RGPD stabilește cerințele detaliate pentru companii și organizații în ceea ce privește colectarea, stocarea și gestionarea datelor cu caracter personal. Se aplică atât în cazul organizațiilor europene care prelucrează datele cu caracter personal ale cetățenilor din UE cât și în cazul organizațiilor din afara UE care vizează cetățeni din UE.

Când se aplică Regulamentul general privind protecția datelor?

RGPD se aplică în cazul în care:

  • compania dumneavoastră procesează date cu caracter personal și are sediul în UE, indiferent de locul în care se desfășoară prelucrarea efectivă a datelor
  • compania dumneavoastră are sediul în afara UE, dar procesează date cu caracter personal în contextul furnizării de bunuri sau servicii către cetățeni din UE sau monitorizează comportamentul cetățenilor din UE

Companiile din afara UE care procesează date cu caracter personal ale cetățenilor europeni trebuie să desemneze un reprezentant în UE.

Când nu se aplică Regulamentul general privind protecția datelor?

RGPD nu se aplică în cazul în care:

  • datele se referă la o persoană decedată
  • datele se referă la o persoană juridică
  • procesarea datelor este realizată de o persoană care acționează în scopuri aflate în afara activității sale comerciale sau profesionale

Ce sunt datele cu caracter personal?

Datele cu caracter personal includ orice informații despre o persoană identificată sau identificabilă ( subiectul datelor). Printre datele cu caracter personal se numără:

  • numele
  • adresa
  • numărul cărții de identitate/pașaportului
  • venitul
  • profilul cultural
  • adresa IP (Internet Protocol)
  • datele deținute de medici sau spitale (care identifică o persoană în scopuri medicale)

Categorii speciale de date

Nu puteți procesa date care se referă la:

  • originea rasială sau etnică
  • orientarea sexuală
  • opiniile politice
  • convingerile religioase sau filosofice
  • apartenența sindicală
  • datele genetice, biometrice sau medicale, cu excepția unor cazuri specifice (de exemplu, când persoana și-a dat consimțământul explicit sau când procesarea este necesară din motive care țin de un interes public major, definit de legislația europeană sau națională)
  • datele personale referitoare la infracțiuni sau condamnări penale, cu excepția cazului în care acest lucru este autorizat de legislația națională sau europeană

Cine prelucrează datele cu caracter personal?

Pe durata prelucrării, datele cu caracter personal pot ajunge la mai multe companii sau organizații. În acest proces, apar două entități importante:

  • operatorul de date - decide în ce scop vor fi procesate datele cu caracter personal
  • persoana împuternicită de operatorul de date - deține și procesează date în numele operatorului de date

Cine monitorizează modul în care sunt procesate datele în cadrul unei companii?

Responsabilul cu protecția datelor (RPD), care este posibil să fi fost desemnat de companie, monitorizează modul în care se procesează datele cu caracter personal și îi informează pe angajații care prelucrează date cu caracter personal în legătură cu obligațiile care le revin. Responsabilul cu protecția datelor cooperează și cu Autoritatea pentru protecția datelor (APD), servind ca punct de contact în relația cu aceasta și cu cetățenii.

Când ar trebui să desemnați un responsabil cu protecția datelor?

Compania dumneavoastră are obligația de a numi un responsabil cu protecția datelor atunci când:

  • monitorizează cetățeni periodic sau sistematic ori prelucrează categorii speciale de date
  • prelucrează date ca activitate principală
  • prelucrează date pe scară largă

De exemplu, dacă prelucrați date cu caracter personal pentru a trimite, prin intermediul motoarelor de căutare, mesaje publicitare bazate pe comportamentul on-line al utilizatorilor, aveți obligația de a desemna un responsabil cu protecția datelor. În cazul în care trimiteți materiale promoționale o dată pe an doar clienților dumneavoastră, această obligație nu se aplică. În mod similar, dacă sunteți medic și colectați date privind sănătatea pacienților nu veți avea probabil nevoie de un responsabil cu protecția datelor. Însă, dacă prelucrați date personale referitoare la genetică și sănătate în numele unui spital, desemnarea unui responsabil cu protecția datelor va fi obligatorie.

Responsabilul cu protecția datelor poate fi un membru al organizației dumneavoastră sau o persoană contractată extern pe baza unui contact de servicii. De asemenea, poate fi o parte dintr-o organizație, nu neapărat o persoană.

Prelucrarea datelor pentru o altă companie

Operatorul de date poate împuternici o persoană care să se ocupe de prelucrarea datelor doar dacă aceasta prezintă suficiente garanții. Acestea trebuie incluse într-un contract scris încheiat între părțile implicate. Contractul trebuie să conțină și o serie de clauze obligatorii, de exemplu faptul că persoana împuternicită va prelucra date doar atunci când operatorul de date îi va cere acest lucru.

Transferul de date în afara UE

Când datele personale sunt transferate în afara UE, protecția oferită de RGPD ar trebuie să „călătorească" împreună cu ele. Aceasta înseamnă că dacă exportați date în străinătate, compania dumneavoastră trebuie să se asigure că cel puțin una dintre prevederile următoare este pusă în aplicare:

  • protecția oferită de țara din afara UE este considerată adecvată de către UE
  • compania dumneavoastră ia măsurile necesare pentru a oferi protecția adecvată, de exemplu prin includerea de clauze specifice în contractul convenit cu importatorul de date din afara UE
  • compania dumneavoastră se bazează pe derogări specifice care permit transferul, cum ar fi consimțământul persoanei

Când este permisă prelucrarea datelor?

Potrivit normelor UE privind protecția datelor, ar trebui să prelucrați datele în mod corect și legal, pentru un scop specific și legitim și doar acele date care sunt necesare pentru îndeplinirea scopului respectiv. Pentru a prelucra date cu caracter personal trebuie să îndepliniți una din următoarele condiții:

  • aveți consimțământul persoanei vizate
  • aveți nevoie de date personale pentru a onora o obligație contractuală față de persoana în cauză
  • aveți nevoie de datele personale pentru a îndeplini o obligație legală
  • aveți nevoie de datele personale pentru a proteja interesele vitale ale persoanei vizate
  • prelucrați date cu caracter personal pentru a îndeplini o sarcină în interesul publicului
  • acționați în interesul legitim al companiei dumneavoastră, atâta timp cât nu sunt afectate în mod serios drepturile și libertățile fundamentale ale persoanelor ale căror date sunt prelucrate. Dacă drepturile persoanei prevalează asupra intereselor companiei dumneavoastră, nu puteți prelucra datele cu caracter personal.

Acordul față de prelucrarea datelor: consimțământul

RGPD prevede norme stricte pentru prelucrarea datelor pe baza consimțământului. Scopul acestor norme este să garanteze că persoana vizată înțelege pentru ce își acordă consimțământul. De aceea, consimțământul trebuie să fie acordat în mod liber, specific, informat și lipsit de ambiguitate, prin intermediul unei cereri prezentate într-un limbaj clar și simplu. Consimțământul trebuie acordat printr-un act pozitiv, cum ar fi bifarea unei casete on-line sau semnarea unui formular.

Când o persoană își dă acordul pentru prelucrarea datelor cu caracter personal, datele respective pot fi prelucrate doar în scopul pentru care s-a obținut consimțământul. De asemenea, trebuie să-i acordați persoanei respective posibilitatea de a-și retrage consimțământul.

Furnizarea de informații transparente

Trebuie să le furnizați persoanelor vizate informații clare despre entitatea care prelucrează datele personale și scopul acestei prelucrări. Trebuie să indicați cel puțin:

  • cine sunteți
  • de ce prelucrați date cu caracter personal
  • care este temeiul juridic pe care vă bazați
  • cine va primi datele (dacă se aplică)

În unele cazuri, informațiile pe care le furnizați trebuie să includă:

  • datele de contact ale responsabilului cu protecția datelor (dacă există)
  • ce interes legitim urmărește compania dumneavoastră când prelucrează date în baza temeiului juridic invocat
  • ce măsuri se aplică pentru transferul datelor către o țară din afara UE
  • cât timp vor fi stocate datele
  • de ce drepturi beneficiază persoana în materie de protecție a datelor (dreptul de acces, de corectare, de ștergere, de restricționare, de obiecție, de portabilitate etc.)
  • cum poate fi retras consimțământul (când acesta reprezintă temeiul juridic pentru prelucrare)
  • dacă există o obligație legală sau contractuală pentru furnizarea de date
  • în cazul procesului decizional automatizat, informații despre logica, semnificația și consecințele deciziei

Trebuie să prezentați aceste informații într-un limbaj clar și simplu.

Norme specifice pentru copii

În cazul în care colectați date cu caracter personal de la copii pe bază de consimțământ, de exemplu utilizând un cont de rețea de socializare sau un cont de descărcare, trebuie să obțineți mai întâi consimțământul parental, prin trimiterea unei notificări către părinte sau tutore. Vârsta până la care o persoană este considerată copil diferă de la o țară la alta, situându-se între 13 și 16 ani.

Dreptul de acces și dreptul la portabilitatea datelor

Trebuie să vă asigurați că persoanele vizate au drept de acces gratuit la datele cu caracter personal. Dacă primiți o astfel de cerere trebuie:

  • să îi spuneți persoanei în cauză că îi prelucrați datele
  • să îi dați detalii despre prelucrare (scopul prelucrării, categoriile de date cu caracter personal vizate, destinatarii datelor etc.)
  • să îi transmiteți o copie a datelor cu caracter personal care sunt prelucrate (într-un format accesibil)

Când prelucrarea datelor se bazează pe consimțământ sau pe contract, persoana vizată poate solicita returnarea datelor personale sau transmiterea lor către o altă companie. Este vorba despre așa-numitul drept la portabilitatea datelor. Trebuie să furnizați datele într-un format utilizat în mod comun, care poate fi citit automat.

Dreptul de a corecta datele și dreptul de a obiecta

Dacă o persoană consideră că datele sale cu caracter personal sunt incorecte, incomplete sau inexacte, persoana respectivă are dreptul de a le corecta sau completa fără întârziere.

În acest caz, trebuie să îi informați pe toți destinatarii datelor dacă o parte din datele pe care le-ați partajat cu ei au fost modificate sau șterse. Dacă o parte din datele partajate s-au dovedit a fi incorecte, trebuie să îi informați în legătură cu acest lucru pe toți cei care le-au vizualizat (cu excepția cazului în care această acțiune ar presupune un efort disproporționat).

O persoană poate obiecta în orice moment față de prelucrarea datelor sale personale, atunci când compania prelucrează datele respective în baza unui interes legitim propriu sau în vederea îndeplinirii unei sarcini în interes public. Dacă nu aveți un interes legitim care să prevaleze asupra interesului persoanei vizate, trebuie să încetați prelucrarea datelor cu caracter personal.

De asemenea, o persoană poate solicita restricționarea prelucrării datelor sale cu caracter personal pe durata perioadei în care se stabilește dacă interesul companiei dumneavoastră prevalează asupra interesului său. Totuși, în cazul marketingului direct, sunteți întotdeauna obligat să încetați prelucrarea datelor cu caracter personal dacă persoana în cauză vă cere acest lucru.

Dreptul la ștergerea datelor („dreptul de a fi uitat")

În anumite situații, o persoană îi poate solicita operatorului de date să șteargă datele sale cu caracter personal, de exemplu dacă acestea nu mai sunt necesare pentru scopul prelucrării. Totuși, compania dumneavoastră nu este obligată să facă acest lucru dacă:

  • prelucrarea este necesară pentru a respecta libertatea de exprimare și informare
  • trebuie să păstrați datele cu caracter personal pentru a respecta o obligație legală
  • există alte motive de interes public care justifică stocarea datelor, cum ar fi cele legate de sănătatea publică sau de cercetarea științifică și istorică
  • trebuie să stocați datele cu caracter personal pentru o eventuală acțiune în justiție

Procesul decizional automatizat și crearea de profiluri

Cetățenii au dreptul de a nu fi supuși unei decizii bazate doar pe procesarea automatizată. Totuși, există câteva excepții la această regulă, de exemplu atunci când persoana acceptă în mod explicit decizia automatizată. Cu excepția cazului în care decizia automatizată se bazează pe o lege, compania dumneavoastră trebuie:

  • să informeze persoana cu privire la procesul decizional automatizat
  • să îi dea persoanei dreptul de a solicita examinarea deciziei automatizate de către o persoană
  • să îi dea persoanei posibilitatea de a contesta decizia automatizată

De exemplu, dacă o bancă își automatizează decizia prin care se stabilește dacă o anumită persoană poate sau nu să primească un credit, persoana respectivă trebuie să știe că a fost vorba despre o decizie automatizată și trebuie să aibă posibilitatea de a contesta decizia și de a solicita o intervenție umană.

Încălcarea securității datelor: furnizarea notificării adecvate

Încălcarea securității datelor are loc atunci când datele cu caracter personal de care răspundeți sunt dezvăluite, accidental sau ilegal, unor destinatari neautorizați, când datele sunt modificate sau când accesul la date este oprit temporar.

Dacă se produce o încălcare a securității datelor care reprezintă un risc la adresa drepturilor și libertăților individuale, trebuie să notificați Autoritatea pentru protecția datelor în termen de 72 de ore de la constatarea încălcării.

În funcție de consecințele pe care le are încălcarea securității datelor, compania dumneavoastră ar putea fi obligată să informeze toate persoanele afectate.

Formularea răspunsurilor

În cazul în care compania dumneavoastră primește o cerere de la o persoană care dorește să își exercite drepturile, trebuie să răspundeți cât mai repede posibil, în cel mult 1 lună de la primirea cererii. Trimiterea răspunsului poate fi prelungită până la 2 luni în cazul cererilor complexe sau multiple, atâta timp cât persoana în cauză este informată cu privire la prelungirea perioadei. Cererile trebuie tratate gratuit.

Dacă cererea este respinsă, trebuie să îi comunicați persoanei în cauză motivele respingerii și să o informați în legătură cu dreptul de a înainta o plângere pe lângă Autoritatea pentru protecția datelor.

Evaluarea impactului

Realizarea unei evaluări a impactului asupra protecției datelor este obligatorie ori de câte ori prelucrarea ar reprezenta un risc ridicat la adresa drepturilor și libertăților fundamentale, de exemplu când se utilizează tehnologii noi.

Un astfel de risc apare atunci când:

  • se utilizează mecanisme de prelucrare automatizată și de creare de profiluri pentru a evalua persoane
  • o zonă accesibilă publicului este monitorizată pe scară largă (ex. televiziunea cu circuit închis)
  • categorii speciale de date sau date cu caracter personal referitoare la infracțiuni și condamnări penale sunt prelucrate pe scară largă (ex. datele privind sănătatea)

Notă: Autoritățile pentru protecția datelor pot considera că și alte categorii de prelucrare a datelor pot prezenta un risc ridicat.

Dacă măsurile menționate în evaluarea impactului nu reușesc să elimine toate riscurile ridicate identificate, este necesară consultarea Autorității pentru protecția datelor înainte ca prelucrarea datelor să aibă loc.

Evidența operațiunilor

Compania dumneavoastră trebuie să poată demonstra că acționează în conformitate cu RGPD și își îndeplinește toate obligațiile aplicabile - în special la cererea Autorității pentru protecția datelor sau cu ocazia inspecțiilor acesteia.

O modalitate de a realiza acest lucru este păstrarea de evidențe detaliate cu privire la:

  • numele și datele de contact ale entității implicate în prelucrarea datelor
  • motivul (motivele) prelucrării datelor
  • descrierea categoriilor de persoane care furnizează date cu caracter personal
  • categoriile de organizații care primesc datele cu caracter personal
  • transferul de date cu caracter personal către o altă țară sau organizație
  • perioada de stocare a datelor cu caracter personal
  • descrierea măsurilor de securitate utilizate când se procesează datele cu caracter personal

Compania dumneavoastră ar trebui să păstreze și să actualizeze periodic proceduri și orientări scrise și să le comunice angajaților.

Dacă dețineți un IMM sau o companie de dimensiuni și mai mici nu trebuie să păstrați evidența activităților de prelucrare a datelor, atâta timp cât acestea:

  • sunt efectuate periodic
  • nu afectează drepturile sau libertățile persoanelor vizate
  • nu implică date sensibile sau caziere judiciare

Asigurarea protecției datelor în mod intrinsec și în mod implicit

Asigurarea protecției datelor în mod intrinsec – compania dumneavoastră trebuie să ia în calcul protecția datelor încă din fazele inițiale ale planificării unei noi modalități de prelucrare a datelor cu caracter personal. Potrivit acestui principiu, operatorul de date trebuie să ia toate măsurile tehnice și organizatorice necesare pentru a implementa principiile de protecție a datelor și pentru a proteja drepturile persoanelor vizate. Aceste măsuri ar putea include, de exemplu, utilizarea pseudonimizării.

Asigurarea protecției datelor în mod implicit – compania ar trebui să seteze ca implicite configurațiile care asigură cel mai ridicat nivel de protecție a datelor. De exemplu, dacă sunt posibile două setări, iar una împiedică accesul părților terțe la datele cu caracter personal, aceasta ar trebui utilizată ca setare implicită.