Ultima verificare: 15/03/2019

Protecția datelor în conformitate cu RGPD

Decizia Regatului Unit de a invoca articolul 50 din TUE: Mai multe informatii

Începând cu data de 30 martie 2019, legislația UE va înceta să se aplice Regatului Unit, cu excepția cazului în care un acord de retragere ratificat stabilește o altă dată sau Consiliul European și Regatul Unit decid în mod unanim să prelungească perioada de negociere de doi ani. Informații suplimentare despre consecințele juridice pentru întreprinderi:

RGPD stabilește cerințele detaliate pentru companii și organizații în ceea ce privește colectarea, stocarea și gestionarea datelor cu caracter personal. Se aplică atât în cazul organizațiilor europene care prelucrează datele cu caracter personal ale cetățenilor din UE cât și în cazul organizațiilor din afara UE care vizează cetățeni din UE.

Când se aplică Regulamentul general privind protecția datelor?

RGPD se aplică în cazul în care:

Companiile din afara UE care procesează date cu caracter personal ale cetățenilor europeni trebuie să desemneze un reprezentant în UE.

Când nu se aplică Regulamentul general privind protecția datelor?

RGPD nu se aplică în cazul în care:

Ce sunt datele cu caracter personal?

Datele cu caracter personal includ orice informații despre o persoană identificată sau identificabilă ( subiectul datelor). Printre datele cu caracter personal se numără:

Categorii speciale de date

Nu puteți procesa date care se referă la:

Cine prelucrează datele cu caracter personal?

Pe durata prelucrării, datele cu caracter personal pot ajunge la mai multe companii sau organizații. În acest proces, apar două entități importante:

Cine monitorizează modul în care sunt procesate datele în cadrul unei companii?

Responsabilul cu protecția datelor (RPD), care este posibil să fi fost desemnat de companie, monitorizează modul în care se procesează datele cu caracter personal și îi informează pe angajații care prelucrează date cu caracter personal în legătură cu obligațiile care le revin. Responsabilul cu protecția datelor cooperează și cu Autoritatea pentru protecția datelor (APD), servind ca punct de contact în relația cu aceasta și cu cetățenii.

Când ar trebui să desemnați un responsabil cu protecția datelor?

Compania dumneavoastră are obligația de a numi un responsabil cu protecția datelor atunci când:

De exemplu, dacă prelucrați date cu caracter personal pentru a trimite, prin intermediul motoarelor de căutare, mesaje publicitare bazate pe comportamentul on-line al utilizatorilor, aveți obligația de a desemna un responsabil cu protecția datelor. În cazul în care trimiteți materiale promoționale o dată pe an doar clienților dumneavoastră, această obligație nu se aplică. În mod similar, dacă sunteți medic și colectați date privind sănătatea pacienților nu veți avea probabil nevoie de un responsabil cu protecția datelor. Însă, dacă prelucrați date personale referitoare la genetică și sănătate în numele unui spital, desemnarea unui responsabil cu protecția datelor va fi obligatorie.

Responsabilul cu protecția datelor poate fi un membru al organizației dumneavoastră sau o persoană contractată extern pe baza unui contact de servicii. De asemenea, poate fi o parte dintr-o organizație, nu neapărat o persoană.

Prelucrarea datelor pentru o altă companie

Operatorul de date poate împuternici o persoană care să se ocupe de prelucrarea datelor doar dacă aceasta prezintă suficiente garanții. Acestea trebuie incluse într-un contract scris încheiat între părțile implicate. Contractul trebuie să conțină și o serie de clauze obligatorii, de exemplu faptul că persoana împuternicită va prelucra date doar atunci când operatorul de date îi va cere acest lucru.

Transferul de date în afara UE

Când datele personale sunt transferate în afara UE, protecția oferită de RGPD ar trebuie să „călătorească" împreună cu ele. Aceasta înseamnă că dacă exportați date în străinătate, compania dumneavoastră trebuie să se asigure că cel puțin una dintre prevederile următoare este pusă în aplicare:

Când este permisă prelucrarea datelor?

Potrivit normelor UE privind protecția datelor, ar trebui să prelucrați datele în mod corect și legal, pentru un scop specific și legitim și doar acele date care sunt necesare pentru îndeplinirea scopului respectiv. Pentru a prelucra date cu caracter personal trebuie să îndepliniți una din următoarele condiții:

Acordul față de prelucrarea datelor: consimțământul

RGPD prevede norme stricte pentru prelucrarea datelor pe baza consimțământului. Scopul acestor norme este să garanteze că persoana vizată înțelege pentru ce își acordă consimțământul. De aceea, consimțământul trebuie să fie acordat în mod liber, specific, informat și lipsit de ambiguitate, prin intermediul unei cereri prezentate într-un limbaj clar și simplu. Consimțământul trebuie acordat printr-un act pozitiv, cum ar fi bifarea unei casete on-line sau semnarea unui formular.

Când o persoană își dă acordul pentru prelucrarea datelor cu caracter personal, datele respective pot fi prelucrate doar în scopul pentru care s-a obținut consimțământul. De asemenea, trebuie să-i acordați persoanei respective posibilitatea de a-și retrage consimțământul.

Furnizarea de informații transparente

Trebuie să le furnizați persoanelor vizate informații clare despre entitatea care prelucrează datele personale și scopul acestei prelucrări. Trebuie să indicați cel puțin:

În unele cazuri, informațiile pe care le furnizați trebuie să includă:

Trebuie să prezentați aceste informații într-un limbaj clar și simplu.

Norme specifice pentru copii

În cazul în care colectați date cu caracter personal de la copii pe bază de consimțământ, de exemplu utilizând un cont de rețea de socializare sau un cont de descărcare, trebuie să obțineți mai întâi consimțământul parental, prin trimiterea unei notificări către părinte sau tutore. Vârsta până la care o persoană este considerată copil diferă de la o țară la alta, situându-se între 13 și 16 ani.

Dreptul de acces și dreptul la portabilitatea datelor

Trebuie să vă asigurați că persoanele vizate au drept de acces gratuit la datele cu caracter personal. Dacă primiți o astfel de cerere trebuie:

Când prelucrarea datelor se bazează pe consimțământ sau pe contract, persoana vizată poate solicita returnarea datelor personale sau transmiterea lor către o altă companie. Este vorba despre așa-numitul drept la portabilitatea datelor. Trebuie să furnizați datele într-un format utilizat în mod comun, care poate fi citit automat.

Dreptul de a corecta datele și dreptul de a obiecta

Dacă o persoană consideră că datele sale cu caracter personal sunt incorecte, incomplete sau inexacte, persoana respectivă are dreptul de a le corecta sau completa fără întârziere.

În acest caz, trebuie să îi informați pe toți destinatarii datelor dacă o parte din datele pe care le-ați partajat cu ei au fost modificate sau șterse. Dacă o parte din datele partajate s-au dovedit a fi incorecte, trebuie să îi informați în legătură cu acest lucru pe toți cei care le-au vizualizat (cu excepția cazului în care această acțiune ar presupune un efort disproporționat).

O persoană poate obiecta în orice moment față de prelucrarea datelor sale personale, atunci când compania prelucrează datele respective în baza unui interes legitim propriu sau în vederea îndeplinirii unei sarcini în interes public. Dacă nu aveți un interes legitim care să prevaleze asupra interesului persoanei vizate, trebuie să încetați prelucrarea datelor cu caracter personal.

De asemenea, o persoană poate solicita restricționarea prelucrării datelor sale cu caracter personal pe durata perioadei în care se stabilește dacă interesul companiei dumneavoastră prevalează asupra interesului său. Totuși, în cazul marketingului direct, sunteți întotdeauna obligat să încetați prelucrarea datelor cu caracter personal dacă persoana în cauză vă cere acest lucru.

Dreptul la ștergerea datelor („dreptul de a fi uitat")

În anumite situații, o persoană îi poate solicita operatorului de date să șteargă datele sale cu caracter personal, de exemplu dacă acestea nu mai sunt necesare pentru scopul prelucrării. Totuși, compania dumneavoastră nu este obligată să facă acest lucru dacă:

Procesul decizional automatizat și crearea de profiluri

Cetățenii au dreptul de a nu fi supuși unei decizii bazate doar pe procesarea automatizată. Totuși, există câteva excepții la această regulă, de exemplu atunci când persoana acceptă în mod explicit decizia automatizată. Cu excepția cazului în care decizia automatizată se bazează pe o lege, compania dumneavoastră trebuie:

De exemplu, dacă o bancă își automatizează decizia prin care se stabilește dacă o anumită persoană poate sau nu să primească un credit, persoana respectivă trebuie să știe că a fost vorba despre o decizie automatizată și trebuie să aibă posibilitatea de a contesta decizia și de a solicita o intervenție umană.

Încălcarea securității datelor: furnizarea notificării adecvate

Încălcarea securității datelor are loc atunci când datele cu caracter personal de care răspundeți sunt dezvăluite, accidental sau ilegal, unor destinatari neautorizați, când datele sunt modificate sau când accesul la date este oprit temporar.

Dacă se produce o încălcare a securității datelor care reprezintă un risc la adresa drepturilor și libertăților individuale, trebuie să notificați Autoritatea pentru protecția datelor în termen de 72 de ore de la constatarea încălcării.

În funcție de consecințele pe care le are încălcarea securității datelor, compania dumneavoastră ar putea fi obligată să informeze toate persoanele afectate.

Formularea răspunsurilor

În cazul în care compania dumneavoastră primește o cerere de la o persoană care dorește să își exercite drepturile, trebuie să răspundeți cât mai repede posibil, în cel mult 1 lună de la primirea cererii. Trimiterea răspunsului poate fi prelungită până la 2 luni în cazul cererilor complexe sau multiple, atâta timp cât persoana în cauză este informată cu privire la prelungirea perioadei. Cererile trebuie tratate gratuit.

Dacă cererea este respinsă, trebuie să îi comunicați persoanei în cauză motivele respingerii și să o informați în legătură cu dreptul de a înainta o plângere pe lângă Autoritatea pentru protecția datelor.

Evaluarea impactului

Realizarea unei evaluări a impactului asupra protecției datelor este obligatorie ori de câte ori prelucrarea ar reprezenta un risc ridicat la adresa drepturilor și libertăților fundamentale, de exemplu când se utilizează tehnologii noi.

Un astfel de risc apare atunci când:

Notă: Autoritățile pentru protecția datelor pot considera că și alte categorii de prelucrare a datelor pot prezenta un risc ridicat.

Dacă măsurile menționate în evaluarea impactului nu reușesc să elimine toate riscurile ridicate identificate, este necesară consultarea Autorității pentru protecția datelor înainte ca prelucrarea datelor să aibă loc.

Evidența operațiunilor

Compania dumneavoastră trebuie să poată demonstra că acționează în conformitate cu RGPD și își îndeplinește toate obligațiile aplicabile - în special la cererea Autorității pentru protecția datelor sau cu ocazia inspecțiilor acesteia.

O modalitate de a realiza acest lucru este păstrarea de evidențe detaliate cu privire la:

Compania dumneavoastră ar trebui să păstreze și să actualizeze periodic proceduri și orientări scrise și să le comunice angajaților.

Dacă dețineți un IMMen sau o companie de dimensiuni și mai mici nu trebuie să păstrați evidența activităților de prelucrare a datelor, atâta timp cât acestea:

  • sunt efectuate periodic
  • nu afectează drepturile sau libertățile persoanelor vizate
  • nu implică date sensibile sau caziere judiciare

Asigurarea protecției datelor în mod intrinsec și în mod implicit

Asigurarea protecției datelor în mod intrinsec – compania dumneavoastră trebuie să ia în calcul protecția datelor încă din fazele inițiale ale planificării unei noi modalități de prelucrare a datelor cu caracter personal. Potrivit acestui principiu, operatorul de date trebuie să ia toate măsurile tehnice și organizatorice necesare pentru a implementa principiile de protecție a datelor și pentru a proteja drepturile persoanelor vizate. Aceste măsuri ar putea include, de exemplu, utilizarea pseudonimizării.

Asigurarea protecției datelor în mod implicit – compania ar trebui să seteze ca implicite configurațiile care asigură cel mai ridicat nivel de protecție a datelor. De exemplu, dacă sunt posibile două setări, iar una împiedică accesul părților terțe la datele cu caracter personal, aceasta ar trebui utilizată ca setare implicită.

Încălcări ale normelor și sancțiuni

Nerespectarea RGPD poate duce la aplicarea de amenzi de până la 20 de milioane EUR sau 4 % din cifra de afaceri globală a companiei dumneavoastră. Autoritatea pentru protecția datelor poate impune măsuri corective suplimentare, obligându-vă, de exemplu, să încetați procesarea datelor cu caracter personal.

Întrebări și răspunsuri - Protecția datelor și a vieții private în mediul on-line

Teme conexe

Legislaţia UE

Aveți nevoie de ajutorul serviciilor de asistență?

Contactați serviciile specializate de asistență

Asistență locală pentru întreprinderi - Aveți întrebări despre desfășurarea unei activități economice la nivel transfrontalier, de exemplu exportul sau extinderea în altă țară din UE? Dacă da, Rețeaua întreprinderilor europene (Enterprise Europe Network) vă poate oferi consiliere gratuită.

Partajați această pagină: