© 2018 Musliu Privacy Data Consulting

Modificări

 
Sintetic

Pe lângă uniformizarea dispozițiilor legale în materie de protecția datelor cu caracter personal la nivelul întregii Uniuni și extinderea domeniului de aplicare teritorial, GDPR modifică datele problemei, cel puțin cu privire la următoarele aspecte:

  • Consimțământul. Acesta va putea fi folosit ca temei valid al prelucrării doar cu îndeplinirea cumulativă a condițiilor prevăzute de GDPR. Acesta trebuie să fie liber, acordat pentru scopuri specifice, informat și neechivoc.

         Consimțământul implicit nu mai îndeplinește condițiile de validitate din             perspectiva GDPR.

  • Transparența și responsabilizarea. În scopul asigurării unui nivel de protecție optim a datelor cu caracter personal, operatorii și persoanele împuternicite trebuie să întreprindă măsuri adecvate în vederea demonstrării conformării în orice moment. Transparența presupune ca în relația cu persoanele fizice, operatorii să furnizeze informații clare cu privire la prelucrările care vor fi efectuate asupra datelor colectate, fie prin modificarea condițiilor generale de vânzări (în ceea ce privește vânzarea pe internet) fie prin modificarea contractelor.

  • Dreptul la portabilitatea datelor. Această prevedere oferă persoanelor vizate dreptul de a solicita și obține datele lor cu caracter personal pe care le prelucrează un operator în scopul de a le transmite către un alt operator (pentru a beneficia de diferite/alte servicii).

  • Nivelul amenzilor. Dacă în temeiul Legii nr. 677/2001 sancțiunile se situau între 500 și 50.000 de RON, în temeiul GDPR amenzile pot atinge un nivel maxim de 10 milioane de Euro sau 2 % din cifra de afaceri și 20 de milioane de Euro sau 4 % din cifra de afaceri, luând în calcul valoarea cea mai mare dintre acestea.

 

UPDATE
 
Consimțământ

În temeiul GDPR, consimțământul reprezintă un temei valid al prelucrării doar dacă sunt îndeplinite cumulativ următoarele condiții: să fie acordat în mod liber, să fie informat, să privească un scop specific, să fie exprimat printr-o declarație sau printr-o acțiune fără echivoc.

Consimțământul este liber dacă persoana vizată dispune în mod real de libertatea de alegere și de control asupra prelucrării datelor sale. Această condiție este strâns legată de posibilitatea retragerii consimțământului, persoana vizată având dreptul de a-și retrage consimțământul în orice moment, fără să justifice în vreun fel acțiunea sa. GDPR nu stabilește o ierarhie a temeiurilor în baza cărora operatorii pot desfășura activități de prelucrare a datelor cu caracter personal dar, din punct de vedere practic, consimțământul reprezintă cel mai volatil temei. În momentul în care persoana vizată decide să-și retragă consimțământul cu privire la anumite scopuri sau cu privire la toate scopurile prelucrării, operatorul are obligația să oprească prelucrarea, continuarea acesteia în lipsa un temei fiind considerată ilegală.

Consimțământul este informat dacă operatorul aduce la cunoștința persoanei vizate, înainte de a începe prelucrarea, scopurile, temeiul, drepturile și perioada de stocare a datelor.

Consimțământul este specific doar în măsura în care persoana vizată este conștientă de scopul/scopurile în care îi vor fi prelucrate datele. GDPR nu mai permite stabilirea de scopuri largi, evazive, astfel încât sub dispozițiile acestuia, persoana vizată trebuie să dețină controlul asupra prelucrărilor efectuate cu datele sale cu caracter personal.

Consimțământul este exprimat printr-o declarație sau printr-o acțiune fără echivoc în măsura în care persoana vizată se manifestă activ cu privire la prelucrare, fiind vorba de o acțiune a acesteia. GDPR nu mai permite consimțământul implicit, acesta nefiind un temei valid al prelucrării. O declarație făcută în scris, inclusiv în format electronic sau bifarea unei căsuțe reprezintă acțiuni care sunt de natură să îndeplinească această condiție.

 
Drepturile persoanelor vizate

În raport cu operațiunile de prelucrare desfășurate de un operator, persoana vizată are următoarele drepturi:

  • Dreptul de acces - prin intermediul căruia persoana vizată obține din partea operatorului o confirmare a faptului că datele sale personale sunt sau nu prelucrate;

  • Dreptul la rectificare - acesta presupune posibilitatea de a solicita operatorului să rectifice datele inexacte care privesc persoana vizată;

  • Dreptul de a fi uitat - persoana vizată poate obține ștergerea datelor sale de către operator, în anumite condiții prevăzute în Regulament;

  • Dreptul la restricționarea prelucrării - apare în situația unei prelucrări inexacte, ilegale sau a exercitării dreptului la opoziție de către persoana vizată;

  • Dreptul la portabilitatea datelor - dreptul de a primi datele cu caracter personal care o privesc și pe care le-a furnizat operatorului într-un format structurat, utilizat în mod curent și care poate fi citit automat și care include și dreptul de a transmite aceste date altui operator;

  • Dreptul la opoziție – presupune inclusiv dreptul de a se opune creării de profiluri;

  • Dreptul la informare – presupune informarea de o manieră concisă, transparentă și ușor accesibilă a persoanelor vizate cu privire la datele prelucrate.

 

Operatorul trebuie să se asigure că drepturile menționate sunt respectate în cadrul tuturor prelucrărilor efectuate. Respectarea acestor drepturi pune operatorul la adăpost de sancțiuni care pot ajunge până la 4% din cifra de afaceri mondială sau 20 de milioane de Euro.

 
Date speciale

GDPR enumeră la art. 9 alin. (1) categoriile de date cu caracter special: date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filosofice sau apartenența la sindicate și prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viața sexuală sau orientarea sexuală ale unei persoane fizice. Ca regulă generală, prelucrarea acestor categorii de date este interzisă. Cu toate acestea, alin. (2) prevede situațiile în care aceste date pot fi prelucrate: existența consimțământului persoanei vizate, obligații ale operatorului în domeniul ocupării forței de muncă și al securității sociale și protecției sociale, protejarea intereselor vitale ale persoanei vizate sau ale unei alte persoane fizice, datele au fost făcute publice în mod manifest de către persoana vizată, scopuri legate de medicina preventivă sau a muncii, etc.

 
Cum demonstrezi conformarea cu GDPR?

Conformarea cu dispozițiile GDPR presupune ca orice operator să poată face dovada, începând cu 25 mai 2018, că a luat toate măsurile necesare în vederea respectării principiilor GDPR în cadrul prelucrărilor pe care le desfășoară.

Asigurați-vă că prelucrările pe care le efectuați respectă următoarele principii:

  1. Au un scop bine determinat. Stabiliți scopul înainte de începerea unei prelucrări și aduceți-l la cunoștința persoanelor vizate. Scopul trebuie să fie determinat, legitim și explicit și trebuie să fie compatibil cu activitatea întreprinderii. De bună regulă, scopul trebuie să limiteze modul în care operatorul prelucrează datele cu caracter personal.

  2. Sunt utile și proporționale în raport cu scopul prelucrării. Atunci când decideți să efectuați o prelucrare aveți în vedere minimizarea datelor prelucrate, astfel încât să prelucrați doar ceea ce este strict necesar în vederea atingerii scopului stabilit.

  3. Sunt limitate în timp, în sensul că operatorul are obligația de a se asigura că datele cu caracter personal nu sunt prelucrate (păstrate) pe perioade nedeterminate. Acest principiu trebuie să aibă în vedere și obligațiile legale stabilite în sarcina operatorilor de a păstra diferite date pentru anumite intervale de timp.

  4. Respectă drepturile persoanelor vizate prin implementarea de proceduri de răspuns la cererile acestora. Operatorul nu are obligația de a da curs cererilor excesive sau nejustificate, dar sarcina probei caracterului excesiv sau nejustificat îi revine acestuia. Pe cale de consecință, atunci când decideți să nu dați curs cererilor trebuie să documentați un răspuns care să poată să vă susțină poziția în fața Autorității de supraveghere în cazul unei plângeri.

  5. Dispun de măsuri de securitate corespunzătoare stadiului actual al tehnologiei. Dacă prelucrați date cu caracter personal trebuie să vă asigurați că acestea sunt protejate față de accesul neautorizat, alterare, pierdere sau alt tip de intervenție asupra acestora, de natură să compromită securitatea lor.