Situatie
RGPD stabilește cerințele detaliate pentru companii și organizații în ceea ce privește colectarea, stocarea și gestionarea datelor cu caracter personal. Se aplică atât în cazul organizațiilor europene care prelucrează datele cu caracter personal ale cetățenilor din UE cât și în cazul organizațiilor din afara UE care vizează cetățeni din UE.Când se aplică Regulamentul general privind protecția datelor?
RGPD se aplică în cazul în care:
- compania dumneavoastră procesează date cu caracter personal și are sediul în UE, indiferent de locul în care se desfășoară prelucrarea efectivă a datelor
- compania dumneavoastră are sediul în afara UE, dar procesează date cu caracter personal în contextul furnizării de bunuri sau servicii către cetățeni din UE sau monitorizează comportamentul cetățenilor din UE
Companiile din afara UE care procesează date cu caracter personal ale cetățenilor europeni trebuie să desemneze un reprezentant în UE.
Solutie
Când nu se aplică Regulamentul general privind protecția datelor?
RGPD nu se aplică în cazul în care:
- datele se referă la o persoană decedată
- datele se referă la o persoană juridică
- procesarea datelor este realizată de o persoană care acționează în scopuri aflate în afara activității sale comerciale sau profesionale
Datele cu caracter personal includ orice informații despre o persoană identificată sau identificabilă ( subiectul datelor). Printre datele cu caracter personal se numără:
- numele
- adresa
- numărul cărții de identitate/pașaportului
- venitul
- profilul cultural
- adresa IP (Internet Protocol)
- datele deținute de medici sau spitale (care identifică o persoană în scopuri medicale)
Nu puteți procesa date care se referă la:
- originea rasială sau etnică
- orientarea sexuală
- opiniile politice
- convingerile religioase sau filosofice
- apartenența sindicală
- datele genetice, biometrice sau medicale, cu excepția unor cazuri specifice (de exemplu, când persoana și-a dat consimțământul explicit sau când procesarea este necesară din motive care țin de un interes public major, definit de legislația europeană sau națională)
- datele personale referitoare la infracțiuni sau condamnări penale, cu excepția cazului în care acest lucru este autorizat de legislația națională sau europeană
Pe durata prelucrării, datele cu caracter personal pot ajunge la mai multe companii sau organizații. În acest proces, apar două entități importante:
- operatorul de date – decide în ce scop vor fi procesate datele cu caracter personal
- persoana împuternicită de operatorul de date – deține și procesează date în numele operatorului de date
Responsabilul cu protecția datelor (RPD), care este posibil să fi fost desemnat de companie, monitorizează modul în care se procesează datele cu caracter personal și îi informează pe angajații care prelucrează date cu caracter personal în legătură cu obligațiile care le revin. Responsabilul cu protecția datelor cooperează și cu Autoritatea pentru protecția datelor (APD), servind ca punct de contact în relația cu aceasta și cu cetățenii.
Compania dumneavoastră are obligația de a numi un responsabil cu protecția datelor atunci când:
- monitorizează cetățeni periodic sau sistematic ori prelucrează categorii speciale de date
- prelucrează date ca activitate principală
- prelucrează date pe scară largă
De exemplu, dacă prelucrați date cu caracter personal pentru a trimite, prin intermediul motoarelor de căutare, mesaje publicitare bazate pe comportamentul on-line al utilizatorilor, aveți obligația de a desemna un responsabil cu protecția datelor. În cazul în care trimiteți materiale promoționale o dată pe an doar clienților dumneavoastră, această obligație nu se aplică. În mod similar, dacă sunteți medic și colectați date privind sănătatea pacienților nu veți avea probabil nevoie de un responsabil cu protecția datelor. Însă, dacă prelucrați date personale referitoare la genetică și sănătate în numele unui spital, desemnarea unui responsabil cu protecția datelor va fi obligatorie.
Responsabilul cu protecția datelor poate fi un membru al organizației dumneavoastră sau o persoană contractată extern pe baza unui contact de servicii. De asemenea, poate fi o parte dintr-o organizație, nu neapărat o persoană.
Când este permisă prelucrarea datelor?
Potrivit normelor UE privind protecția datelor, ar trebui să prelucrați datele în mod corect și legal, pentru un scop specific și legitim și doar acele date care sunt necesare pentru îndeplinirea scopului respectiv. Pentru a prelucra date cu caracter personal trebuie să îndepliniți una din următoarele condiții:
- aveți consimțământul persoanei vizate
- aveți nevoie de date personale pentru a onora o obligație contractuală față de persoana în cauză
- aveți nevoie de datele personale pentru a îndeplini o obligație legală
- aveți nevoie de datele personale pentru a proteja interesele vitale ale persoanei vizate
- prelucrați date cu caracter personal pentru a îndeplini o sarcină în interesul publicului
- acționați în interesul legitim al companiei dumneavoastră, atâta timp cât nu sunt afectate în mod serios drepturile și libertățile fundamentale ale persoanelor ale căror date sunt prelucrate. Dacă drepturile persoanei prevalează asupra intereselor companiei dumneavoastră, nu puteți prelucra datele cu caracter personal.
Încălcarea securității datelor are loc atunci când datele cu caracter personal de care răspundeți sunt dezvăluite, accidental sau ilegal, unor destinatari neautorizați, când datele sunt modificate sau când accesul la date este oprit temporar.
Dacă se produce o încălcare a securității datelor care reprezintă un risc la adresa drepturilor și libertăților individuale, trebuie să notificați Autoritatea pentru protecția datelor în termen de 72 de ore de la constatarea încălcării.
În funcție de consecințele pe care le are încălcarea securității datelor, compania dumneavoastră ar putea fi obligată să informeze toate persoanele afectate.
Formularea răspunsurilor
În cazul în care compania dumneavoastră primește o cerere de la o persoană care dorește să își exercite drepturile, trebuie să răspundeți cât mai repede posibil, în cel mult 1 lună de la primirea cererii. Trimiterea răspunsului poate fi prelungită până la 2 luni în cazul cererilor complexe sau multiple, atâta timp cât persoana în cauză este informată cu privire la prelungirea perioadei. Cererile trebuie tratate gratuit.
Dacă cererea este respinsă, trebuie să îi comunicați persoanei în cauză motivele respingerii și să o informați în legătură cu dreptul de a înainta o plângere pe lângă Autoritatea pentru protecția datelor.
Evaluarea impactului
Realizarea unei evaluări a impactului asupra protecției datelor este obligatorie ori de câte ori prelucrarea ar reprezenta un risc ridicat la adresa drepturilor și libertăților fundamentale, de exemplu când se utilizează tehnologii noi.
Un astfel de risc apare atunci când:
- se utilizează mecanisme de prelucrare automatizată și de creare de profiluri pentru a evalua persoane
- o zonă accesibilă publicului este monitorizată pe scară largă (ex. televiziunea cu circuit închis)
- categorii speciale de date sau date cu caracter personal referitoare la infracțiuni și condamnări penale sunt prelucrate pe scară largă (ex. datele privind sănătatea)
Notă: Autoritățile pentru protecția datelor pot considera că și alte categorii de prelucrare a datelor pot prezenta un risc ridicat.
Dacă măsurile menționate în evaluarea impactului nu reușesc să elimine toate riscurile ridicate identificate, este necesară consultarea Autorității pentru protecția datelor înainte ca prelucrarea datelor să aibă loc.
Evidența operațiunilor
Compania dumneavoastră trebuie să poată demonstra că acționează în conformitate cu RGPD și își îndeplinește toate obligațiile aplicabile – în special la cererea Autorității pentru protecția datelor sau cu ocazia inspecțiilor acesteia.
O modalitate de a realiza acest lucru este păstrarea de evidențe detaliate cu privire la:
- numele și datele de contact ale entității implicate în prelucrarea datelor
- motivul (motivele) prelucrării datelor
- descrierea categoriilor de persoane care furnizează date cu caracter personal
- categoriile de organizații care primesc datele cu caracter personal
- transferul de date cu caracter personal către o altă țară sau organizație
- perioada de stocare a datelor cu caracter personal
- descrierea măsurilor de securitate utilizate când se procesează datele cu caracter personal
Compania dumneavoastră ar trebui să păstreze și să actualizeze periodic proceduri și orientări scrise și să le comunice angajaților.
Avertisment
Dacă dețineți un IMM sau o companie de dimensiuni și mai mici nu trebuie să păstrați evidența activităților de prelucrare a datelor, atâta timp cât acestea:
- sunt efectuate periodic
- nu afectează drepturile sau libertățile persoanelor vizate
- nu implică date sensibile sau caziere judiciare
Asigurarea protecției datelor în mod intrinsec – compania dumneavoastră trebuie să ia în calcul protecția datelor încă din fazele inițiale ale planificării unei noi modalități de prelucrare a datelor cu caracter personal. Potrivit acestui principiu, operatorul de date trebuie să ia toate măsurile tehnice și organizatorice necesare pentru a implementa principiile de protecție a datelor și pentru a proteja drepturile persoanelor vizate. Aceste măsuri ar putea include, de exemplu, utilizarea pseudonimizării.
Asigurarea protecției datelor în mod implicit – compania ar trebui să seteze ca implicite configurațiile care asigură cel mai ridicat nivel de protecție a datelor. De exemplu, dacă sunt posibile două setări, iar una împiedică accesul părților terțe la datele cu caracter personal, aceasta ar trebui utilizată ca setare implicită.
Leave A Comment?