Il-protezzjoni tad-data skont il-GDPR

Il-GDPR jistabbilixxi rekwiżiti dettaljati għall-kumpaniji u l-organizzazzjonijiet dwar il-ġbir, il-ħażna u l-immaniġġjar tad-data personali. Dan japplika kemm għall-organizzazzjonijiet Ewropej li jipproċessaw id-data personali tal-individwi fl-UE kif ukoll għall-organizzazzjonijiet barra l-UE li għandhom fil-mira tagħhom lin-nies li jgħixu fl-UE.

Meta japplika r-Regolament Ġenerali dwar il-Protezzjoni tad-Data (GDPR)?

Il-GDPR japplika jekk:

  • il-kumpanija tiegħek tipproċessa data personali u hi bbażata fl-UE, irrispettivament minn fejn isir l-ipproċessar tad-data fir-realtà
  • il-kumpanija tiegħek hi stabbilita barra l-UE iżda tipproċessa data personali fir-rigward tal-offerta ta' oġġetti jew servizzi lil individwi fl-UE, jew timmonitorja l-imġiba ta' individwi fl-UE.

In-negozji li mhumiex ibbażati fl-UE li jipproċessaw id-data taċ-ċittadini tal-UE jridu jinnominaw rappreżentant fl-UE.

Meta ma japplikax ir-Regolament Ġenerali dwar il-Protezzjoni tad-Data (GDPR)?

Il-GDPR ma japplikax jekk:

  • is-suġġett tad-data hu mejjet
  • is-suġġett tad-data hu persuna legali
  • l-ipproċessar isir minn persuna li qed taġixxi għal finijiet li huma barra l-kummerċ, in-negozju, jew il-professjoni tagħha

X'inhi d-data personali?

Id-data personali hi kwalunkwe informazzjoni dwar persuna identifikata jew identifikabbli, magħrufa wkoll bħala s-suġġett tad-data. Id-data personali tinkludi informazzjoni bħal:

  • l-isem
  • l-indirizz
  • in-numru tal-karta tal-ID/passaport
  • l-introjtu
  • il-profil kulturali
  • l-indirizz tal-Protokoll tal-Internet (IP)
  • id-data miżmuma minn sptar jew tabib (li tidentifika persuna b'mod uniku għal raġunijiet ta' saħħa)

Kategoriji speċjali ta' data

Ma tistax tipproċessa data personali dwar:

  • l-oriġini razzjali jew etnika
  • l-orjentazzjoni sesswali
  • l-opinjonijiet politiċi
  • it-twemmin reliġjuż jew filosofiku
  • is-sħubija ma' tradeunion
  • data ġenetika, bijometrika jew dwar is-saħħa ħlief f'każijiet speċifiċi (eż. meta tkun ingħatajt kunsens speċifiku jew meta l-ipproċessar hu meħtieġ għal raġunijiet ta' interess pubbliku sostanzjali, abbażi tal-liġi tal-UE jew dik nazzjonali)
  • data personali relatata ma' kundanni jew offiżi kriminali sakemm dan ma jkunx awtorizzat mil-liġi tal-UE jew dik nazzjonali

Min jipproċessa d-data personali?

Matul l-ipproċessar, id-data personali tista' tgħaddi minn diversi kumpaniji jew organizzazzjonijiet differenti. Fi ħdan dan iċ-ċiklu hemm żewġ profili prinċipali li jittrattaw l-ipproċessar tad-data personali:

  • Il-kontrollur tad-data- jiddeċiedi l-għan u l-mod li bih se tiġi pproċessata d-data personali.
  • Il-proċessur tad-data- iżomm u jipproċessa d-data f'isem il-kontrollur tad-data.

Min jissorvelja kif tiġi pproċessata d-data personali ġo kumpanija?

L-Uffiċjal tal-Protezzjoni tad-Data (UPD), li seta' ġie nnominat mill-kumpanija, hu responsabbli għas-sorveljanza ta' kif tiġi pproċessata d-data personali u biex jinforma u jagħti pariri lill-impjegati li jipproċessaw id-data personali dwar l-obbligi tagħhom. L-UPD jikkoopera wkoll mal-Awtorità għall-Protezzjoni tad-Data (DPA), u jservi ta' punt ta' kuntatt lejn id-DPA u l-individwi.

Meta għandek tinnomina Uffiċjal tal-Protezzjoni tad-Data?

Il-kumpanija tiegħek għandha l-obbligu li tinnomina UPD meta:

  • inti regolarment jew sistematikament tissorvelja individwi jew tipproċessa kategoriji speċjali ta' data
  • dan l-ipproċessar hu attività ewlenija tan-negozju
  • inti tipproċessa data fuq skala kbira.

Pereżempju, jekk tipproċessa data personali biex timmira r-reklamar permezz tal-magni tat-tiftix abbażi tal-imġiba online tan-nies, jeħtieġ li jkollok UPD. Jekk, madankollu, int tibgħat materjal promozzjonali lill-klijenti tiegħek darba fis-sena biss, m'għandekx bżonn UPD. Bl-istess mod, jekk int tabib li tiġbor data dwar is-saħħa tal-pazjenti, probabbilment m'hemmx bżonn ta' UPD. Iżda jekk tipproċessa d-data personali dwar il-ġenetika u s-saħħa għal sptar, jeħtieġ li jkollok UPD.

L-UPD jista' jkun membru tal-persunal tal-organizzazzjoni tiegħek jew jista' jkun b'kuntratt b'mod estern abbażi ta' kuntratt ta' servizz. UPD jista' jkun individwu jew parti minn organizzazzjoni.

L-ipproċessar tad-data għal kumpanija oħra

Kontrollur tad-data jista' juża biss proċessur tad-data li joffri garanziji biżżejjed, li għandhom ikunu inklużi f'kuntratt miktub bejn il-partijiet involuti. Il-kuntratt irid ikun fih ukoll għadd ta' klawsoli obbligatorji, eż. li l-proċessur tad-data se jipproċessa biss id-data personali meta jingħata istruzzjonijiet biex jagħmel dan mill-kontrollur tad-data.

It-trasferiment ta' data barra l-UE

Meta d-data personali tiġi ttrasferita barra l-UE, il-protezzjoni mogħtija mill-GDPR trid tivvjaġġa mad-data. Dan ifisser li jekk inti tesporta d-data barra l-pajjiż, il-kumpanija tiegħek trid tiżgura li waħda minn dawn il-miżuri tiġi rispettata:

  • Il-miżuri ta' protezzjoni tal-pajjiż li mhux membru tal-UE huma meqjusa adegwati mill-UE.
  • Il-kumpanija tiegħek tieħu l-miżuri meħtieġa biex tipprovdi salvagwardji xierqa, bħall-inklużjoni ta' klawsoli speċifiċi fil-kuntratt maqbul mal-importatur li mhuwiex Ewropew tad-data personali.
  • Il-kumpanija tiegħek isserraħ fuq bażijiet speċifiċi għat-trasferiment (derogi) bħall-kunsens tal-individwu.

Meta hu permess l-ipproċessar tad-data?

Ir-regoli tal-protezzjoni tad-data tal-UE jfissru li int għandek tipproċessa d-data b'mod ġust u skont il-liġi, għal fini speċifikat u leġittimu u tipproċessa biss dik id-data li hi meħtieġa biex jintlaħaq dak il-fini. Trid tiżgura li tissodisfa waħda minn dawn il-kundizzjonijiet biex tipproċessa d-data personali; inti:

  • ingħatajt il- kunsens tal-individwu kkonċernat
  • għandek bżonn tad-data personali biex tissodisfa obbligu kuntrattwali mal-individwu
  • għandek bżonn tad-data personali biex tissodisfa obbligu legali
  • għandek bżonn tad-data personali biex tipproteġi l-interessi vitali tal-individwu
  • tipproċessa d-data personali biex twettaq il-kompitu fl-interess pubbliku
  • qed taġixxi fl-interessi leġittimi tal-kumpanija tiegħek, sakemm ma jkunx hemm impatt serju fuq id-drittijiet fundamentali u l-libertajiet tal-individwu li qed tipproċessa d-data tiegħu. Jekk id-drittijiet tal-persuna huma aktar importanti mill-interessi tal-kumpanija tiegħek, ma tistax tipproċessa d-data personali.

Il-qbil mal-ipproċessar tad-data – il-kunsens

Il-GDPR japplika regoli stretti għall-ipproċessar tad-data abbażi tal-kunsens. L-għan ta' dawn ir-regoli hu li jiżguraw li l-individwu jifhem dak li jkun qed jagħti l-kunsens għalih. Dan ifisser li l-kunsens irid jingħata liberament, irid ikun speċifiku, infurmat u bla ambigwità permezz ta' talba ppreżentata b'lingwa ċara u mhux ikkumplikata. Il-kunsens irid jingħata permezz ta' att pożittiv, bħall-immarkar ta' kaxxa online jew l-iffirmar ta' formola.

Meta xi ħadd jagħti l-kunsens għall-ipproċessar tad-data personali, tista' biss tipproċessa d-data għall-finijiet li għalih ingħata l-kunsens. Trid tagħtih ukoll l-opportunità li jirtira l-kunsens tiegħu.

L-għoti ta' informazzjoni trasparenti

Lill-individwi trid tagħtihom informazzjoni b'mod ċar dwar min qed jipproċessa d-data personali dwarhom u għaliex. Dan li ġej għandu jkun inkluż bħala minimu:

  • min int
  • għaliex qed tipproċessa d-data personali
  • x'inhi l-bażi legali
  • min se jirċievi d-data (jekk applikabbli)

F'xi każijiet, l-informazzjoni li tagħti trid tiddikjara wkoll:

  • l-informazzjoni ta' kuntatt tal-Uffiċjal tal-protezzjoni tad-data (UPD), fejn applikabbli
  • x'inhu l-interess leġittimu li qed tfittex il-kumpanija meta tkun qed tuża din il-bażi legali għall-ipproċessar
  • il-miżuri applikati għat-trasferiment tad-data għal pajjiż barra l-UE
  • għal kemm tul ta' żmien se tinħażen id-data
  • id-drittijiet tal-protezzjoni tad-data tal-individwu (jiġifieri d-dritt tal-aċċess, il-korrezzjoni, it-tħassir, ir-restrizzjoni, l-oġġezzjoni, il-portabbiltà, eċċ.)
  • kif jista' jiġi rtirat il-kunsens (meta l-kunsens hu l-bażi legali għall-ipproċessar)
  • jekk hemmx obbligu statutarju jew kuntrattwali biex tingħata d-data
  • fil-każ ta' teħid ta' deċiżjonijiet awtomatizzat, informazzjoni dwar il-loġika, is-sinjifikat u l-konsegwenzi tad-deċiżjoni

Għandek tippreżenta din il-informazzjoni b'lingwa ċara u mhux ikkumplikata.

Regoli speċifiċi għat-tfal

Jekk qed tiġbor data personali mingħand minuri fuq il-bażi tal-kunsens, pereżempju għall-użu ta' kont tal-midja soċjali jew għal kont tal-iddawnlowdjar, l-ewwel trid iġġib il-kunsens tal-ġenituri, eż. billi tibgħat notifika lil ġenitur jew kustodju. L-età sa meta persuna titqies bħala minuri tiddependi fuq fejn tgħix, iżda hi bejn 13 u 16-il sena.

Id-dritt tal-aċċess u d-dritt għall-portabilità tad-data

Inti trid tiżgura li l-individwi għandhom id- dritt tal-aċċess għad-data personali tagħhom, bla ħlas. Jekk tirċievi talba bħal din trid:

  • tgħidilhom jekk qed tipproċessa d-data personali tagħhom.
  • tgħidilhom dwar l-ipproċessar (l-għan tal-ipproċessar, il-kategoriji tad-data personali kkonċernata, ir-riċevituri tad-data tagħhom, eċċ.)
  • tagħtihom kopja tad-data personali li qed tiġi pproċessata (f'format aċċessibbli)

Meta l-ipproċessar hu bbażat fuq il-kunsens jew kuntratt, l-individwu jista' jitolbok tagħtih lura d-data personali jew tittrasmettiha lil kumpanija oħra. Dan hu magħruf bħala l-portabilità tad-data. Għandek tagħti d-data f'format użat b'mod komuni u li jinqara mill-magni.

Id-dritt li tikkoreġi u d-dritt li toġġezzjona

Jekk individwu jemmen li d-data personali tiegħu mhijiex korretta, kompluta jew preċiża, hu għandu d-dritt li jikkoreġiha jew jikkompletaha mingħajr dewmien żejjed.

Jekk dan hu l-każ, hu mistenni li inti tinnotifika lir-riċevituri tad-data kollha jekk xi parti mid-data personali li xxerjajt magħhom inbidlet jew tħassret. Jekk xi parti mid-data personali li xxerjajt ma kinitx korreta, hemm mnejn ikollok tinforma lil kull min raha li dan kien il-każ (sakemm dan ma jitqisx bħala sforz sproporzjonat).

Individwu jista' wkoll joġġezzjona - fi kwalunkwe ħin - għall-ipproċessar tad-data personali tiegħu għal użu partikolari meta l-kumpanija tiegħek tipproċessaha fuq il-bażi tal-interess leġittimu tiegħek, jew għal kompitu fl-interess pubbliku. Sakemm ma jkollokx interess leġittimu li jitqies iktar importanti mill-interess tal-individwu, trid tieqaf tipproċessa d-data personali.

Bl-istess mod, individwu jista' jitlob biex l-ipproċessar tad-data personali tiegħu jkun ristrett sakemm jiġi determinat jekk l-interess leġittimu tiegħek hux iktar importanti mill-interess tiegħu. Madankollu, fil-każ tal-kummerċjalizzazzjoni diretta, int dejjem obbligat tieqaf tipproċessa d-data personali jekk tintalab mill-individwu.

Id-dritt għat-tħassir ("dritt li wieħed jintesa")

F'xi ċirkustanzi individwu jista' jitlob lill-kontrollur tad-data biex iħassar id-data personali tiegħu, pereżempju jekk id-data ma tkunx għada meħtieġa biex jiġi ssodisfat il-fini tal-ipproċessar. Madankollu, il-kumpanija tiegħek mhijiex obbligata tagħmel dan jekk:

  • l-ipproċessar hu meħtieġ biex tiġi rispettata l-libertà tal-espressjoni u tal-informazzjoni
  • trid iżżomm id-data personali biex tikkonforma ma' obbligu legali
  • hemm raġunijiet oħra ta' interess pubbliku biex tinħażen id-data personali, bħal finijiet tas-saħħa pubblika jew xjentifiċi u ta' riċerka storika
  • għandek bżonn iżżomm id-data personali biex tistabbilixxi klejm legali

It-teħid ta' deċiżjonijiet u t-tfassil ta' profil awtomatizzati

L-individwi għandhom id-dritt li ma jkunux suġġetti għal deċiżjoni li hi bbażata totalment fuq l-ipproċessar awtomatizzat. Madankollu, hemm xi eċċezzjonijiet għal din ir-regola, bħal meta jkunu taw il-kunsens espliċitu tagħhom għad-deċiżjoni awtomatizzata. Bl-eċċezzjoni ta' meta d-deċiżjoni awtomatizzata hi bbażata fuq liġi, il-kumpanija tiegħek trid:

  • tinforma lill-individwu dwar it-teħid tad-deċiżjoni awtomatizzata
  • tagħti lill-individwu d-dritt li dik id-deċiżjoni awtomatizzata tiġi riveduta minn persuna
  • tagħti lill-individwu l-opportunità li jikkontesta d-deċiżjoni awtomatizzata

Pereżempju, jekk bank jawtomatizza d-deċiżjoni tiegħu dwar jekk jagħtix jew le self lil ċertu individwu, dak l-individwu għandu jkun infurmat bid-deċiżjoni awtomatizzata u għandu jingħata l-opportunità jikkontesta d-deċiżjoni u jitlob l-intervent uman.

Il-ksur tad-data – l-għoti ta' notifika xierqa

Ksur tad-data iseħħ meta d-data personali li int responsabbli għaliha tiġi żvelata, jew b'mod aċċidentali jew illegali, lil riċevituri mhux awtorizzati jew ma tkunx disponibbli b'mod temporanju jew tiġi mibdula.

Jekk iseħħ ksur tad-data u l-ksur ikun ta' riskju għad-drittijiet u l-libertajiet individwali, għandek tinnotifika lill-Awtorità għall-Protezzjoni tad-Data fi żmien 72 siegħa wara li tinduna bil-ksur.

Il-kumpanija tiegħek tista' tkun mitluba tinforma lill-individwi kollha affetwati. Dan jiddependi minn jekk il-ksur tad-data jirriżultax f'riskju għoli għal dawk affetwati.

Ir-risposti għar-rikjesti

Jekk il-kumpanija tiegħek tirċievi rikjesta mingħand individwu li jixtieq jeżerċita d-drittijiet tiegħu, int għandek tirrispondi għal din ir-rikjesta mingħajr dewmien żejjed u f'kull każ fi żmien xahar minn meta tirċievi r-rikjesta. Dan iż-żmien għal risposta jista' jiġi estiż għal xahrejn għal rikjesti kumplessi u multipli, sakemm l-individwu jiġi infurmat dwar l-estensjoni. Ir-rikjesti għandhom jiġu ttrattati bla ħlas.

Jekk rikjesta tiġi miċħuda, trid tinforma lill-individwu bir-raġunijiet għaliex sar dan u bid-dritt tiegħu li jressaq ilment mal-Awtorità għall-Protezzjoni tad-Data.

Il-valutazzjonijiet tal-impatt

It-twettiq ta' Valutazzjoni tal-Impatt fuq il-Protezzjoni tad-Data (DPIA) hu obbligatorju kull meta l-ipproċessar maħsub ikun se jirriżulta f'riskju għoli għad-drittijiet u l-libertajiet tal-individwi, eż. meta jintużaw teknoloġiji ġodda.

Hemm riskju għoli bħal dan meta:

  • jintużaw mekkaniżmi awtomatizzati għall-ipproċessar u t-tfassil tal-profil biex jiġu evalwati l-individwi
  • żona aċċessibbli pubblikament hija sorveljata fuq skala kbira (eż. CCTV)
  • kategoriji speċjali tad-data jew tad-data personali relatati ma' kundanni u offiżi kriminali huma pproċessati fuq skala kbira (eż. data dwar is-saħħa)

Nota: l-Awtoritajiet għall-Protezzjoni tad-Data jistgħu wkoll jikkunsidraw kategoriji oħrajn tal-ipproċessar tad-data bħala riskju għoli.

Jekk il-miżuri indikati fil-DPIA ma jwasslux biex ineħħu r-riskji għoljin kollha identifikati, l-Awtorità għall-Protezzjoni tad-Data trid tiġi kkonsultata qabel ma jsir l-ipproċessar tad-data maħsub.

Iż-żamma ta' rekord

Trid tkun tista' tagħti prova li l-kumpanija tiegħek taġixxi skont il-GDPR u tissodisfa l-obbligi kollha applikabbli — b'mod partikolari fuq rikjesta jew spezzjoni mill-Awtorità għall-Protezzjoni tad-Data.

Mod kif tagħmel dan hu billi żomm rekords dettaljati ta' affarijiet bħal:

  • l-isem u d-dettalji ta' kuntatt tan-negozju tiegħek involut fl-ipproċessar tad-data
  • ir-raġuni(jiet) għall-ipproċessar tad-data personali
  • id-deskrizzjoni tal-kategoriji tal-individwi li qed jagħtu d-data personali
  • il-kategoriji tal-organizzazzjonijiet li qed jirċievu d-data personali
  • it-trasferiment ta' data personali lil pajjiż jew organizzazzjoni oħra
  • il-perjodu tal-ħażna tad-data personali
  • id-deskrizzjoni tal-miżuri ta' sigurtà użati waqt l-ipproċessar tad-data personali

Il-kumpanija tiegħek għandha żżomm ukoll — u taġġorna b'mod regolari — il-proċeduri bil-miktub u l-linji gwida u tara li l-impjegati tiegħek jafu bihom.

Twissija

Jekk il-kumpanija tiegħek hija SME en jew iżgħar m'hemmx il-bżonn li żżomm rekords tal-attivitajiet tal-ipproċessar tiegħek sakemm huma:

  • ma jkunux qed isiru regolarment
  • ma jaffettwawx id-drittijiet u l-libertajiet tal-individwi involuti
  • ma jittrattawx data sensittiva jew rekords kriminali

Il-protezzjoni tad-data maħsuba u l-issettjar awtomatiku

Il-protezzjoni tad-data maħsuba tfisser li l-kumpanija tiegħek għandha tqis il-protezzjoni tad-data fl-istadji bikrija tal-ippjanar ta' mod ġdid għall-ipproċessar tad-data personali. Skont dan il-prinċipju, kontrollur tad-data jrid jieħu l-passi tekniċi u organizzazzjonali kollha meħtieġa biex jimplimenta l-prinċipji tal-protezzjoni tad-data u jipproteġi d-drittijiet tal-individwi. Dawn il-passi jistgħu jinkludu, pereżempju, l-użu ta' psewdonimizzazzjoni.

Il-protezzjoni tad-data b'issettjar awtomatiku tfisser li l-kumpanija tiegħek għandu dejjem ikollha l-issettjar l-aktar privat possibbli bħala ssettjar awtomatiku. Pereżempju, jekk huma possibbli żewġ tipi ta' ssettjar ta' privatezza u waħda mill-issettjar ma tippermettix l-aċċess minn oħrajn għad-data personali, din għandha tintuża bħala l-issettjar awtomatiku.

Il-ksur tar-regoli u l-penali

In-nuqqas ta' konformità mal-GDPR jista' jirriżulta f'multi sinifikanti li jistgħu jkunu sa EUR 20 miljun jew 4% tal-fatturat globali tal-kumpanija tiegħek għal ċerti tipi ta' ksur. L-Awtorità għall-Protezzjoni tad-Data tista' timponi miżuri korrettivi addizzjonali, bħal li tordnalek tieqaf tipproċessa d-data personali.

FAQs - Il-protezzjoni tad- Iftaħ bħala link estern

Leġiżlazzjoni tal-UE

Teħtieġ l-għajnuna mis-servizzi ta’ assistenza?

Ikkuntattja s-servizzi ta' assistenza speċjalizzata

Għandek xi mistoqsijiet dwar kif topera negozju transfruntier, pereżempju l-esportazzjoni jew l-espansjoni lejn pajjiż ieħor tal-UE? Jekk hu l-każ, Enterprise Europe Network jista’ jagħtik pariri b’xejn.

Tista’ tuża wkoll l-faċilità għas-sejbien tas-servizzi tal-assistenza biex issib l-għajnuna t-tajba għalik.

L-aħħar verifika: 06/07/2022
Ikkondividi din il-paġna