GDPR

REGULAMENTUL UE PRIVIND PROTECTIA GENERALA A DATELOR

Regulamentul UE privind protecția generală a datelor (GDPR) se va aplica începând cu data de 25 mai 2018, înlocuind Legea privind protecția datelor din Marea Britanie din 1998. Noua lege oferă persoanelor fizice dreptul de a controla modul în care sunt colectate și prelucrate informațiile lor personale și supune organizațiile unei noi serii de obligații.

GDPR

ELEMENTELE CHEIE ALE GDPR

Datele personale

GDPR se aplică tuturor datelor cu caracter personal. Acestea reprezintă orice informație care poate fi folosită la identificarea
unei persoane în mod direct sau indirect.

Date Personale

Numele
Adresa
Adresa de e-mail
Fotografii
Adresa IP
Date despre locație
Comportamentul online (cookie-urile)
Datele de profil

Categorii speciale de date
cu caracter personal

Rasa
Religie
Opinii politice
Orientare sexuală
Informații despre starea sănătate
Date biometrice
Date genetice

Unde se aplica?

GDPR se aplică tuturor organizațiilor UE (comerciale, caritabile sau autorităților publice), care colectează, stochează sau prelucrează datele cu caracter personal ale indivizilor care locuiesc în UE, chiar dacă nu sunt cetățeni ai Uniunii Europene.

Organizațiile din afara UE care oferă bunuri sau servicii rezidenților din UE, și monitorizează comportamentul sau procesează datele personale vor fi supuse GDPR. Furnizorii de servicii (procesatori de date) care procesează date în numele unei organizații intră în sfera de competență a GDPR. Un exemplu ar putea fi o companie care procesează salariile sau un furnizor de cloud care stochează date.

Principiile de protecție a datelor

Datele personale trebuie prelucrate în conformitate cu cele șase principii de protecție a datelor:

  • Trebuie procesate în mod legal, corect și transparent;
  • Trebuie colectate numai pentru scopuri legitime și specifice;
  • Datele să fie relevante și folosite doar pentru ceea ce este necesar;
  • Trebuie să fie corecte și actualizate;
  • Stocate numai cât timp este necesar;
  • Trebuie asigurată securitatea, integritatea și confidențialitatea lor.

Responsabilitatea companiilor

Fiecare companie trebuie să demonstreze respectarea GDPR:

  • Înființarea unei structuri cu roluri și responsabilități.
  • Menținerea unui istoric detaliat a tuturor operațiunilor de procesare a datelor.
  • Documentarea politicilor și procedurilor de protecție a datelor.
  • Implementarea tuturor măsurilor necesare pentru securitatea datelor cu caracter personal.
  • Instruirea și conștientizarea angajaților.
  • Dacă este necesar, numirea unui responsabil cu protecția datelor.

Acord

Există reguli stricte pentru obtinerea consimtamantului:

  • Consimțământul trebuie să fie dat în mod liber, specific și lipsit de ambiguitate;
  • Cererea de aprobare trebuie să fie inteligibilă și în limbaj clar și simplu;
  • Consimțământul poate fi retras în orice moment;
  • Consimțământul pentru servicii online de la un copil cu vârsta sub 13 ani este valabil numai cu autorizația parentală;
  • Organizațiile trebuie să poată demonstra consimțământul.

Drepturile de confidentialitate ale persoanelor

Drepturile persoanelor sunt sporite și extinse în mai multe domenii importante:

  • Dreptul de acces la datele cu caracter personal prin intermediul cererilor scrise;
  • Dreptul de a corecta datele personale;
  • Dreptul, în anumite cazuri, de a șterge datele cu caracter personal;
  • Dreptul de a obiecta;
  • Instruirea și conștientizarea angajaților.
  • Dreptul de a muta datele cu caracter personal de la un furnizor la altul (portabilitatea datelor).

Anunțuri privind transparența și confidențialitatea

Organizațiile trebuie să fie clare și transparente cu privire la modul în care vor fi procesate datele cu caracter personal, de către cine și de ce. Anunțurile de confidențialitate trebuie să fie într-o formă concisă și ușor de înțeles, într-un limbaj clar și simplu.

Ofiterul pentru protectia datelor (Date Protection Officer - DPO)

Numirea unui astfel de ofițer este obligatorie pentru:

  • Autoritățile publice;
  • Organizațiile implicate în procesarea informațiilor cu grad mare de risc;
  • Organizațiile care procesează date sensibile.

Ofițerul pentru protecția datelor trebuie:

  • Să informeze și consilieze organizația în privința obligațiilor sale;
  • Să crească conștientizarea, să instruiască personalul și să monitorizeze auditurile;
  • Să coopereze cu autoritățile de protecție a datelor și să fie persoana de contact când este nevoie.

Mai multe informatii