GDPR: 5 mituri gresit intelese
6 minute • Ana-Maria Udriste • 21 iunie 2018
Regulamentul UE privind protecția generală a datelor (“GDPR“) a ajuns să fie cea mai mare agitație în domeniul legilor privind protecția datelor în ultimii de douăzeci de ani. În pofida unor acțiuni de informare extinse din partea autorităților de reglementare, există încă o serie de concepții greșite despre GDPR. Primele cinci sunt prezentate mai jos.
1. Trebuie mereu să obțin consimțământul de la persoanele vizate
Perioada anterioară aplicării GDPR a fost marcată de o mulțime de e-mailuri din partea diverselor companii care solicită consimțământul pentru o varietate de scopuri diferite. Trebuie să contactați persoanele și să (re)solicitați consimțământul? În cele mai multe cazuri, răspunsul este nu.
Dacă prelucrață date personale, trebuie să vă bazați pe unul dintre cele șase temeiuri legale pentru prelucrare stabilite în GDPR (am scris aici despre toate temeiurile legale de prelucrare în GDPR). Unul din acest temei este consimțământul, dar, în foarte multe cazuri, este mai bine să vă bazați pe un temei juridic diferit (vezi ce am scris despre interesul legitim aici). Acest lucru se datorează faptului că individul trebuie să aibă o alegere reală pentru ca consimțământul să fie valabil. Aceasta înseamnă că consimțământul trebuie:
- să fie dat pentru un scop specific și identificat. De exemplu, dacă cerem persoanei vizate să accepte întreaga politică de confidențialitate nu va duce, în mod normal, la un consimțământ valabil;
- să implice o acțiune pozitivă a persoanei vizate (în sensul de a fi oferit consimțământul, iar nu considerat implicit). Nu mai sunt permise căsuțele de opt-in prebifate; ș
- să fie dat în mod liber.
În plus, persoana își poate retrage consimțământul în orice moment. Atunci când consimțământul este retras, prelucrarea respectivă ar trebui să se oprească.
Aceasta înseamnă că majoritatea organizațiilor ar trebui să aplice principiul orice altceva decât consimțământul. Alte temeiuri juridice ar putea fi mai adecvate. De exemplu, prelucrarea poate fi necesară pentru: (i) încheierea sau executarea unui contract cu persoana fizică; (ii) o obligație legală la care sunteți supus; sau (iii) interesele legitime ale organizației care prevalează în fața intereselor persoanei vizate.
O excepție este marketingul prin e-mail sau utilizarea cookie-urilor. Normele privind ePrivacy înseamnă că este posibil să aveți nevoie de consimțământ (a se vedea mai jos).
2. GDPR protejează toți cetățenii din UE
O altă concepție greșită este că GDPR a fost creată pentru a proteja cetățenii UE. De exemplu, dacă un cetățean al UE se cazează la un hotel din Africa de Sud, trebuie să respecte hotelul GDPR?
GDPR se aplică în primul rând organizațiilor stabilite în UE. Dacă îndepliniți această condiție primară, GDPR se aplică indiferent de locația sau cetățenia persoanei. De exemplu, o companie cu sediul în București trebuie să aplice GDPR tuturor persoanelor, indiferent dacă locuiesc în Constanța sau Mongolia.
De asemenea, GDPR are un test secundar bazat pe direcționarea persoanelor în UE. Dacă o organizație este stabilită în afara UE, ea va face obiectul GDPR dacă:
- oferă bunuri sau servicii persoanelor fizice în UE; sau
- monitorizează comportamentul persoanelor din UE.
Foarte important, întrebarea este dacă indivizii se află în UE, nu dacă sunt cetățeni ai UE. În plus, dacă îndepliniți condițiile din acest test, trebuie să respectați GDPR numai pentru persoanele din UE, nu pentru întreaga activitate.
Este hotelul din Africa de Sud supus GDPR? Răspunsul depinde de răspunsurile oferite la întrebările de mai sus. De exemplu, dacă hotelul a fost promovat în mod constant către persoane fizice cu sediul în UE, acesta va fi prins de GDPR pentru acele persoane.
3. Este o lege complet nouă
GDPR marchează o o schimbare majoră în domeniul legislației europeane privind protecția datelor, însă principiile fundamentale din GDPR sunt foarte asemănătoare cu vechea directivă privind protecția datelor.
În special, GDPR reține conceptele de bază ale datelor personale, ale controlorului și ale procesorului. De asemenea, aceasta menține cerințele esențiale pentru prelucrarea corectă și legală a datelor cu caracter personal, în scopuri limitate, utilizarea este minimizată și datele personale trebuie să fie corecte, să fie stocate în medii sigure și să nu fie păstrate mai mult decât este necesar.
Cu toate acestea, există unele schimbări mari. Acestea includ:
- unele modificări la aceste concepte de bază, cum ar fi abordarea mai restrictivă a consimțământului și extinderea teritorială (a se vedea mai sus);
- noi obligații de conformitate, cum ar fi necesitatea, în anumite cazuri, de a numi ofițeri de protecție a datelor, de a efectua evaluări de impact privind protecția datelor și de a actualiza contractele cu operatorii; și
- noi obligații, cum ar fi obligația de a notifica autorităților de reglementare anumite încălcări ale datelor și de a acorda noi drepturi persoanelor fizice.
Cu alte cuvinte, dacă ați fost în mare măsură conformi cu vechea directivă privind protecția datelor, măsurile suplimentare pentru a respecta GDPR nu ar trebui să fie prea dureroase. GDPR marchează o evoluție, nu o revoluție, în legile privind protecția datelor.
4. Trebuie să mă uit doar la GDPR
GDPR oferă un set detaliat de reguli de confidențialitate și de prelucrare a datelor cu caracter personal, dar, în ciuda lungimii și complexității sale, nu oferă o imagine de ansamblu completă asupra obligațiilor pe care le aveți de îndeplinit pentru a fi conformi.
Mai mult, GDPR va fi modificat prin actele normative de implementare ale statelor membre (pentru România, legea așa cum se află încă în proces decizional poate fi consultată aici).
5. Încălcarea va rezulta în amenzi foarte mari
Unele articole despre GDPR încep sau se încheie cu un avertisment că încălcarea va avea ca rezultat amenzi mari și foarte mari.
GDPR pune pe masă riscul unor amenzi administrative foarte importante. Încălcările majorității prevederilor GDPR pot conduce la o amendă de până la 4% din cifra de afaceri anuală globală sau 20 milioane EUR.
Cu toate acestea, majoritatea organizațiilor sunt foarte puțin probabil să se confrunte cu acest nivel de sancțiune și chiar și atunci pentru cele mai grave încălcări, întrucât nici pe legea veche nu se aplicau prea des plafoanele maxime.
Riscurile asociate cu nerespectarea au crescut, dar nu este nevoie de panică.
În KIT-ul nostru de implementare GDPR, am inclus toate procedurile pentru conformitate la GDPR astfel încât să îți protejezi afacerea.
