gdpr explicat

Indiferent de domeniul de activitate, toată lumea șușotește și discută despre GDPR, însă textele din legislație nu sunt nicidecum ușor de înțeles și pot crea și mai multă confuzie celor care nu au pregătire juridică. Din acest motiv, aducem la lumină tainele întunecate ale infamului GDPR, astfel încât să-i înțelegem rolul și implicațiile.

Ce este GDPR?

Termenul de ”GDPR” este abrevierea a „General Data Protection Regulation” sau, mai neaoș, ”Regulamentul General privind Protecția Datelor”, iar scopul acestei dispoziții legale este de a proteja datele cu caracter personal și a delimita clar modul în care acestea pot fi prelucrate.

Prevederile din cadrul GDPR vizează toate statele membre UE, ceea ce înseamnă că și România trebuie să le respecte, iar data de la care intră în vigoare este 25 mai 2018. Trebuie arătat faptul că, spre deosebire de Directive, Regulamentul UE se aplică direct, neavând nevoie de transpunere legislativă. Totuși, la nivel național, încă nu există o lege de aplicare a respectivelor dispoziții.

În urma recentului scandal în care a fost implicată Facebook, toată lumea a început să fie mai atentă cu datele personale și gestionarea lor. Discuția despre felul în care respectiva informație este utilizată există, însă, de mai mult timp și este mult mai des întâlnită decât pare la prima vedere.

Textul legislativ care face referire la protectia datelor personale este Regulamentul UE nr. 679/2016, cunoscut drept GDPR, și care înlocuiește Directiva CE nr. 46/1995. El vizează datele cu caracter personal, adică orice informație referitoare la o persoană și care poate duce la identificarea sa directă sau indirectă, indiferent dacă introducerea datelor are loc manual sau printr-un mijloc automatizat, de tip formular online.

Aceste date se împart în două categorii, după cum urmează:

  • Date personale: nume, CNP, localizare geografică, adresă IP, Cookies, adresă email;
  • Date personale sensibile: stare de sănătate, informații biometrice, informații genetice, rasă, orientare sexuală sau orientare politică.

Cui i se aplică GDPR?

Principalele categorii de entități vizate prin GDPR sunt:

  • Operatorii – cei care stabilesc scopurile și mijloacele de prelucrare a datelor cu caracter personal;
  • Persoana împuternicită – cei care sunt responsabili de prelucrarea datelor cu caracter personal în numele unui operator de date.

Astfel, prevederile din cadrul GDPR se aplică Operatorilor și Persoanelor împuternicite stabilite pe teritoriul Uniunii Europene (UE), indiferent de locul unde are loc efectiv procesarea datelor, de exemplu dispozițiile se aplică unei platforme online de social media cu sediul în România, dar care deține serverele în Hong Kong.

Mai mult, se mai aplică Operatorilor și Persoanelor împuternicite care nu sunt stabiliți în UE, dacă:

  • Oferă bunuri și servicii către UE, indiferent că sunt sau nu plătite;
  • Monitorizează comportamentul persoanelor fizice din UE.

Prin excepție, GDPR nu se aplică persoanelor care prelucrează date în scopuri de securitate națională sau prelucrarea efectuată este exclusiv pentru activități personale ori gospodărești.

Totuși, sunt foarte mari șansele să ți se aplice, fiind foarte probabil ca firma ta să fie Operator, pentru că în evidența ta există informații personale despre clienții tău. 

Dacă mi se aplică, ce înseamnă asta pentru mine?

Regulamentul european prevede ca datele să nu fie păstrate mai mult decât este necesar pentru îndeplinirea scopurilor comerciale. Prin excepție, datele cu caracter personal pot fi stocate pe perioade mai lungi dacă vor fi prelucrate exclusiv în scopul de:

  • Arhivare în interes public;
  • Cercetare științifică sau istorică;
  • Analiză statistică.

Dat fiind modul în care au fost formulate prevederile legale, sunt câteva obligații principale care revin operatorilor.

Prima obligație impune solicitarea consimțământului informat și liber din partea clientului, consimțământ care trebuie să fie exprimat printr-o acțiune afirmativă clară și care să se distingă de alte aspecte, un exemplu ar fi aderarea fermă și expresă la un set de Termeni și Condiții. Totuși, trebuie subliniat că includerea unui link către GDPR sau legislației aferente nu coincide cu primirea validă a consimțământului clientului, textul trebuind să fie unul transparent, accesibil și clar.

A doua obligație impune angajarea unui ofițer care să se ocupe de protecția datelor cu caracter personal sau Data Protection Officer (DPO). Această obligație vizează următoarele entități:

  • instituțiile publice, cu excepția instanțelor de judecată;
  • firmele care desfășoară operațiuni de prelucrare și care necesită o monitorizare periodică și sistematică pe scară largă a persoanelor vizate;
  • companiile care prelucrează la scară largă date personale sensibile sau date referitoare la condamnări penale și infracțiuni.

A treia obligație presupune ca firmele să implementeze măsuri rezonabile de protecție și, în cazul în care sunt încălcate măsurile de protecție, să fie raportate în cel mult 72 ore către Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal („ANSPDCP”). De asemenea, pentru claritate, toți operatorii sunt obligați să țină un registru de evidență internă a datelor cu caracter personal colectate și prelucrate, pe care să îl completeze în mod regulat.

Nu în ultimul rând și poate cea mai importantă obligație presupune înregistrarea Operatorilor și a Persoanelor Împuternicite ca stocând și prelucrând date cu caracter personal la ANSPDCP.

Ce se întâmplă dacă nu îndeplinesc obligațiile?

Având în vedere importanța acestei categorii de informații în viața noastră și toate implicațiile aferente, atât cele legate de marketing, cât și de targetare politică (a se vedea situația alegerilor din 2016 pentru funcția de președinte a SUA), sancțiunile pentru neîndeplinirea obligațiilor sunt pe măsură.

Astfel, sancțiunile sunt următoarele, ele urmând a fi individualizate în funcție de gravitatea abaterii:

  • avertismentul;
  • amenda contravențională de până la 10.000.000 EUR sau, în cazul unei întreprinderi, de până la 2% din cifra de afaceri, pentru încălcarea obligațiilor prevăzute în articolele 8, 11, 25-39, 42 și 43 din GDPR, precum și încălcarea obligațiilor organismului de certificare în conformitate cu articolele 42 și 43 din GDPR;
  • amenda contravențională de până la 20.000.000 EUR sau, în cazul unei întreprinderi, de până la 4% din cifra de afaceri pentru încălcarea principiilor de bază pentru prelucrare sau a drepturilor persoanelor vizate în conformitate cu art. 12-22 din GDPR.

Cum mă pregătesc pentru intrarea în vigoare a GDPR?

Deși pregătirea pentru GDPR presupune un efort semnificativ din partea companiilor, atât logistic, cât și din punct de vedere al timpului investit, este de preferat față de sancțiunile piperate, indicate mai sus.

Așa că primul pas, pe lângă obligațiile deja existente impuse de Legea nr. 677/2001, este să evaluezi care este gradul de pregătire pentru implementarea GDPR, conform criteriilor de mai sus. După evaluare urmează a se stabili care sunt minusurile și ce trebuie completat.

Următorul pas este numirea unui ofițer responsabil cu protecția datelor cu caracter personal, care la rândul său să instruiască restul angajaților care se ocupă de stocarea și prelucrarea datelor cu caracter personal. Odată ce ai realizat registrul de evidență a datelor prelucrate și ai revizuit contractul cu Persoana Împuternicită, trebuie obținut consimțământul clientul, acolo unde este cazul.

Acum că ești pregătit de prelucrare, poți să-ți continui activitatea fără grija unor amenzi colosale.

Sursa foto: Shutterstock

Total
6
Shares
Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

*
*