Ce este si ce trebuie sa stii despre GDPR

Am modificat articolul ultima data pe: 15.12.19

 

E foarte important ca, atunci cand oferi anumite date unor operatori sau cand te inscrii pe un site pentru a primi diverse informatii, detaliile legate de persoana ta sa fie pastrate in siguranta si sa fie folosite doar in scopul care ti s-a comunicat initial. Acest lucru e posibil la un nivel avansat, datorita unui regulament impus de Uniunea Europeana.

 

Ce este GDPR, cand a intrat in vigoare si cui se aplica

GDPR este acronimul de la General Data Protection Regulation, care tradus inseamna Regulamentul General Privind Protectia Datelor. El a intrat in functiune de la data de 25 mai 2018, pentru toate tarile din Uniunea Europeana.

Avand in vedere ca folosim zi de zi device-uri ce colecteaza informatiile proprii, aceste instructiuni au fost create cu scopul de a controla modul in care astfel de date sunt intrebuintate.

Conform Regulamentului (UE) 2016/678, „date cu caracter personal inseamna orice informatii privind o persoana fizica identificata sau identificabila („persoana vizata”). Din categoria detaliilor individuale pot face parte: numele, codul numeric personal, informatiile cu privire la locatie, datele referitoare la aspecte fizice, psihice, economice, sociale, genetice, culturale sau fiziologice.

Daca te intrebi cui se aplica el, ei bine, vizate sunt: companiile, agentiile guvernamentale, organizatiile non-profit si cele ce ofera bunuri si servicii. Ideea e simpla: orice societate ce are in sistem date cu caracter personal trebuie sa implementeze acest regulament.

 

Care sunt principiile pe care se bazeaza GDPR

In continuare, iti vom vorbi despre aspectele care stau la baza acestor instructiuni universale in Uniunea Europeana.

In primul rand, foarte importante sunt legalitatea, corectitudinea si transparenta, fapt pentru care, in momentul in care tu, ca si companie, colectezi astfel de date, trebuie sa anunti in mod direct persoana vizata, sa-i explici felul in care procesezi informatiile si apoi sa faci intocmai.

Un alt aspect important tine de limitarea scopului. Cand ceri acord pentru anumite detalii, ceea ce obtii trebuie sa folosesti strict in cauza in care ai specificat initial, pentru a fi totul corect din punct de vedere legal.

Colectarea datelor cu caracter personal trebuie sa fie facuta in asa fel incat sa nu ceri informatii mai multe decat ai nevoie pentru scopul final. De exemplu, nu ceri numarul de telefon, daca nu ai nevoie pentru a-l folosi, sau numele.

Un principiu important cand vine vorba de GDPR tine de cat sunt de corecte datele pe care le aduni. Pentru a fi de ajutor cu adevarat, ele trebuie sa fie reale si actualizate, cand e cazul.

Conform Regulamentului General Privind Protectia Datelor foarte importanta este limitarea stocarii. Acest principiu face referire la faptul ca informatiile colectate trebuie pastrate doar pe perioada stabilita dinainte, apoi sterse.

Si nu in ultimul rand, de mare importanta sunt integritatea, confidentialitatea si responsabilitatea. Oamenii trebuie sa se simta cat mai siguri, atunci cand ofera astfel de date si tu, ca si societate, esti obligat sa asiguri securitatea lor.

 

Ce pasi trebuie sa urmeze o companie pentru a respecta GDPR

Orice firma, in momentul in care doreste sa prelucreze astfel de informatii, trebuie sa urmeze o serie de pasi.

Iata care sunt acestia: stabilirea datei la care informatiile adunate trebuie sterse, prelucrarea unor detalii de care ai nevoie strict pentru tema vizata, actualizarea politicii, a documentelor interne si a contractelor, realizarea unui registru al operatiunilor de prelucrare, intocmirea unui consimtamant si informarea persoanei vizate (Privacy Notice), discutii interne vis-a-vis de implementarea procedurilor si instruirea angajatilor.

 

 

Despre ce inseamna consimtamantul si ce reguli trebuie aplicate, pentru a fi valabil

Pentru a fi totul legal, acest regulament impune cererea consimtamantului din partea individului de la care doresti sa colectezi date. Acordul e dovedit printr-o declaratie sau fapta fara echivoc, prin care individul isi da acceptul pentru prelucrarea informatiilor personale si sustine faptul ca nu e fortat de nimeni si nimic pentru furnizarea datelor.

Entitatea vizata are totodata libertatea de a-si retrage acordul, in cazul in care nu mai doreste sa fie contactat/a sau sa primeasca informatii cu privire la anumite subiecte. Din acel moment, datele vor mai putea fi prelucrate doar daca apare un alt temei (obligatii legale ale societatii, interese legitime, executarea unor contracte).

Insa, nu orice consimtamant este valabil. Sunt frecvente cazurile in care acesta e invalid sau persoana in cauza nici macar nu si-a dat acordul. Care ar putea fi consecintele, iti vom spune putin mai jos. Acum, ceea ce vrem sa-ti prezentam sunt o serie de reguli ce fac un acord sa fie valid.

Prima e aceea de a stabilit totul liber, fara a obliga sau impune anumite conditii. Individul vizat nu trebuie sa fie constrans in nici un fel. Apoi, ca societate ai datoria de a specifica in mod clar pentru ce anume ii vei folosi datele si sa il informezi in ceea ce priveste intregul proces, dar si drepturile pe care le are. Totul trebuie facut intr-un mod simplu, concis si corect, astfel incat sa se inteleaga foarte bine ce vrei sa transmiti.

De exemplu, daca o persoana intra pe un site de echipamente IT, pentru a-si cumpara un router (aici si sugestiile noastre comparate), citeste politica de confidentialitate si isi da acordul de a primi pe e-mail diverse noutati din domeniu, pe baza aceluiasi acord nu trebuie sa ii fie umpluta casuta electronica de mesaje legate de produse de make-up, din moment ce nu se specifica acest fapt si nu a “semnat” un consimtamant.

 

Cand este interzisa prelucrarea datelor

Exista si situatii in care nu ai voie sa prelucrezi astfel de date. Regulamentul (UE) 2016/679 spune ca: “Se interzice prelucrarea de date cu caracter personal care dezvaluie originea rasiala sau etnica, opiniile politice, confesiunea religioasa sau convingerile filozofice”.

Totodata, nu e legala adunarea datelor atunci cand e vorba de apartenenta la sindicate, informatii cu caracter genetic sau cu privire la sanatate, detalii biometrice sau referitoare la viata sexuala sau orientarea sexuala a unui individ.

 

Care sunt drepturile pe care le au persoanele vizate

Atunci cand alegi dai anumite detalii cu privire la diverse aspecte individuale, trebuie sa iti cunosti si drepturile, pentru a nu fi pus/a in situatii neplacute si/sau pentru a sti exact la ce anume te supui si ce poti face in tot felul de momente.

Un prim drept pe care il ai e acela de a avea acces la datele colectate. E posibil sa primesti la un moment dat mail-uri, telefoane etc. si sa nu iti dai seama de unde au respectivele persoane detaliile necesare pentru a te contacta. In astfel de cazuri, poti solicita sa ti se spuna ce informatii prelucreza, in ce scop, pe ce perioada etc.

In eventualitatea in care iti dai seama de faptul ca detaliile pe care le au cei care colecteaza datele tale sunt gresite/incomplete, ai dreptul de a cere ca ele sa fie corectate sau completate, daca lipsesc anumite sectiuni.

Ca si furnizor de diverse date personale, poti cere, daca doresti, ca acestea sa fie restrictionate. Conform GDPR, aceasta actiune inseamna “marcarea datelor cu caracter personal stocate cu scopul de a limita prelucrarea viitoare a acestora”.

Limitarea se face prin mijloace tehnice care ar trebui sa te asigure de faptul ca informatiile tale nu mai pot fi prelucrate/schimbate in viitor.

Un alt drept pe care ar trebui sa si-l ceara persoanele vizate, daca sunt de parere ca e necesar, e acela de a solicita stergerea datelor. Acest lucru se poate face in urmatoarele situatii: nu mai e nevoie de ele pentru scopurile initiale, a fost retras consimtamantul si nu exista alt temei juridic pentru a le pastra, entitatea vizata se opune prelucrarii, datele au fost adunate ilegal, informatiile trebuie eliminate pentru a fi respectate anumite obligatii legale.

Sunt situatii in care datele cu caracter individual nu pot fi sterse. Conform Regulamentului oficial GDPR, stergerea nu se aplica atunci cand prelucrarea e necesara pentru exercitarea dreptului la libera exprimare si informare, pentru respectarea unei obligatii legale, din motive de interes public, in scopul arhivarii, cercetarii stiintifice, istorice sau statistice, dar si pentru cazuri in care e vorba de un drept in instanta.

 

 

Ceea ce trebuie sa mai stii e faptul ca daca prelucrarea datelor se bazeaza pe un consimtamant valid si e autonoma, entitatea vizata are dreptul de a solicita transferul informatiilor catre un alt operator.

Posibilitatea de a te opune prelucrarii datelor e un alt drept pe care il ai si pe care il poti cere atunci cand adunarea detaliilor personale are drept scop marketingul direct sau alt motiv cu care nu esti de acord. Nu te poti opune, insa, atunci cand e vorba de interese, drepturi si libertati care au ca scop constatarea, exercitarea si apararea unui drept in instanta.

Un ultim drept pe care il aducem in discutie e acela de “a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automata, inclusiv crearea de profiluri, care produce efecte juridice care privesc persoana vizata sau o afecteaza in mod similar intr-o masura semnificativa”. (Regulamentul UE 2016/679).

 

Riscuri la care se supun companiile ce nu respecta acest regulament

Daca esti o societate ce se ocupa de astfel de activitati, ai in vedere faptul ca oricand persoanele de la care ai colectat date pot pune in aplicare dreptul de a apela la autoritati in cazul in care considera ca au suferit un anumit prejudiciu (moral sau material), deoarece nu s-a respectat Regulamentul General Privind Protectia Datelor.

Amenzile administrative pe care le poate primi o companie sunt semnificative si pot ajunge uneori si pana la 20.000.000 de euro, daca e vorba de firme foarte mari.

Daca te afli in situatia de a considera ca ti s-a facut o nedreptate, adreseaza o plangere Autoritatii Nationale pentru Protectia Datelor si aceasta se va ocupa de investigatii si iti va da un raspuns in circa 3 luni.

Pe langa amenda, un alt risc la care se supune o societate e acela de a-si pierde clientii. Oamenii taxeaza cazurile in care date cu caracter personal ajung in online fara acord si te poti trezi cu surprize foarte neplacute, care-ti pot afecta business-ul.

 

Despre Data Protection Officer (DPO)

In orice companie care se ocupa de prelucrarea datelor trebuie sa existe un Data Protection Office. Acesta e de fapt responsabilul cu astfel de colectari si poate fi un angajat al companiei sau un colaborator extern.

Pentru a putea ocupa o astfel de functie, in Romania ti se cere o experienta de trei ani si certificare in domeniu. Ei bine, acest lucru nu e tocmai posibil, deoarece, acest regulament a intrat in vigoare la jumatatea anului 2018 si singurele persoane care s-ar incarda sunt cateva dintre cele care fac parte din Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal, care isi are sediul in Bucuresti.

Prin urmare, Romania nu prea are DPO pentru ca nu are de unde. Dar, lucrurile usor se schimba, deoarece exista institurii care pe baza unui anumit numar de ore pot acorda astfel de acreditari.

La nivelul Uniunii Europene, lucrurile stau putin diferi, deoarece acest job este unul prezent de mult timp si nu necesita certificari pentru a fi practicat, ci se desfasoara pe baza experientei avute de angajatul respectiv.

Daca te intereseaza sa te califici pe o astfel de slujba, care e de viitor, trebuie sa ai urmatoarele calitati: cunostinte in ceea ce priveste dreptul si practicile din domeniul protectiei datelor; experienta in legislatie si practici de protectie a datelor la nivel national si european; intelegerea in totalitate a GDPR; cunostine referitoare la operatiuni de prelucrare, tehnologii de informatii, securitatea datelor, afaceri si organizatii; capacitatea de a te ocupa de promovarea protectiei datelor.

GDPR este fara doar si poate un regulament complex, care are o multime de puncte ce trebuie studiate si urmarite. Din moment ce intentionezi sa fii o companie ce se ocupa de colectarea datelor sau un ofiter responsabil de acest domeniu trebuie sa citesti foarte bine Regulamentul (UE) 2016/679, sa intelegi fiecare punct si sa faci totul cu mare atentie si raspundere, deoarece procedand altfel, pe langa faptul ca risti amenzi foarte mari, poti sa aduci prejudicii serioase si in relatia dintre clienti si compania pe care o reprezinti.

 

1 Star2 Stars3 Stars4 Stars5 Stars (2 voturi, media: 5.00 din 5)
Loading...