L-aħħar verifika: 15/03/2019

Il-protezzjoni tad-data skont il-GDPR

Deċiżjoni tar-Renju Unit li tinvoka l-Artikolu 50 tat-TUE: Aktar informazzjoni

Il-GDPR jistabbilixxi rekwiżiti dettaljati għall-kumpaniji u l-organizzazzjonijiet dwar il-ġbir, il-ħażna u l-immaniġġjar tad-data personali. Dan japplika kemm għall-organizzazzjonijiet Ewropej li jipproċessaw id-data personali tal-individwi fl-UE kif ukoll għall-organizzazzjonijiet barra l-UE li għandhom fil-mira tagħhom lin-nies li jgħixu fl-UE.

Meta japplika r-Regolament Ġenerali dwar il-Protezzjoni tad-Data (GDPR)?

Il-GDPR japplika jekk:

In-negozji li mhumiex ibbażati fl-UE li jipproċessaw id-data taċ-ċittadini tal-UE jridu jinnominaw rappreżentant fl-UE.

Meta ma japplikax ir-Regolament Ġenerali dwar il-Protezzjoni tad-Data (GDPR)?

Il-GDPR ma japplikax jekk:

X'inhi d-data personali?

Id-data personali hi kwalunkwe informazzjoni dwar persuna identifikata jew identifikabbli, magħrufa wkoll bħala s-suġġett tad-data. Id-data personali tinkludi informazzjoni bħal:

Kategoriji speċjali ta' data

Ma tistax tipproċessa data personali dwar:

Min jipproċessa d-data personali?

Matul l-ipproċessar, id-data personali tista' tgħaddi minn diversi kumpaniji jew organizzazzjonijiet differenti. Fi ħdan dan iċ-ċiklu hemm żewġ profili prinċipali li jittrattaw l-ipproċessar tad-data personali:

Min jissorvelja kif tiġi pproċessata d-data personali ġo kumpanija?

L-Uffiċjal tal-Protezzjoni tad-Data (UPD), li seta' ġie nnominat mill-kumpanija, hu responsabbli għas-sorveljanza ta' kif tiġi pproċessata d-data personali u biex jinforma u jagħti pariri lill-impjegati li jipproċessaw id-data personali dwar l-obbligi tagħhom. L-UPD jikkoopera wkoll mal-Awtorità għall-Protezzjoni tad-Data (DPA), u jservi ta' punt ta' kuntatt lejn id-DPA u l-individwi.

Meta għandek tinnomina Uffiċjal tal-Protezzjoni tad-Data?

Il-kumpanija tiegħek għandha l-obbligu li tinnomina UPD meta:

Pereżempju, jekk tipproċessa data personali biex timmira r-reklamar permezz tal-magni tat-tiftix abbażi tal-imġiba online tan-nies, jeħtieġ li jkollok UPD. Jekk, madankollu, int tibgħat materjal promozzjonali lill-klijenti tiegħek darba fis-sena biss, m'għandekx bżonn UPD. Bl-istess mod, jekk int tabib li tiġbor data dwar is-saħħa tal-pazjenti, probabbilment m'hemmx bżonn ta' UPD. Iżda jekk tipproċessa d-data personali dwar il-ġenetika u s-saħħa għal sptar, jeħtieġ li jkollok UPD.

L-UPD jista' jkun membru tal-persunal tal-organizzazzjoni tiegħek jew jista' jkun b'kuntratt b'mod estern abbażi ta' kuntratt ta' servizz. UPD jista' jkun individwu jew parti minn organizzazzjoni.

L-ipproċessar tad-data għal kumpanija oħra

Kontrollur tad-data jista' juża biss proċessur tad-data li joffri garanziji biżżejjed, li għandhom ikunu inklużi f'kuntratt miktub bejn il-partijiet involuti. Il-kuntratt irid ikun fih ukoll għadd ta' klawsoli obbligatorji, eż. li l-proċessur tad-data se jipproċessa biss id-data personali meta jingħata istruzzjonijiet biex jagħmel dan mill-kontrollur tad-data.

It-trasferiment ta' data barra l-UE

Meta d-data personali tiġi ttrasferita barra l-UE, il-protezzjoni mogħtija mill-GDPR trid tivvjaġġa mad-data. Dan ifisser li jekk inti tesporta d-data barra l-pajjiż, il-kumpanija tiegħek trid tiżgura li waħda minn dawn il-miżuri tiġi rispettata:

Meta hu permess l-ipproċessar tad-data?

Ir-regoli tal-protezzjoni tad-data tal-UE jfissru li int għandek tipproċessa d-data b'mod ġust u skont il-liġi, għal fini speċifikat u leġittimu u tipproċessa biss dik id-data li hi meħtieġa biex jintlaħaq dak il-fini. Trid tiżgura li tissodisfa waħda minn dawn il-kundizzjonijiet biex tipproċessa d-data personali; inti:

Il-qbil mal-ipproċessar tad-data – il-kunsens

Il-GDPR japplika regoli stretti għall-ipproċessar tad-data abbażi tal-kunsens. L-għan ta' dawn ir-regoli hu li jiżguraw li l-individwu jifhem dak li jkun qed jagħti l-kunsens għalih. Dan ifisser li l-kunsens irid jingħata liberament, irid ikun speċifiku, infurmat u bla ambigwità permezz ta' talba ppreżentata b'lingwa ċara u mhux ikkumplikata. Il-kunsens irid jingħata permezz ta' att pożittiv, bħall-immarkar ta' kaxxa online jew l-iffirmar ta' formola.

Meta xi ħadd jagħti l-kunsens għall-ipproċessar tad-data personali, tista' biss tipproċessa d-data għall-finijiet li għalih ingħata l-kunsens. Trid tagħtih ukoll l-opportunità li jirtira l-kunsens tiegħu.

L-għoti ta' informazzjoni trasparenti

Lill-individwi trid tagħtihom informazzjoni b'mod ċar dwar min qed jipproċessa d-data personali dwarhom u għaliex. Dan li ġej għandu jkun inkluż bħala minimu:

F'xi każijiet, l-informazzjoni li tagħti trid tiddikjara wkoll:

Għandek tippreżenta din il-informazzjoni b'lingwa ċara u mhux ikkumplikata.

Regoli speċifiċi għat-tfal

Jekk qed tiġbor data personali mingħand minuri fuq il-bażi tal-kunsens, pereżempju għall-użu ta' kont tal-midja soċjali jew għal kont tal-iddawnlowdjar, l-ewwel trid iġġib il-kunsens tal-ġenituri, eż. billi tibgħat notifika lil ġenitur jew kustodju. L-età sa meta persuna titqies bħala minuri tiddependi fuq fejn tgħix, iżda hi bejn 13 u 16-il sena.

Id-dritt tal-aċċess u d-dritt għall-portabilità tad-data

Inti trid tiżgura li l-individwi għandhom id- dritt tal-aċċess għad-data personali tagħhom, bla ħlas. Jekk tirċievi talba bħal din trid:

Meta l-ipproċessar hu bbażat fuq il-kunsens jew kuntratt, l-individwu jista' jitolbok tagħtih lura d-data personali jew tittrasmettiha lil kumpanija oħra. Dan hu magħruf bħala l-portabilità tad-data. Għandek tagħti d-data f'format użat b'mod komuni u li jinqara mill-magni.

Id-dritt li tikkoreġi u d-dritt li toġġezzjona

Jekk individwu jemmen li d-data personali tiegħu mhijiex korretta, kompluta jew preċiża, hu għandu d-dritt li jikkoreġiha jew jikkompletaha mingħajr dewmien żejjed.

Jekk dan hu l-każ, hu mistenni li inti tinnotifika lir-riċevituri tad-data kollha jekk xi parti mid-data personali li xxerjajt magħhom inbidlet jew tħassret. Jekk xi parti mid-data personali li xxerjajt ma kinitx korreta, hemm mnejn ikollok tinforma lil kull min raha li dan kien il-każ (sakemm dan ma jitqisx bħala sforz sproporzjonat).

Individwu jista' wkoll joġġezzjona - fi kwalunkwe ħin - għall-ipproċessar tad-data personali tiegħu għal użu partikolari meta l-kumpanija tiegħek tipproċessaha fuq il-bażi tal-interess leġittimu tiegħek, jew għal kompitu fl-interess pubbliku. Sakemm ma jkollokx interess leġittimu li jitqies iktar importanti mill-interess tal-individwu, trid tieqaf tipproċessa d-data personali.

Bl-istess mod, individwu jista' jitlob biex l-ipproċessar tad-data personali tiegħu jkun ristrett sakemm jiġi determinat jekk l-interess leġittimu tiegħek hux iktar importanti mill-interess tiegħu. Madankollu, fil-każ tal-kummerċjalizzazzjoni diretta, int dejjem obbligat tieqaf tipproċessa d-data personali jekk tintalab mill-individwu.

Id-dritt għat-tħassir ("dritt li wieħed jintesa")

F'xi ċirkustanzi individwu jista' jitlob lill-kontrollur tad-data biex iħassar id-data personali tiegħu, pereżempju jekk id-data ma tkunx għada meħtieġa biex jiġi ssodisfat il-fini tal-ipproċessar. Madankollu, il-kumpanija tiegħek mhijiex obbligata tagħmel dan jekk:

It-teħid ta' deċiżjonijiet u t-tfassil ta' profil awtomatizzati

L-individwi għandhom id-dritt li ma jkunux suġġetti għal deċiżjoni li hi bbażata totalment fuq l-ipproċessar awtomatizzat. Madankollu, hemm xi eċċezzjonijiet għal din ir-regola, bħal meta jkunu taw il-kunsens espliċitu tagħhom għad-deċiżjoni awtomatizzata. Bl-eċċezzjoni ta' meta d-deċiżjoni awtomatizzata hi bbażata fuq liġi, il-kumpanija tiegħek trid:

Pereżempju, jekk bank jawtomatizza d-deċiżjoni tiegħu dwar jekk jagħtix jew le self lil ċertu individwu, dak l-individwu għandu jkun infurmat bid-deċiżjoni awtomatizzata u għandu jingħata l-opportunità jikkontesta d-deċiżjoni u jitlob l-intervent uman.

Il-ksur tad-data – l-għoti ta' notifika xierqa

Ksur tad-data iseħħ meta d-data personali li int responsabbli għaliha tiġi żvelata, jew b'mod aċċidentali jew illegali, lil riċevituri mhux awtorizzati jew ma tkunx disponibbli b'mod temporanju jew tiġi mibdula.

Jekk iseħħ ksur tad-data u l-ksur ikun ta' riskju għad-drittijiet u l-libertajiet individwali, għandek tinnotifika lill-Awtorità għall-Protezzjoni tad-Data fi żmien 72 siegħa wara li tinduna bil-ksur.

Il-kumpanija tiegħek tista' tkun mitluba tinforma lill-individwi kollha affetwati. Dan jiddependi minn jekk il-ksur tad-data jirriżultax f'riskju għoli għal dawk affetwati.

Ir-risposti għar-rikjesti

Jekk il-kumpanija tiegħek tirċievi rikjesta mingħand individwu li jixtieq jeżerċita d-drittijiet tiegħu, int għandek tirrispondi għal din ir-rikjesta mingħajr dewmien żejjed u f'kull każ fi żmien xahar minn meta tirċievi r-rikjesta. Dan iż-żmien għal risposta jista' jiġi estiż għal xahrejn għal rikjesti kumplessi u multipli, sakemm l-individwu jiġi infurmat dwar l-estensjoni. Ir-rikjesti għandhom jiġu ttrattati bla ħlas.

Jekk rikjesta tiġi miċħuda, trid tinforma lill-individwu bir-raġunijiet għaliex sar dan u bid-dritt tiegħu li jressaq ilment mal-Awtorità għall-Protezzjoni tad-Data.

Il-valutazzjonijiet tal-impatt

It-twettiq ta' Valutazzjoni tal-Impatt fuq il-Protezzjoni tad-Data (DPIA) hu obbligatorju kull meta l-ipproċessar maħsub ikun se jirriżulta f'riskju għoli għad-drittijiet u l-libertajiet tal-individwi, eż. meta jintużaw teknoloġiji ġodda.

Hemm riskju għoli bħal dan meta:

Nota: l-Awtoritajiet għall-Protezzjoni tad-Data jistgħu wkoll jikkunsidraw kategoriji oħrajn tal-ipproċessar tad-data bħala riskju għoli.

Jekk il-miżuri indikati fil-DPIA ma jwasslux biex ineħħu r-riskji għoljin kollha identifikati, l-Awtorità għall-Protezzjoni tad-Data trid tiġi kkonsultata qabel ma jsir l-ipproċessar tad-data maħsub.

Iż-żamma ta' rekord

Trid tkun tista' tagħti prova li l-kumpanija tiegħek taġixxi skont il-GDPR u tissodisfa l-obbligi kollha applikabbli — b'mod partikolari fuq rikjesta jew spezzjoni mill-Awtorità għall-Protezzjoni tad-Data.

Mod kif tagħmel dan hu billi żomm rekords dettaljati ta' affarijiet bħal:

Il-kumpanija tiegħek għandha żżomm ukoll — u taġġorna b'mod regolari — il-proċeduri bil-miktub u l-linji gwida u tara li l-impjegati tiegħek jafu bihom.

Jekk il-kumpanija tiegħek hija SMEen jew iżgħar m'hemmx il-bżonn li żżomm rekords tal-attivitajiet tal-ipproċessar tiegħek sakemm huma:

  • ma jkunux qed isiru regolarment
  • ma jaffettwawx id-drittijiet u l-libertajiet tal-individwi involuti
  • ma jittrattawx data sensittiva jew rekords kriminali

Il-protezzjoni tad-data maħsuba u l-issettjar awtomatiku

Il-protezzjoni tad-data maħsuba tfisser li l-kumpanija tiegħek għandha tqis il-protezzjoni tad-data fl-istadji bikrija tal-ippjanar ta' mod ġdid għall-ipproċessar tad-data personali. Skont dan il-prinċipju, kontrollur tad-data jrid jieħu l-passi tekniċi u organizzazzjonali kollha meħtieġa biex jimplimenta l-prinċipji tal-protezzjoni tad-data u jipproteġi d-drittijiet tal-individwi. Dawn il-passi jistgħu jinkludu, pereżempju, l-użu ta' psewdonimizzazzjoni.

Il-protezzjoni tad-data b'issettjar awtomatiku tfisser li l-kumpanija tiegħek għandu dejjem ikollha l-issettjar l-aktar privat possibbli bħala ssettjar awtomatiku. Pereżempju, jekk huma possibbli żewġ tipi ta' ssettjar ta' privatezza u waħda mill-issettjar ma tippermettix l-aċċess minn oħrajn għad-data personali, din għandha tintuża bħala l-issettjar awtomatiku.

Il-ksur tar-regoli u l-penali

In-nuqqas ta' konformità mal-GDPR jista' jirriżulta f'multi sinifikanti li jistgħu jkunu sa EUR 20 miljun jew 4% tal-fatturat globali tal-kumpanija tiegħek għal ċerti tipi ta' ksur. L-Awtorità għall-Protezzjoni tad-Data tista' timponi miżuri korrettivi addizzjonali, bħal li tordnalek tieqaf tipproċessa d-data personali.

FAQs - Il-protezzjoni tad-data u l-privatezza online

Suġġetti relatati

Leġiżlazzjoni tal-UE

Teħtieġ l-għajnuna mis-servizzi ta’ assistenza?

Ikkuntattja s-servizzi ta' assistenza speċjalizzata

Appoġġ għan-negozji lokali - Għandek xi mistoqsijiet dwar kif topera negozju transfruntier, pereżempju l-esportazzjoni jew l-espansjoni lejn pajjiż ieħor tal-UE? Jekk hu l-każ, Enterprise Europe Network jista’ jagħtik pariri b’xejn.

Ikkondividi din il-paġna: