GDPR SI AFACERE TA

Ce este GDPR?

General Data Protection Regulation.

 

Regulament european de directă aplicare. Nu mai este necesară implementarea în legislația națională, cu toate acestea, , GDPR face trimitere în repetate rânduri la legislaţia naţională care stabileşte în sarcina operatorilor/procesatorilor de date anumite obligaţii, spre exemplu înregistrarea şi declararea contractelor de muncă sau obligaţii prevăzute de legislaţia fiscală.

 

Când intră în vigoare?

 

25 mai 2018

 

 

Cui se adresează?

Tuturor persoanelor juridice: Firme, PFA, Asociații și fundații (inclusiv asociații de proprietari), cabinete medicale, scoli și grădinițe, autorități publice.

 

In ce mod mă afectează?

 

Pentru a te asigura că GDPR are impact asupra afacerii tale, îți poți spune următoarele întrebări:

 

1.    1. Am relații comerciale / contractuale cu persoane fizice (angajați, clienți)?

 

2.     2. Procesez date cu caracter personal pentru alți parteneri de afaceri (prestări servicii contabilitate, curierat etc.)?

 

Daca la oricare din întrebări răspunsul este da, atunci GDPR are un impact asupra afacerii tale.

 

Trebuie să știi că nu se aplică prelucrărilor:

 

a)In cadrul activităților care nu intra sub incidenta dreptului Uniunii;

 

b)Efectuate de către o persoana fizica in cadrul unei activități exclusiv personale sau domestice;

 

c)Realizate de către autorități competente in scopul prevenirii, investigării, depistării sau urmăririi penale a infracțiunilor, executării pedepselor penale, protejării împotriva amenințărilor la adresa siguranței publice si prevenirii acestora;

 

De ce este atât de important?

 

a)       amenzi uriașe - 20 mil euro sau 4% din cifra de afaceri; Spre ex. Agenția Spaniolă pentru protecția datelor a impus o amendă de peste un milion de euro pentru o televiziune care nu a reușit să protejeze datele a peste 7000 de persoane;

 

b) prezumția de vinovăție - procesatorul (controller) este cel  care trebuie sa-si dovedească nevinovăția;

 

c) răspunderea solidara cu procesatorul - daca procesarea datelor este externalizată către altă entitate;

 

d) business to business - la alegerea unui prestator va conta dacă acesta este sau nu GDPR compliant.

 

Care sunt principiile GDPR?

 

Principiile GDPR au fost preluate (şi revizuite) din Directiva Europeneană 95/46/EC, fiind introdus un nou principiu: Accountability, ce se referă la responsabilitatea procesatorului de date în a demonstra că a făcut toate diligenţele cerute prin Regulament pentru a proteja drepturile şi libertăţile persoanelor vizate.

 

1.  Legalitate, echitate și transparenta (Transparency, fairness, and lawfulness);

Este necesar să comunicăm persoanelor vizate motivul şi modul în care îi procesăm datele, precum şi baza legală care impune respectivul proces.

 

2.  Limitări legate de scop;

Datele cu caracter personal sunt colectate în scopuri determinate, explicite și legitime și nu sunt prelucrate ulterior într-un mod incompatibil cu aceste scopuri.

 

3. Reducerea la minimum a datelor colectate

limitându-ne la cele adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate

 

4.  Exactitatea datelor;

Datele cu caracter personal colectate si procesate vor trebui a fi exacte și  în cazul în care este necesar, să fie actualizate. Trebuie să luam toate măsurile necesare pentru a ne asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt șterse sau rectificate fără întârziere

 

5.  Limitări legate de stocare;

Datele trebuie păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele

 

6.  Integritate și confidențialitate;

Datele vor fi prelucrate într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare

 

Ce sunt datele cu caracter personal?

 

 

Orice informații privind o persoană fizică identificată sau identificabila – raportat și la context.

 

Spre exemplu: Nume  Adresa, număr telefon, Email, CNP, Permis de conducere, Informații medicale, apartenenta la o religie, Informații financiare, Carduri de credit, urmărire GPS, Adrese IP sau Cookies-uri;

 

Care sunt drepturile persoanei vizate?

 

Dreptul la informare și acces la date cu caracter personal – art.13

 

În cazul în care datele cu caracter personal referitoare la o persoană vizată sunt colectate de la aceasta, operatorul, în momentul obținerii acestor date cu caracter personal, furnizează persoanei vizate toate informațiile cu privire la legalitate scop, durata procesării si drepturile acestuia.

 

Dreptul de acces al persoanei vizate – art.15

 

Persoana vizată are dreptul de a obtine din partea operatorului o confirmare că se prelucrează sau nu date cu caracter personal care o privesc și, în caz afirmativ, acces la datele respective

 

Dreptul de rectificare și ștergere („dreptul de a fi uitat”) – art.16 si 17

 

Persoana vizată are dreptul de a obține de la operator fără întârzieri nejustificate, rectificarea sau după caz ștergere datelor cu caracter personal inexacte care o privesc

 

Dreptul la portabilitatea datelor – art.20

 

Persoana vizată are dreptul de a primi datele cu caracter personal care o privesc și pe care le-a furnizat operatorului într-un format structurat, utilizat în mod curent și care poate fi citit automat și are dreptul de a transmite aceste date altui operator

 

Procesul decizional individual automatizat, inclusiv crearea de profiluri – art.22

 

Persoana vizată are dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri, care produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă

 

Ce avem de făcut?

 

 

Implementarea GDPR pentru afacerea ta va presupune următorii pași:

 

a)       Discuții si/sau chestionare preliminare;
b)       Data mapping;
c)       Gap Analasys;
d)       DPIA – privacy impact assesment;
e)       DPO;
f)        Proceduri si politici interne;
g)       Adaptare procese;
h)       Registre de procesare;
i)         Actualizare contracte;
j)        Identificare si implementare soluţii IT;
k)       Incident management plan;

 

Identificarea sistemelor de date aflate în controlul direct al organizației: sisteme de email, baze de date, aplicații, servere, datele stocate pe diverse stații de lucru, dosare fizice, datele angajaților, arhiva contractelor etc.

 

Identificarea sistemelor de date aflate în afara controlului Dvs. direct: Servicii externalizate de contabilitate, resurse umane, legal, servicii de arhivare, servicii de stocare de tip cloud;

 

Identificarea riscurilor potențiale care ar putea conduce la distrugerea, alterarea sau furtul datelor iar ulterior identificarea măsurilor organizatorice și tehnice suficiente pentru limitarea sau eliminarea riscurilor: limitarea accesului fizic la date, criptare sau pseudonimizare.

 

Documentarea fiecarui proces, scop, risc și menținerea unei evidențe stricte a măsurilor implementate pentru a putea dovedi efectuarea tuturor diligențelor întreprinse în acest sens.

 

Stabilirea categoriilor de date a căror pierdere ar fi de natură a afecta drepturile și libertăților persoanelor vizate și pentru care ar fi necesară notificarea autorității cu privire la încălcarea securității datelor (data breach).

 

Stabilirea unei baze legitime pentru fiecare categorie de date prelucrate și pentru fiecare scop al prelucrării. Ex. consimțământul persoanei, obligație legală, derulare unui contract etc.