezi date cu caracter personal sau sensibil;
  3. stochezi sau procesezi date cu caracter personal sau sensibil ale cetățenilor din UE.

Ce sunt datele cu caracter personal? Există 2 tipuri de date ce fac obiectul GDPR: personale și sensibile.

Datele cu caracter personal pot fi:

  1. CNP-ul
  2. data nașterii
  3. adresa
  4. numele
  5. poze / video
  6. IP

Datele personale cu caracter sensibil pot fi:

  1. etnia
  2. analizele medicale
  3. concepția despre viață
  4. orientarea politică
  5. orientarea sexuală
  6. apartenența la vreun sindicat

Mai nou, aceste date cu caracter personal sau sensibil se vor prelucra de către agenții economici și alte instituții publice sau private într-un mod nou, puțin mai elaborat decât s-a făcut în trecut.

Prelucrarea datelor cu caracter personal se va realiza cu respectarea principiilor prevăzute în art. 5 din Regulament:

  1. datele cu caracter personal trebuie prelucrate în mod legal, echitabil și transparent;
  2. datele cu caracter personal trebuie prelucrate pentru scopuri determinate, explicite și legitime;
  3. datele cu caracter personal trebuie să fie adecvate, relevante și neexcesive;
  4. datele cu caracter personal trebuie să fie exacte și actualizate;
  5. datele cu caracter personal trebuie să fie păstrate pe o perioadă care nu depășește perioada necesară prelucrării pentru scopul identificat;
  6. datele cu caracter personal trebuie să fie prelucrate într-un mod care asigură securitatea adecvată a acestora.

 

Una din noile prevederi specifică faptul că aceste date cu caracter personal pot fi prelucrate numai în temei legal, adică dacă se bazează pe unul din temeiurile juridice prevăzute la art. 6 alin. (1) din Regulament, respectiv:

  1. Consimțământul persoanei vizate;
  2. Prelucrare necesară pentru încheierea sau executarea unui contract;
  3. Prelucrare necesară pentru îndeplinirea unei obligații legale;
  4. Prelucrare necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;
  5. Prelucrare necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul;
  6. Prelucrare necesară în scopul intereselor legitime urmărite de operator sau de o parte terță, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate.

Fără un temei juridic corect identificat, prelucrarea este ilegală.

Alegerea temeiului de prelucrare trebuie făcută corect de la început, schimbarea ulterioară a temeiului, fără justificare adecvată, este echivalentă cu o neconformitate.

Persoanele vizate trebuie informate cu privire la temeiul prelucrării, ca principiu, înainte de începerea prelucrării.

Din punct de vedere GDPR, ca și colector de date cu caracter personal tu ești obligat să respecți următoarele drepturi ale persoanelor fizice cu care interacționezi, indiferent că sunt angajații, clienții sau colaboratorii tăi.

 

Aceștia au dreptul să:

  1. să fie informați asupra temeiului legat, scopului pentru care îi prelucrezi datele și în cazul în care nu este de acord să încetezi orice formă de colaborare cu persoana respectivă;
  2. să aibă acces la datele lor;
  3. să poată face modificări la datele lor personale;
  4. să poată cere ștergerea din baza ta de date;
  5. să ceară restricționarea accesului la datele lor personale;
  6. să-și porteze datele personale;
  7. să restricționeze folosirea lor în anumite procese de comunicare cu agentul economic căruia i-au fost încredințate.

GDPR prevede ca societățile comerciale să desemneze un angajat pentru a se ocupa de documentație, adică un responsabil cu protecția datelor. Dacă societatea este micro-întreprindere, atunci nu este necesar un DPO (Data Protection Officer) adică o persoană specializată doar în GDPR. Oricare angajat, de preferat de la facturare sau resurse umane, ar putea prelua și sarcini legate de protecția datelor, pentru că mare parte din documentație se completează o singură dată.

De exemplu, angajații trebuie informați despre lege și semnează un formular de luare la cunoștință că nu vor oferi date cu caracter personal stocate de firmă terților, să zicem date despre clienții firmei – numere de telefon, adrese de email, etc. La fel, odată ce un client și-a dat consimțământul să-i fie procesate datele, nu i se vor mai cere alte acorduri la alte vizite sau achiziții de la firma respectivă, excepție făcând cazul în care acesta vrea să modifice, șteargă, porteze, etc propriile date.

Organizațiile care au nevoie de un DPO sunt în general:

  1. companii care procesează date cu caracter sensibil;
  2. instituții de stat, instituții de învățământ;
  3. procesatorii de baze mari de date cu caracter personal.

GDPR face referire la documentele pe care trebuie să le întocmească orice agent economic în calitate de colector de date, dar mai face referire și la procesatorii de date. Cu alte cuvinte, dacă societatea respectivă are un website de prezentare sau un magazin online, datele colectate prin intermediul site-ului (emailuri de cele mai multe ori în cazul website-urilor de prezentare), pe care ulterior le folosește în email marketing sau date mai complexe trebuie să respecte aceleași prevederi. În acest caz, agentul economic este și colector de date și procesator de date cu caracter personal.

Poate agentul economic folosește o aplicație pentru newsletter, indiferent că este gratuită sau cu bani, acea aplicație are obligativitatea să respecte GDPR și să introducă măsuri de protecție impuse colectorului, adică agentului economic. Din 25 mai încolo, aplicațiile respective nu vor mai putea trimite emailuri în baze de date decât persoanelor fizice care și-au dat consimțământul. Bazele de date mai vechi ar fi necesar să fie împrospătate, să fie trimis un email personalizat fiecarăui client în parte prin care să se ceară acordul de prelucrare a datelor respectivului client.

Ca un prim pas de făcut ca administrator al unei societăți comerciale, recomandăm să răspunzi la următoarele întrebări:

  1. ce date personale sau sensibile colectezi?
  2. unde sunt stocate aceste date?
  3. în ce scop sunt colectate aceste date?
  4. cine are acces la ele?
  5. ai permisiunea deținătorilor pentru a le colecta, stoca și procesa?

După ce ai o înțelegere clară asupra procesului poți începe demersurile de aliniere la GDPR citind și aplicând legea sau apelând la experți.