GDPR a intrat in vigoare. Iata tot ce trebuie sa stii despre noul regulament

Joi, 24 Mai 2018, ora 10:51
9254 citiri
GDPR a intrat in vigoare. Iata tot ce trebuie sa stii despre noul regulament
Foto: CC0 Creative Commons

Regulamentul European 2016/679 privind Protectia Datelor cu Caracter Personal (GDPR) devine aplicabil si in Romania incepand din 25 mai 2018.

Practic, vorbim despre "momentul zero" de la care datele de identificare, tranzactionale, financiare, demografice, de localizare sau alte date personale ale unei persoane fizice, in calitate de client utilizator al anumitor servicii, trebuie colectate si procesate responsabil de catre companiile din diverse domenii de activitate.

Noul regulament prevede, totodata, obligatia pentru operatorii de date cu caracter personal sa desemneze un responsabil cu protectia datelor (DPO), acesta avand rolul de a informa si consilia operatorul sau persoana imputernicita de catre operator, precum si angajatii acestora cu privire la obligatiile existente in domeniul protectiei datelor cu caracter personal.

GDPR - intre drepturile clientilor persoane fizice si obligatiile operatorilor de date

Odata cu intrarea in vigoare a noului Regulament privind Protectia Datelor cu Caracter Personal, dupa acordul clientului persoana fizica, informatiile personale vor fi prelucrate pe tot parcursul relatiei contractuale cu organizatia sau compania.

In acest context, in sistemul bancar, de exemplu, pentru oferirea unor servicii cat mai competitive, pentru a executa tranzactiile pe care clientul le initiaza, dar si pentru indeplinirea obligatiilor legale ce revin bancii sau in alte scopuri legitime, este posibil ca datele personale sa fie transmise catre autoritatile publice, organele judiciare, birourile notariale, consultanti externi, societatea-mama si alte entitati ale grupului din care face parte institutia bancara.

Pe de alta parte, in cazul comertului online, magazinele de profil trebuie sa se asigure ca folosesc datele personale ale clientilor cu un scop clar, fara a face abuz, fie ca este vorba despre datele necesare pentru a vinde, datele de facturare sau informatiile despre angajati, pentru a fi in conformitate cu legislatia GDPR.

Astfel, incepand din 25 mai 2018, afacerile din e-commerce vor fi obligate sa tina evidenta activitatilor de prelucrare a datelor personale, sa le stearga la cererea persoanelor fizice si, in cazul magazinelor mari, chiar sa numeasca un DPO (Data Protection Officer) - Ofiter Responsabil de Protectia Datelor.

Tot in ceea ce priveste magazinele online, principalele date personale pe care acestea le colecteaza sunt cele ale clientilor care cumpara un produs sau serviciu si sunt folosite in scop de executare a contractului, dar uneori si pentru actiuni de marketing. Pe de alta parte, pot fi si datele personale ale angajatilor.

Specialistii sustin ca, pentru a nu risca amenzi dupa intrarea in vigoare a GDPR, magazinele online trebuie sa se asigure, in primul rand, ca datele colectate au un scop clar si nu sunt folosite in alt scop.

Totodata, in cazul unei firme care detine doua magazine online diferite, datele colectate nu pot fi folosite "la comun", deoarece scopul colectarii este considerat diferit.

De asemenea, un magazin online este obligat sa restrictioneze accesul la datele clientilor si sa permita acest lucru doar angajatilor care au nevoie de acele date pentru a-si indeplini sarcinile de serviciu.

In plus, trebuie sa detina un registru al evidentelor in care sa tina cont de activitatile de prelucrare a datelor, deoarece activitatea acestora nu este ocazionala si sa se asigure ca tertii cu care lucreaza sunt din Uniunea Europeana, Spatiul Economic European sau in alte state cu regim adecvat, dar si ca asigura securitatea datelor.

Compania care detine o afacere in mediul online este obligata sa informeze clientii, in pagina de intampinare, cu privire la folosirea datelor pe care acestia le ofera (datele de facturare si livrare), intrucat informarea clientilor cu privire la datele colectate este obligatorie din momentul colectarii datelor.

In acelasi timp, trebuie sa stearga datele la cererea clientului, daca respectiva cerere are un temei legal, indiferent daca acest lucru se face prin suprascriere sau stergere definitiva, atat timp cat procesul este ireversibil.

Expertii din domeniu mentioneaza faptul ca, in cazul magazinelor online care aplica deja o buna practica a folosirii si stocarii datelor cu caracter personal, nu este necesar sa repete procedurile incepand din 25 mai 2018, atunci cand incepe perioada de aplicare a GDPR. De exemplu, in cazul abonatilor la newsletter (e-mailurile comerciale), nu este necesar sa li se ceara din nou consimtamantul daca acesta a fost obtinut in mod corect, in prealabil.

Drepturile aditionale ale clientilor persoane fizice dupa activarea GDPR

Cat priveste drepturile persoanelor fizice, din momentul intrarii in vigoare a GDPR, in afara de drepturile existente, va intra in aplicare o lista aditionala din care nu lipsesc o serie de noutati. O prima precizare se refera la dreptul la informare. In acest caz, conform documentului oficial, persoana vizata are dreptul de a obtine din partea operatorului o confirmare ca se prelucreaza sau nu date cu caracter personal care o privesc si, in caz afirmativ, acces la datele respective.

In ceea ce priveste dreptul la rectificare si completare a datelor personale, acesta se refera la faptul ca persoana vizata are dreptul de a obtine de la operator, fara intarzieri nejustificate, rectificarea datelor cu caracter personal inexacte care o privesc.

De asemenea, tinandu-se cont de scopurile in care au fost prelucrate datele, persoana vizata are dreptul de a obtine completarea datelor cu caracter personal care sunt incomplete, inclusiv prin furnizarea unei declaratii suplimentare.

Dreptul la stergerea datelor sau "dreptul de a fi uitat" reprezinta o alta speta care lucreaza in favoarea apararii persoanei fizice. Aceasta are dreptul de a obtine din partea operatorului stergerea datelor cu caracter personal care o privesc, fara intarzieri nejustificate, iar operatorul are obligatia de a sterge datele cu caracter personal fara intarzieri nejustificate in cazul in care se aplica unul dintre urmatoarele motive: datele cu caracter personal nu mai sunt necesare pentru indeplinirea scopurilor pentru care au fost colectate sau prelucrate; persoana vizata isi retrage consimtamantul pe baza caruia are loc prelucrarea si nu exista niciun alt temei juridic pentru prelucrare; persoana vizata se opune prelucrarii datelor; datele cu caracter personal au fost prelucrate ilegal.

In cazul dreptului la restrictionarea prelucrarii datelor, articolul 18 al Regulamentului European prevede, printre altele, ca persoana vizata sa poata obtine din partea operatorului restrictionarea prelucrarii in cazul in care se contesta exactitatea datelor, prelucrarea este ilegala, iar persoana vizata se opune stergerii datelor cu caracter personal, solicitand in schimb restrictionarea utilizarii lor, operatorul nu mai are nevoie de datele cu caracter personal in scopul prelucrarii.

Pe lista drepturilor pe care le au persoanele fizice fata de operatorii care stocheaza si prelucreaza date cu caracter personal se mai afla: dreptul de opozitie, dreptul la portabilitatea datelor catre alt operator, dreptul de a depune plangere fata de modalitatea de prelucrare a datelor personale la Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal (ANSPDCP), dreptul de retragere a consimtamantului in cazurile in care prelucrarea are la baza consimtamantul clientului si, nu in ultimul rand, drepturi suplimentare aferente deciziilor automate. In acest ultim caz, clientul persoana fizica poate solicita si obtine interventia umana pentru prelucrarea datelor si isi poate exprima propriul punct de vedere cu privire la aceasta sau poate contesta decizia.

Legislatia prevede, totodata, ca orice persoana vizata si care considera ca prelucrarea datelor sale cu caracter personal incalca prevederile legale in vigoare, are dreptul de a depune plangere la Autoritatea Nationala Supraveghere, daca presupusul abuz are loc pe teritoriul Romaniei. Plangerea poate fi depusa inclusiv prin mijloace electronice de comunicare.

Responsabilul cu protectia datelor, persoana-cheie dintr-o companie

Conform Ghidului ANSPDCP, una dintre principalele obligatii pentru operatorii de date cu caracter personal este desemnarea unui Responsabil cu Protectia Datelor (DPO) . Desemnarea unui astfel de responsabil este obligatorie in cazul in care operatorul sau persoana imputernicita de catre operator: este o autoritate publica sau un organism public (cu exceptia instantelor in exercitarea functiei lor jurisdictionale), desfasoara o activitate principala care conduce la realizarea unei monitorizari constante si

sistematice pe scara larga a persoanelor, desfasoara o activitate principala care consta in prelucrarea pe scara larga de date sensibile (cum ar fi: date privind originea rasiala sau etnica, convingerile religioase, apartenenta sindicala, date genetice, biometrice, privind starea de sanatate) sau referitoare la condamnari penale si infractiuni.

"Chiar daca entitatea nu are obligatia expresa de a desemna un responsabil cu protectia datelor, ANSPDCP recomanda numirea acestuia, in considerarea efectului benefic al activitatii responsabilului in vederea asigurarii respectarii Regulamentului General de Protectia Datelor de catre operatorul respectiv sau persoana imputernicita de operator. Un responsabil cu protectia datelor reprezinta un avantaj major pentru operator in vederea intelegerii si respectarii obligatiilor prevazute de Regulament, dialogului cu autoritatile pentru protectia datelor si reducerii riscurilor aparitiei unor litigii", se arata in documentul citat.

Autoritatea pentru Protectia Datelor mentioneaza ca rolul responsabilului cu protectia datelor este sa informeze si sa consilieze operatorul sau persoana imputernicita de operator, precum si angajatii acestora cu privire la obligatiile existente in domeniul protectiei datelor cu caracter personal, sa monitorizeze respectarea GDPR si a legislatiei nationale in domeniul protectiei datelor, sa consilieze operatorul sau persoana imputernicita in legatura cu realizarea de studii de impact privind protectia datelor si sa verifice efectuarea acestora, si, nu in ultimul rand, sa coopereze cu autoritatea in domeniu.

Legislatia in domeniul protectiei datelor cu caracter personal

Pe data de 22 mai 2018, senatorii au adoptat proiectul pentru modificarea si completarea Legii nr. 102/2005 privind infiintarea, organizarea si functionarea Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal (ANSPDCP), precum si pentru abrogarea Legii nr. 677/2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date.

Una dintre cele mai importante prevederi incluse in actul normativ se refera la faptul ca investigatia derulata de Autoritatea de control se poate realiza in intervalul orar 8:00 - 18:00, dupa aceasta ora actiunea putand continua numai cu acordul scris al persoanelor unde are loc investigatia. Mai mult, controlul va trebui sa se desfasoare in prezenta persoanelor vizate.

De asemenea, punerea in aplicare a unei amenzi de peste 300.000 de euro se va putea face doar prin decizia presedintelui ANSPDCP, care are la baza procesul verbal de constatare si raportul personalului de control.

Pe de alta parte, o propunere privind actualizarea modului de organizare si functionare a Autoritatii, raportat la regulamentul european care urmeaza sa intre in vigoare incepand din data de 25 mai, vizeaza marirea numarului de posturi pana la 85, de la 50 de angajati, cat prevede schema de personal, la momentul actual.

Parlamentul European si Consiliul European au adoptat, in data de 27 aprilie 2016, Regulamentul (UE) 2016/679 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a Directivei 95/46/CE (Regulamentul General privind Protectia Datelor - RGPD).

Regulamentul a fost publicat in Jurnalul Oficial al Uniunii din 4 mai 2016, iar prevederile acestuia sunt direct aplicabile in toate statele membre ale Uniunii Europene, incepand cu data de 25 mai 2018.

Documentul impune un set unic de reguli in materia protectiei datelor cu caracter personal, inlocuind Directiva 95/46/CE si, implicit, prevederile Legii nr. 677/2001.

Noul Regulament pune accent pe transparenta fata de persoana vizata si responsabilizarea operatorului de date fata de modul in care prelucreaza datele cu caracter personal, stabileste o serie de garantii specifice pentru a proteja cat mai eficient viata privata a minorilor, in special in mediul online, consolideaza drepturile garantate persoanelor vizate si introduce noi drepturi.

La nivel de sanctiuni, companiile care vor incalca noul GDPR vor plati amenzi de pana la 10 de milioane de euro sau 2% din cifra de afaceri globala anuala pentru incalcari privind protectia datelor, respectiv de pana la 20 de milioane de euro sau 4% din cifra de afaceri globala anuala pentru incalcari ale principiilor de baza privind prelucrarea datelor, luandu-se in calcul cea mai mare valoare.

#GDPR, #regulament GDPR, #GDPR inta in vigoare , #Comert online