Gestionarea datelor personale incepand cu luna mai 2018

Gestionarea datelor personale începând cu luna mai 2018

9 minute • Strajescu Alex • 13 decembrie 2017


După patru ani de pregătire și dezbatere, Regulament General de Protecția Datelor a fost aprobat în cele din urmă de Parlamentul European la 14 aprilie 2016 . Acesta va intra în vigoare la 20 de zile de la data publicării sale în Jurnalul Oficial al UE și va fi aplicat direct în toate statele membre la doi ani după această dată. Data de executare: 25 mai 2018 – moment în care organizațiile în caz de nerespectare se vor confrunta cu amenzi mari.
Regulamentul UE privind protecția datelor (GDPR) înlocuiește Directiva 95/46 / CE privind protecția datelor și a fost conceput pentru a armoniza legile privind confidențialitatea datelor din Europa, pentru a proteja și a conferi cetățenilor UE libertatea de confidențialitate a datelor și pentru a reformula modul în care organizațiile din regiune abordează datele confidențialitate.

  • Scopul Regulamentului General de Protecțiea Datelor este de a proteja toți cetățenii UE de confidențialitatea și încălcarea datelor într-o lume din ce în ce mai mult bazată pe date, care este mult diferită de momentul în care a fost stabilită directiva din 1995. Deși principiile cheie ale confidențialității datelor respectă încă directiva anterioară, au fost propuse multe schimbări în politicile de reglementare; punctele cheie ale GDPR, precum și informații privind impactul pe care îl va avea asupra afacerilor pot fi găsite mai jos :
Domeniul de aplicare teritorial sporit (aplicabilitate extra-teritorială)

În mod evident, cea mai mare schimbare în ceea ce privește confidențialitatea în materie de confidențialitate a datelor se referă la competența extinsă a GDPR, deoarece se aplică tuturor societăților care prelucrează datele cu caracter personal ale persoanelor vizate care locuiesc în Uniune, indiferent de locația companiei. Anterior, aplicabilitatea teritorială a directivei era ambiguă și se referea la procesele de date “în contextul unei unități”. Acest subiect a apărut într-o serie de cazuri înalte. GPDR face ca aplicabilitatea să fie foarte clară – se va aplica prelucrării datelor cu caracter personal de către controlorii și prelucrătorii din UE, indiferent dacă prelucrarea are loc sau nu în UE. De asemenea, GDPR se va aplica prelucrării datelor cu caracter personal ale persoanelor vizate în UE de către un operator sau un procesator care nu este stabilit în UE, în care activitățile se referă la: oferind bunuri sau servicii cetățenilor UE (indiferent dacă este necesară plata acestora) și monitorizarea comportamentului care are loc în cadrul UE. Întreprinderile non-UE care prelucrează datele cetățenilor UE vor trebui, de asemenea, să numească un reprezentant în UE.

Sancțiuni

În cadrul organizațiilor GDPR care încalcă GDPR, li se poate aplica o amendă de până la 4% din cifra de afaceri anuală globală sau 20 milioane EUR (oricare dintre acestea este mai mare). Aceasta este amenda maximă care poate fi impusă pentru cele mai grave încălcări, de exemplu, nu are suficient consimțământul clientului pentru prelucrarea datelor sau încălcarea principiului conceptelor Confidențialitate prin design. Există o abordare diferențiată a amenzilor, de exemplu, o întreprindere poate fi amendată cu 2% pentru a nu fi înregistrată în ordine (articolul 28), fără a notifica autoritatea de supraveghere și persoana vizată despre o încălcare sau de a nu efectua o evaluare a impactului. Este important să rețineți că aceste reguli se aplică atât controlorilor, cât și procesatorilor – adică “norii” nu vor fi scutiți de aplicarea GDPR.

Excepții – situațiile în care nu se aplică GDPR

GDPR nu se aplică prelucrării datelor cu caracter personal :

  • În ceea ce privește activitățile care nu intră sub incidența legislației UE (de exemplu, activități privind securitatea națională);
  • În ceea ce privește politica externă și de securitate comună a UE;
  • De către autoritățile competente în scopul prevenirii, investigării, detectării sau urmăririi penale a infracțiunilor și a aspectelor asociate;
  • De către instituțiile UE, în cazul în care se va aplica Regulamentul 45/2001 / CE în locul GDPR. Prezentul regulament este necesar să fie actualizat pentru a asigura coerența cu GDPR;
  • De către o persoană fizică, ca parte a unei “persoane pur personale sau de uz casnic ex: Bodil Lindqvist (C-101/01).
Consimţământ

Condițiile de acordare a consimțământului au fost întărite, iar companiile nu vor mai putea folosi termene și condiții lizibile lungi, legale, deoarece solicitarea de consimțământ trebuie furnizată într-o formă inteligibilă și ușor accesibilă, cu scopul de prelucrare a datelor atașată acest consimțământ. Consimțământul trebuie să fie clar și deosebit de alte chestiuni și să fie furnizat într-o formă inteligibilă și ușor accesibilă, folosind un limbaj clar și clar. Acesta trebuie să fie la fel de ușor să-și retragă consimțământul , deoarece este să-i dea.

Drepturile persoanelor vizate

Notificarea încălcării
În conformitate cu GDPR, notificarea încălcării va deveni obligatorie în toate statele membre în care o încălcare a datelor ar putea “să ducă la un risc pentru drepturile și libertățile persoanelor”. Acest lucru trebuie făcut în termen de 72 de ore de la prima constatare a încălcării. Operatorii de date vor trebui, de asemenea, să-și notifice clienții, controlorii, “fără întârzieri nejustificate”, după ce au devenit conștienți de o încălcare a datelor.
Dreptul de acces
O parte din drepturile extinse ale persoanelor vizate subliniate de GDPR este dreptul persoanelor vizate să obțină de la operatorul de date confirmarea dacă datele personale referitoare la ele sunt prelucrate sau nu, unde și în ce scop. În plus, operatorul furnizează gratuit o copie a datelor cu caracter personal într-un format electronic. Această modificare reprezintă o schimbare dramatică a transparenței datelor și a responsabilizării persoanelor vizate.
Dreptul de a fi uitat
De asemenea, cunoscută sub numele de Data Erasure, dreptul de a fi uitat dă dreptul persoanei vizate de a șterge datele personale ale operatorului de date, de a înceta diseminarea în continuare a datelor și, eventual, de a opri prelucrarea datelor de către terți. Condițiile de ștergere, astfel cum au fost enunțate la articolul 17, includ datele care nu mai sunt relevante în scopuri originale pentru procesare sau persoanele care își retrag consimțământul. De asemenea, trebuie remarcat faptul că acest drept cere controlorilor să compare drepturile subiecților la “interesul public pentru disponibilitatea datelor” atunci când iau în considerare astfel de solicitări.
Portabilitatea datelor
GDPR introduce o portabilitate a datelor – dreptul unui subiect de date de a primi datele personale referitoare la acesta, pe care le-a furnizat anterior fiind transmise intr-un limbaj de programare standard si care are dreptul de a transmite datele respective unui controlor.
Confidențialitatea prin design
Confidențialitatea prin design ca si concept a existat de ani de zile, dar devine doar o parte a unei cerințe legale cu GDPR. La baza sa, confidențialitatea prin design solicită includerea protecției datelor de la debutul proiectării sistemelor, mai degrabă decât o adăugare. Mai exact – “Controlorul trebuie să … elaboreze măsuri tehnice și organizatorice adecvate într-un mod eficient .. pentru a îndeplini cerințele prezentului regulament și pentru a proteja drepturile persoanelor vizate”. Articolul 23 cere controlorilor să dețină și să prelucreze numai datele absolut necesare pentru îndeplinirea sarcinilor sale (minimizarea datelor), precum și limitarea accesului la datele cu caracter personal celor care trebuie să efectueze procesarea.
Consimțământul copiilor

  • este interzisă prelucrarea datelor de la copii cu vârsta mai mică de 13 ani;
  • oferirea de servicii online în mod direct unui copil, ce presupune prelucrarea datelor acestuia, este legală dacă copilul are cel puțin vârsta de 16 ani;
  • dacă copilul are sub vârsta de 16 ani, respectiva prelucrare este legală numai dacă și în măsura în care consimțământul respectiv este acordat sau autorizat de către părintele sau persoana responsabilă care exercită asupra copilului.
Ofițerii de protecție a datelor

În prezent, controlorii sunt obligați să notifice activitățile de prelucrare a datelor cu autoritățile locale de protecție a datelor, care pentru multinaționale pot fi un coșmar birocratic, majoritatea statelor membre având cerințe diferite de notificare. În conformitate cu GDPR, nu va fi necesar să se trimită notificări / înregistrări fiecărei DPA locale a activităților de prelucrare a datelor și nici nu va fi o cerință de notificare / obținere a aprobării pentru transferuri pe baza Model Clauze de Contract (MCC). În schimb, vor exista cerințe privind păstrarea înregistrărilor interne, după cum se explică în cele ce urmează, iar numirea DPO va fi obligatorie numai pentru acei operatori și procesatori ai căror activități principale constau în operațiuni de prelucrare care necesită o monitorizare periodică și sistematică a persoanelor vizate la scară largă sau categorii de date sau date privind condamnările penale și infracțiunile.

  • Trebuie să fie numiți pe baza calităților profesionale și, în special, a cunoștințelor experților privind legislația și practicile privind protecția datelor
  • Poate fi un membru al personalului sau un furnizor extern de servicii
  • Detaliile de contact trebuie furnizate DPA-ului relevant

Trebuie să li se ofere resurse adecvate pentru a-și îndeplini sarcinile și pentru a-și păstra cunoștințele de specialitate

  • Trebuie să raporteze direct la cel mai înalt nivel de management
  • Nu trebuie să efectueze orice alte sarcini care ar putea conduce la un conflict de interese.
Efectele aplicării GDPR-ului în România
  • eliminarea formalismului – nu mai este necesară notificarea Autorității Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal;
  • responsabilizarea operatorilor de date prin obligațiile de a asigura respectarea dispozițiilor GDPR-ului prin intermediul persoanelor desemnate, iar în cazurile speciale, numirea unui ofițer de date personale;
  • în cazul transferului de date în străinătate – nu mai este necesară obținerea autorizației de transfer, însă se impune depunerea documentației necesare (a contractului cu clauze standard, BCR);
  • operatorul este obligat să asigure îndeplinirea obligațiilor privind informarea clară și neechivocă a subiecților de la care se prelucrează datele și să obțină consimțământul acestora în vedera utilizării datelor.

Te putem ajuta cu implementarea GDPR! Scrie-ne mai jos!

[wpforms id=”13083″]
Sursa:

Un răspuns

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *