Ce este GDPR?
Regulamentul general privind protecția datelor
(denumit în continuare „GDPR” sau „Regulament GDPR”) a devenit lege în România
începând cu 25 mai 2018. Pentru nerespectarea cerințelor de protecție,
sancțiunile pot ajunge până la 4% din cifra de afaceri sau 20.000.000 euro.
Investigația unei organizații române se face de Autoritatea de supraveghere din
România.
Regulament GDPR introduce un principiu
important: responsabilitatea.
Pe scurt, responsabilitatea înseamnă că
operatorul de date este singurul responsabil de a implementa măsurile adecvate
pentru protecția datelor cu caracter personal și că poate demonstra că aceste
măsuri au fost implementate. Cu alte cuvinte, nu este suficient să protejăm
datele cu caracter personal, ci trebuie și să documentăm aceste procese prin
politici și proceduri adecvate, precum registre, analize, acorduri cu
partenerii comerciali, consimțăminte documentate, informări către persoane.
Regulament GDPR. Legalitatea
Toate operațiunile asupra datelor trebuie să fie
legale, adică să se bazeze pe cel puțin unul dintre temeiurile de mai jos:
· Consimțământul – persoana și-a dat în mod valabil consimțământul;
· Contractul – există un contract sau urmează să se încheie un contract;
· Obligația legală – există o obligație legală;
· Interesul vital – protejezi viața sau sănătatea persoanei;
· Interesul public;
· Interesul tău legitim – atâta timp cât nu intră în conflict cu
interesul persoanei fizice;
Indiferent de temei (consimțământul, contractul,
obligația legală etc), trebuie să respecți GDPR și să pui în practică politici
adecvate de protecție a datelor.
Cele șase temeiuri enumerate mai sus se află pe
poziție de egalitate. Consimțământul este important, însă el vine
cu dezavantaje, cum ar fi dreptul de retragere a consimțământului,
imposibilitatea de a obține consimțământul tuturor persoanelor, refuzul de a-și
da consimțământul. De aceea, ai putea considera util să verifici dacă nu cumva
poți prelucra datele în baza altui temei. Există o obligație legală? Ai
un contract cu persoana? Nu ai nevoie de consimțământ.
Interesul legitim se va folosi cu precauție. El se folosește, de regulă, pentru
situații în care nu există nu se poate sau nu se dorește obținerea
consimțământului și nu există alt temei (supraveghere CCTV, monitorizare
locație gps, recrutare, organizări evenimente etc). Pentru a se putea utiliza
interesul legitim, este nevoie ca Organizația sa documenteze în scris că
interesul ei primează asupra drepturilor și intereselor persoanelor vizate.
Consimțământul
Consimțământul persoanei trebuie să
îndeplinească o serie de condiții, printre care să fie cert și
informat. Căsuțele pre-bifate, tăcerea sau inacțiunea nu valorează
consimțământ. Persoana trebuie să îți dea consimțământul printr-o
acțiune reală, precum bifarea unei căsuțe, o semnătură, un DA categoric
înregistrat.
Consimțământul trebuie să fie însoțit de o notă
de informare prin care persoana să afle pentru ce anume își dă
consimțământul.
Va trebui să poți demonstra că ai obținut
consimțământul valabil și să îi permiți persoanei să își retragă în orice
moment consimțământul și la fel de simplu cum l-a dat, dar nu neapărat prin
aceeași acțiune.
Pentru copii sub 16 ani, își vor da părinții consimțământul.
Iar în anumite cazuri, precum prelucrarea datelor sensibile sau transferul
international de date, consimțământul trebuie să fie explicit: verificare
în doi factori, semnătură scrisă, semnătură electronica etc.
Ce drepturi are persoana fizică?
Ce este GDPR am aflat deja, dar în centrul GDPR
se află persoana fizică, iar regulament GDPR introduce un set de drepturi
pentru persoana fizică vizată pe care operatorul trebuie să le respecte
și să răspundă în timp util la cererile persoanei, de obicei, în termen
de maxim o lună.
|
1 |
Dreptul la informare |
Persoana trebuie să fie informată, printre
altele, cu privire la ce date sunt prelucrate, de ce, în ce scopuri, cui sunt
transmise și ce drepturi are. |
|
2 |
Dreptul de acces |
Persoana are dreptul să acceseze propriile
informații personale prelucrate. |
|
3. |
Dreptul la rectificare |
Persoana are dreptul de a obține rectificarea
informațiilor incomplete și inexacte care o privesc. |
|
4 |
Dreptul la ștergere |
În unele situații, persoana are dreptul de a
solicita ștergerea datelor care nu mai sunt necesare |
|
5 |
Dreptul la restricționarea prelucrarii |
Restricționarea prelucrării atunci când există
temei |
|
6 |
Dreptul de a portabilitate |
Dreptul persoanei de a solicita portarea
datelor de la un operator la altul |
|
7 |
Dreptul la obiecție |
Dreptul persoanei de a se opune prelucrării,
atunci când există temei |
|
8 |
Dreptul de a nu fi supusă unei decizii
automate, inclusiv crearea de profiluri |
Persoana are dreptul la intervenție umană în
cazul deciziilor importante care o privesc |
|
9 |
Dreptul de a depune o plângere la Autoritatea
de supraveghere |
Atunci când este nemulțumită de modalitatea în
care i se prelucrează datele sau când drepturile nu i-au fost respectate |
|
10 |
Dreptul de a se adresa instanței de judecată |
Pentru a obține daune materiale și/sau morale
dacă a rezultat un prejudiciu |
Text preluat de aici
Adaugat la data de 26.10.2020
