Ce este GDPR? Regulamentul general privind protecția datelor (denumit în continuare „GDPR” sau „Regulament GDPR”) a devenit lege în România începând cu 25 mai 2018. Pentru nerespectarea cerințelor de protecție, sancțiunile pot ajunge până la 4% din cifra de afaceri sau 20.000.000 euro. Investigația unei organizații române se face de Autoritatea de supraveghere din România.

Regulamentul GDPR are în centru său un element primordial: persoana fizică. Datele persoanei fizice trebuie protejate prin măsuri adecvate.

Regulament GDPR introduce un principiu important: responsabilitatea.

Pe scurt, responsabilitatea înseamnă că operatorul de date este singurul responsabil de a implementa măsurile adecvate pentru protecția datelor cu caracter personal și că poate demonstra că aceste măsuri au fost implementate. Cu alte cuvinte, nu este suficient să protejăm datele cu caracter personal, ci trebuie și să documentăm aceste procese prin politici și proceduri adecvate, precum registre, analize, acorduri cu partenerii comerciali, consimțăminte documentate, informări către persoane.

În pas de traziție către era digitală, protecția datelor cu caracter personal este un subiect serios pe agenda fiecărei companii.

GDPR introduce șase principii care trebuie respectate de către orice Organizație care prelucrează date așa cum sunt ele descrise pe scurt mai jos:

• Legalitate, echitate și transparență –prelucrează datele legal și corect față de persoana vizată și explică-i de ce îi prelucrezi într-un limbaj pe care îl poate înțelege, fără jargon juridic.

• Limitarea scopului – nu folosi datele în altă manieră decât aceea prezentată persoanei fizice;
• Minimizarea datelor – nu prelucra mai multe date decât îți trebuie;
• Exactitate – păstrează datele actualizate;
• Integritate și confidențialitate – protejează datele prin măsuri adecvate;
• Responsabilitate – documentează procesele și fii capabil să demonstrezi respectarea principiilor de mai sus.

Toate operațiunile asupra datelor trebuie să fie legale, adică să se bazeze pe cel puțin unul dintre temeiurile de mai jos:

• Consimțământul – persoana și-a dat în mod valabil consimțământul;
• Contractul – există un contract sau urmează să se încheie un contract;
• Obligația legală – există o obligație legală;
• Interesul vital – protejezi viața sau sănătatea persoanei;
• Interesul public;
• Interesul tău legitim – atâta timp cât nu intră în conflict cu interesul persoanei fizice;

Indiferent de temei (consimțământul, contractul, obligația legală etc), trebuie să respecți GDPR și să pui în practică politici adecvate de protecție a datelor.

Cele șase temeiuri enumerate mai sus se află pe poziție de egalitate. Consimțământul este important, însă el vine cu dezavantaje, cum ar fi dreptul de retragere a consimțământului, imposibilitatea de a obține consimțământul tuturor persoanelor, refuzul de a-și da consimțământul. De aceea, ai putea considera util să verifici dacă nu cumva poți prelucra datele în baza altui temei. Există o obligație legală? Ai un contract cu persoana? Nu ai nevoie de consimțământ.

Interesul legitim se va folosi cu precauție. El se folosește, de regulă, pentru situații în care nu există nu se poate sau nu se dorește obținerea consimțământului și nu există alt temei (supraveghere CCTV, monitorizare locație gps, recrutare, organizări evenimente etc). Pentru a se putea utiliza interesul legitim, este nevoie ca Organizația să documenteze în scris că interesul ei primează asupra drepturilor și intereselor persoanelor vizate.

Consimțământul persoanei trebuie să îndeplinească o serie de condiții, printre care să fie cert și informat. Căsuțele pre-bifate, tăcerea sau inacțiunea nu valorează consimțământ. Persoana trebuie să îți dea consimțământul printr-o acțiune reală, precum bifarea unei căsuțe, o semnătură, un DA categoric înregistrat.

Consimțământul trebuie să fie însoțit de o notă de informare prin care persoana să afle pentru ce anume își dă consimțământul.

Va trebui să poți demonstra că ai obținut consimțământul valabil și să îi permiți persoanei să își retragă în orice moment consimțământul și la fel de simplu cum l-a dat, dar nu neapărat prin aceeași acțiune.

Pentru copii sub 16 ani, își vor da părinții consimțământul. Iar în anumite cazuri, precum prelucrarea datelor sensibile sau transferul international de date, consimțământul trebuie să fie explicit: verificare în doi factori, semnătură scrisă, semnătură electronica etc.

Ce este GDPR am aflat deja, dar în centrul GDPR se află persoana fizică, iar regulament GDPR introduce un set de drepturi pentru persoana fizică vizată pe care  operatorul trebuie să le respecte și să răspundă în timp util la cererile persoanei, de obicei, în termen de maxim o lună.

Ce este GDPR am aflat deja, dar în centrul GDPR se află persoana fizică, iar regulament GDPR introduce un set de drepturi pentru persoana fizică vizată pe care  operatorul trebuie să le respecte și să răspundă în timp util la cererile persoanei, de obicei, în termen de maxim o lună.

În funcție de specificul organizației dumneavoastră, sunteți obligat sau nu să desemnați un responsabil cu protecția datelor.

Sunteți obligat să desemnați unul dacă:

• Sunteți o autoritate sau un organism public;
• Monitorzați persoanele vizate pe scară largă;
• Prelucrați volume mari de date speciale.

Responsabilul cu protecția datelor monitorizează respectarea Regulament GDPR de către Organizație și reprezintă principalul punct de contact dintre Organizație, pe o parte și Autoritatea de supraveghere și persoanele vizate, pe de altă parte. El are diverse atribuții și funcții pentru a ajuta Organizația să protejeze datele personale.

Regulament GDPR obligă operatorii și persoanele împuternicite să țină o evidență a activităților de prelucrare, în următoarele situații:

• atunci când entitatea are mai mult de 250 angajați;
• prelucrarea este susceptibilă să genereze un risc pentru drepturile și libertățile persoanei vizate prelucrarea include categorii speciale de date;
• prelucrarea nu este ocazională.

Având în vedere că, în general, în activitatea unei firme, prelucrarea nu este ocazională, ar trebui ca fiecare organizație să aibă o evidență internă a activităților care să fie revizuită periodic.

Evidența poate fi ținută sub forma unui registru și trebuie să cuprindă:

• Numele și datele de contact ale operatorului;
• descrierea activiților de prelucrare;
• scopurile prelucrării;
• categoriile de date prelucrate;
• categoriile de persoane vizate;
• categoriile de destinatari;
• transferurile internaționale de date, dacă e cazul;
• durata de stocare;
• măsurile tehnice și organizatorice luate.

GDPR este foarte clar într-o privință: trebuie să existe acorduri scrise între operatorul de date și persoana împuternicită (furnizorul care are acces la date) și stabilește ce anume trebuie să conțină acest contract. Împuternicitul trebuie să respecte termeni clari în materie de protecție a datelor, iar contractele existente trebuie actualizate cu acorduri de prelucrare. Chiar dacă nu există un contract scris între operator și furnizor, Regulament GDPR cere un contract scris în materie de protecție a datelor.

Autoritățile de supraveghere

Fiecare stat membru UE are o autoritate de supraveghere independentă responsabilă, printre altele, cu monitorizarea respectării legislației în materie de protecție a datelor, efectuarea investigațiilor, aplicarea sancțiunilor și spirijinul persoanelor vizate. În România, funcționează Autoritatea Națională de Supraveghere a Prelucării Datelor cu Caracter Personal. Conform raportului anual publicat pe site-ul Autorității, în anul 2017, ANSPDCP a dat 217 avertismente și 128 de amenzi.

Transferul de date ale cetățenilor europeni către state din afara UE ridică întrebări despre cât de bine pot fi protejate aceste date. RGPD nu interzice în mos expres transferurile internaționale, ci precizează că acestea pot avea loc dacă există garanții corespunzătoare, de exemplu:

• decizii adecvate.
• Reguli corporatiste obligatorii;
• Clauze standard

Există și derogări pentru situații specifice, cum ar fi consimțământul explicit al persoanei sau necesitatea executării unui contract.

Și așa ajungem la motivul pentru care implementați normele GDPR: amenzile. RGPD prevede faptul că amenda poate ajunge până la 4% din cifra de afaceri. Legea națională de punere în aplicare a RGPD (Legea nr. 190/2018) confirmă acest lucru.

Atunci când optează între a aplica un avertisment sau o amendă, iar în cazul amenzii, cuantumul acesteia, ANSPDCP ia în calcul mai mulți factori printre care: gradul de conformare, măsurile implementate, gravitatea abaterii, numărul încălcărilor, prejudiciile aduse persoanelor vizate și măsurile întreprinse de operator sau împuternicit pentru prevenirea limitarea prejudiciului.

Persoanele vizate nemulțumite de modul în care o Organizație le prelucrează datele au drepturile de a depune o plângere la Autoritatea de supraveghere și de a se adresa instanțelor de judecată pentru obținerea despăgubirilor.