Ce este GDPR și cum ne influențează activitatea
Mădălina Boitan, Redactor, Expert Contabil
în Articole Antreprenoriat, 08 May 2018
actualizat la 08 May 2018
Datele cu caracter personal sunt acele informații prin care o persoana poate fi identificată. De exemplu: nume, CNP, date de localizare, originea rasială sau etnică, opiniile politice, confesiunea religioasă, convingeri filozofice, apartenența la sindicate, orientarea sexuală sau date privind sănătatea.
Prin prelucrarea datelor cu caracter personal se înțelege orice operațiune efectuată asupra acestora, cum ar fi: colectarea, stocarea, reorganizarea, consultarea, modificarea, utilizarea sau transmiterea, dar și ștergerea sau distrugerea.
Ce este GDPR și cȃnd intră ȋn vigoare?
GDPR este Regulamentul 679/2016 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor).
GDRP a fost publicat în Jurnalul Oficial al Uniunii Europene L119/4.Mai.2016, a intrat în vigoare la 25 mai 2016 și va fi aplicabil din 25 mai 2018 la nivelul întregii Uniuni Europene. GDPR contine un set de reguli menite să ofere cetățenilor mai mult control asupra datelor care sunt de natură să îi identifice.
Regulamentul înlocuiește Directiva de Protecție a Datelor 95/46/EC și a fost concepută să armonizeze legile cu privire la securitatea datelor din Europa, pentru a proteja și pentru a veni în sprijinul protejării datelor cetățenilor europeni. De asemenea, GDPR își propune să schimbe modul în care organizațiile din regiune abordează confidențialitatea datelor.
Fie ca este vorba doar despre stocarea anumitor informații privind persoanele fizice, fie că este vorba de utilizarea acestora în diverse scopuri (crearea de profiluri, vânzarea bazei de date, monitorizarea persoanelor), actorii implicați au o serie de drepturi și obligații clar determinate.
Drepturile persoanelor fizice în cazul GDPR
Persoana fizică are dreptul de a nu îi fi prelucrate datele cu caracter personal, decât dacă își dă consimțământul expres. Însă, dacă prelucrarea datelor cu caracter personal este necesară pentru încheierea unui contract cu operatorul sau pentru ca operatorul să-și îndeplinească o obligație legală, obținerea consimțământului persoanei fizice nu mai este necesară.
Dacă scopul pentru care au fost prelucrate datele a fost atins sau prelucrarea nu a fost efectuată în mod legal (nu s-a solicitat consimțământul când era obligatoriu), persoana fizică are dreptul să ceară ștergerea datelor sale cu caracter personal.
De asemenea, persoana fizică are dreptul să fie informată cu privire la următoarele aspecte: identitatea operatorului, scopul și temeiul legal al prelucrării datelor cu caracter personal, cine este beneficiarul respectivelor date, dacă acestea vor fi transferate într-un stat din afara UE sau perioada de timp pentru care vor fi prelucrate datele.
Dreptul la portabilitatea datelor permite persoanei fizice să solicite operatorului transmiterea acestor date către un alt operator de date cu caracter personal. Totodată, o persoană fizică se poate opune oricărei prelucrări automate, ce implică crearea de profiluri.
În cazul în care o persoană fizică observă o încălcare a drepturilor sale, se poate adresa Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal in vederea sancționării operatorului.
Obligațiile operatorilor de date sub GDPR
Principalele obligații ale operatorilor sunt informarea corespunzătoare a persoanelor fizice, precum și obținerea consimțământului acestora, atunci când este cazul.
Totodată, orice operator trebuie să verifice dacă persoana fizică, ale cărei date cu caracter personal le prelucrează, are peste 16 ani. În astfel de cazuri, când minorul are sub 16 ani, este necesar acordul părinților pentru a putea fi prelucrate datele cu caracter personal ale acestuia.
Dacă operatorului i se solicită să confirme că prelucrează sau nu date cu caracter personal ale unei persoane fizice anume, acesta are obligația de a da un răspuns persoanei fizice respective, indiferent de câte solicitări de acest fel primește.
Operatorul trebuie să-și informeze angajații și colaboratorii implicați în prelucrarea de date cu caracter personal, asupra drepturilor și obligațiilor stipulate de GDPR. De asemenea, în funcție de activitatea acestuia și importanța datelor cu caracter personal prelucrate, poate fi necesară și implementarea unor măsuri tehnice pentru securizarea datelor cu caracter personal, cum ar fi: acces restricționat pe bază de parole, dublat de schimbarea periodică a parolelor, utilizarea de firewall, criptarea bazelor de date, etc.
Dacă un operator are mai mult de 250 de angajați sau prelucrează în mod curent date cu caracter personal, ca de exemplu: băncile, asigurătorii, prestatorii de servicii de telefonie etc. are obligația să întocmească o evidență, atât scrisă, cât și electronică, a prelucrărilor de date cu caracter personal efectuate.
În cazul în care se întamplă un atac cibernectic sau copierea bazei de date de către persoane neautorizate, operatorul trebuie să anunțe cât mai repede Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, cât și persoanele fizice afectate.
Nu este permisă păstrarea datelor cu caracter personal după îndeplinirea scopului și duratei pentru care au fost prelucrate. Prin excepție, acest lucru este permis doar pentru arhivarea în interes public, cercetare științifică sau istorică, ori pentru scopuri statistice.
Impactul GDPR asupra organizațiilor din întreaga lume
GDPR se aplică tuturor celor 28 de state membre ale UE și are forța deplină a legii. Reglementările se aplică datelor personale ale rezidenților UE, indiferent de locul în care sunt colectate, stocate sau prelucrate - fie în interiorul, fie în exteriorul UE, chiar dacă organizația nu are o prezență oficială în zona UE.
GDPR se aplică organizațiilor de orice dimensiune și din orice domeniu. Legea vizează companiile, agențiile guvernamentale, organizațiile non-profit și alte organizații care oferă bunuri și servicii persoanelor din Uniunea Europeană sau care colectează și analizează date legate de rezidenții Uniunii Europene.
Astfel, regulamentul va fi direct aplicabil oricărei companii care:
- Furnizează bunuri sau servicii indivizilor din țările membre ale Uniunii Europene;
- Monitorizează comportamentul indivizilor din țări membre ale Uniunii Europene;
- Are angajați în țări membre ale Uniunii Europene.
Există și excepții, GDPR nu se aplică prelucrării datelor cu caracter personal în cazuri care implică securitatea națională sau "activități pur personale sau casnice".
Sancțiuni pentru nerespectarea prevederilor GDPR
Responsabilitatea acțiunilor se împarte între compania care controlează datele personale și compania care procesează datele personale pentru cea dintâi, adică ambele vor răspunde în nume propriu.
Pentru nerespectarea prevederilor acestui regulament se pot aplica:
- Amenzi de până la 10.000.000 EUR sau până la 2% din cifra mondială totală anuală corespunzătoare anului financiar anterior, pentru încălcări privind obligațiile operatorului și împuternicitului;
- Amenzi de până la 20.000.000 EUR sau până la 4% din cifra mondială totală anuală corespunzătoare anului financiar anterior, pentru încălcarea principiilor de bază privind prelucrarea datelor, inclusiv consimțământul, încălcarea drepturilor persoanelor vizate, transferurilor internaționale de date și nerespectarea măsurilor unei autorități de supraveghere;
Ce trebuie sa fac, ca si companie pentru a aplica GDPR?
Conformarea cu dispozițiile GDPR nu este o activitate care are loc o singură dată, ci este un proces continuu de monitorizare a activităților desfășurate asupra datelor cu caracter personal și de asigurare a securității acestora.
Pentru a asigura conformitatea cu GDPR, organizațiile sunt încurajate să implementeze o cultură de confidențialitate necesară pentru a proteja drepturile și interesele persoanelor cu privire la datele cu caracter personal.
Iata, cateva exemple de acțiuni ce pot fi implementate:
1. Inventarierea datelor cu caracter personal
În primul rând, pentru a implementa noile cerințe în materie de protecție a datelor, este necesar să cunoașteți ce date cu caracter personal prelucrați în activitatea societății.
2. Stabilirea scopurilor în care prelucrați datele cu caracter personal
Fiecare societate prelucrează datele cu caracter personal pentru diferite scopuri. Pentru fiecare dintre aceste scopuri asigurați-vă că prelucrați numai datele cu caracter personal strict necesare.
3. Stabilirea temeiului legal pentru fiecare dintre scopurile de prelucrare
Prelucrarea datelor cu caracter personal pentru fiecare dintre scopurile de mai sus este legală dacă are unul dintre temeiurile expres identificate în GDPR, cum ar fi:
- persoana vizată și-a dat consimțământul;
- datele sunt necesare pentru executarea unui contract la care persoana vizată este parte;
- îndeplinirea unei obligații legale a societățiiș
- prelucrarea este necesară în scopul intereselor legitime ale societății.
4. Obținerea consimțământului
Pentru prelucrările care au temei consimțământul persoanei vizate este necesar ca acesta să fie dat în mod liber, pentru fiecare scop în parte. Nu se poate solicita consimțământul pentru mai multe scopuri
5. Respectarea drepturilor persoanelor vizate
În calitate de operator aveți obligația de a asigura persoanelor vizate exercitarea drepturilor acestora:
- dreptul de informare și acces la datele cu caracter personal,
- dreptul la rectificare,
- dreptul la ștergerea datelor,
- dreptul la restricționarea prelucrării,
- dreptul la portabilitatea datelor,
- dreptul la opoziție și procesul decizional individual automatizat.
6. Revizuirea contractelor cu împuterniciții
Prelucrarea de către o persoană împuternicită trebuie reglementată printr-un contract care stabilește obiectul și durata prelucrării, natura și scopul prelucrării, tipul de date cu caracter personal și categoriile de persoane vizate și obligațiile și drepturile societății.
7. Evidențele activităților de prelucrare
Fiecare societate are obligația de a păstra o evidență a activităților de prelucrare, care cuprinde printre altele scopurile prelucrării, o descriere a categoriilor de persoane vizate și a categoriilor de date cu caracter personal, precum și termenele-limită preconizate pentru ștergerea diferitelor categorii de date.
8. Securitatea datelor cu caracter personal
Metodele de securizare a datelor cu caracter personal includ: criptarea, capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența continua a sistemelor și serviciilor de prelucrare, dar și un proces pentru testarea, evaluarea și aprecierea periodică a eficacității măsurilor tehnice și organizatorice.
9. Stabilirea procedurii de notificare a Autorității de Supraveghere în cazul încălcării securității datelor cu caracter personal
Trebuie implemnatata în primul rând o procedură care să permită identificarea unei astfel de încălcări a securității și, în cazul în care aceasta se intampla, aveți obligația de a notifica autoritatea competentă, fără întârzieri nejustificate și, dacă este posibil, în termen de cel mult 72 de ore de la data la care s-a luat cunoștință de aceasta.
10. Desemnarea responsabilului cu protecția datelor
Responsabilul cu protecția datelor trebuie implicat în toate aspectele ce vizează protecția datelor cu caracter personal. Mai ales in situatia în care se necesită o monitorizare periodică și sistematică a persoanelor vizate.
In concluzie, GDPR solicită ca afacerile să fie mult mai transparente cu privire la maniera în care colectează și utilizează datele și astfel, toate organizațiile trebuie să evalueze acțiunile luate asupra protecției datelor, pentru a anticipa impactul asupra confidențialității și pentru a lua măsuri, după cum este necesar.