Ghidul complet al GDPR. Cum va schimba Regulamentul General privind Protecția Datelor modul în care datele personale sunt folosite de companiile europene

Corespondență din Bruxelles. Violeta Dan

Începând 25 mai 2018 va intra în vigoare Regulamentul General privind Protecția Datelor (GDPR), regulament creat cu scopul de a reglementa modul în care datele personale ale cetățenilor UE sunt protejate de companii. Regulamentul este într-adevăr unul foarte complex, dar ajută la un mai bun control al personelor fizice asupra datelor pe care companiile le au despre ele.

Calea Europeană răspunde mai multor întrebări legate de GDPR și  arată cum legislația va afecta companiile și persoanele ale căror date sunt folosite de organizații care prelucrează date cu caracter personal. Actuala legislație în domeniu este Directiva 95/46/EC Privind Protecţia Datelor.

Cui i se aplică?

Una din trăsăturile principale ale Regulamentului este că va avea un impact asupra fiecărei entități care utilizează date personale ale cetățenilor europeni, fie că operează pe teritoriul UE sau nu. Pe scurt, oriunde te-ai afla în lume, dacă vinzi bunuri cetățenilor UE sau le procesezi datele personale, trebuie să te conformezi GDPR. Asta înseamnă că Regulamentul va afecta mult mai multe organizații ca Directiva. Este un aspect pozitiv pentru cetățenii europeni care sunt acum mai protejați și mai puțin pozitiv pentru organizațiile din afara Uniunii care vor fi nevoiți să se conformeze unui nou set de reguli. Se răspunde astfel și la întrebarea pe care mulți cetățeni din Marea Britanie o pun: „cum îi va afecta Brexitul pe ei și afacerea lor?” Pe scurt, răspunsul este că depinde de persoanele cu care lucrează. Este puțin probabil, cel puțin pentru început, ca organizațiile din Marea Britanie să taie complet legăturile cu persoanele din UE. Prin urmare, organizațiile are trebui să se conformeze GDPR, pentru a fi siguri că vor evita amenzile.

Noțiunea de operatori de date și persoana împuternicită de operator

Alte schimbări pe care ar trebui să le aibă în vedere organizațiile sunt cele legate de operatori, respectiv persoanele împuternicite de aceștia. Operatorul este entitatea care determină scopul, condițiile și modalitățile de procesare a datelor; persoana împuternicită de operator este o entitate care procesează datele personale în numele controlorului. Sub Directivă, doar operatorii erau considerați responsabili pentru protecția datelor, nu și persoanele împuternicite de aceștia. Acum, și persoanele împuternicite de operatori vor avea obligația de a se conforma cu cerințele pentru protecția datelor. Atât operatorul cât și persoana împuternicită pot fi persoane fizice, juridice, autoritate publică, o agenție sau alt organism.

Nouținea de persoană vizată

O persoană vizată este orice persoană ale cărui date sunt colectate, reținute sau procesate. Datele personale pot fi orice de la nume, adresă, postările pe rețelele sociale și altele. Prin urmare, oricine devine o persoană vizată la un moment dat – fie că aplică pentru un loc de muncă, își folosește cardul de credit sau doar navighează pe internet.

Regulamentul privind protecția datelor personale al UE propune un set de reguli menit să ajute persoanele vizate și să le întărească drepturile împotrive prelucrării abuzive a datelor. În primul rând, pentru ca datele lor personale să fie procesate ei trebuie să-și dea consimțământul. Tema consimțământului este un sensibilă în GDPR. Dacă datele personale nu sunt necesare pentru diverse obligații legale, atunci consimțământul persoanei este necesar pentru prelucrarea acestora.

Un alt drept al persoanelor vizate este cel de a accesa propriile date personale. Persoanele vizate au dreptul de a afla dacă datele lor sunt sau nu procesate și de a primi o copie a acestora într-un format inteligibil. Deciziile automate, crearea profilurilor sunt de asemenea restricționate în GDPR. Drept urmare, o persoană vizată are dreptul de a nu fi evaluată pe baza procesării automate a datelor. Alte drepturi importante sunt dreptul de a restricționa procesarea datelor, dreptul la portabilitatea datelor, dreptul de a fi uitat, dreptul la rectificare și altele. 

Care sunt datele cu caracter personal

Datele cu caracter personal se împart în mai multe categorii:

Date cu caracter personal clasice

Numele

Adresa de acasă

Numărul de telefon

Data nașterii și/sau locul nașterii

Cartea de identitate

Locul de muncă sau școala

Date cu caracter personal digitale

Conturile sau postările de pe rețelele sociale

Adresa de email

Metadatele

Adresa IP (în anumite cazuri)

Date sensibile

O categorie specială de date sunt datele sensibilie care includ acum date genetice și biometrice, care dacă sunt prelucrate duc la identificarea sigură a unei persoane. Pe de altă parte, datele care sunt legate de infracțiuni sau condamnările sunt tratate separat, dreptul penal neintrând sub incidența GDPR. Un alt tip de date ce nu intră sub incidența GDPR sunt datele complet anonimizate, din moment ce nicio persoană nu poate fi identificată pornind de la ele.

Drepturi individuale în DGPR

Toți cetățenii europeni au drepturi, iar cele care se află sub incidența GDPR sunt următoarele:

-Dreptul de a deveni o persoană vizată

-Dreptul de a fi informat

-Dreptul de a restricționa prelucrarea datelor

-Portabilitatea datelor

-Dreptul de a fi uitat 

-Drepturi legate de procesul decizional automatizat și crearea de profiluri

Obținerea consimțământului

Obținerea consimțământului pentru prelucrarea datelor cu caracter personal nu este o cerință nouă. Cu toate aceastea, GDPR îngreunează obținerea acestuia de către operatorii de date și retragerea pentru persoanele vizate. Regulamentul spune că orice consimțămând trebuie dat în mod liber, informat și lipsit de ambiguitate. Nu va fi considerat valid dacă este „la pachet” cu alte chestiuni, cum ar fi termenii generali, el trebuie să poate fi distins de toate celelalte chestiuni. Va fi nevoie de consimțământ parental pentru procesarea datelor copiilor – în momentul de față limita de vârstă este de 16 ani, dar există discuții pentru scăderea acesteia, însă nu mai jos de 13 ani.

Persoanele vizate au dreptul de a refuza să-și dea consimțământul și că îl pot retrage chiar și după ce l-au dat. Prelucrarea datelor pentru probleme de natură legală, pentru investigații penale sau pentru probleme de sănătate sunt cazuri speciale când consimțământul fie nu este necesar sau nu poate fi revocat.

Amenzi pentru încălcarea regulamentului

Operatorii de date sau persoanele împuternicite de aceştia pot să primească amenzi administrative pentru nonconformitate din partea autorităţilor de supraveghere. Aceste amenzi pot fi aplicate împreună cu, sau în locul altor măsuri impuse de autorităţi.

Persoanele împuternicite de către operatorii de date sunt răspunzători doar în situaţia în care nu sunt conformi cu obligaţiile GDPR specifice acestora, sau când au încălcat instrucţiunile operatorului de date.

Atunci când este stabilită nonconformitatea, este rândul operatorului şi a persoanei împuternicite de acesta să dovedească nevinovăţia pentru daună. În situaţia în care sunt incluşi în aceeaşi acţiune juridică, datoria poate fi împărţită între ei în funcţie de participarea la dăuna produsă. Această împărţire se poate face atât timp cât persoană vizată este compensată pe deplin. Dacă una din părţi (operator sau împuternicit al acestuia) plăteşte întreaga compensaţie, acesta este îndreptăţit să primească înapoi partea pentru care nu este responsabil. 

Abordarea aleasă cu privire la amenzi este una pe două niveluri, în funcţie de gravitatea, durata  şi natura încălcării.

NIVELUL 1 presupune amenzi de 2% din cifra de afaceri sau 10 milioane de euro, alegându-se care este mai mare.  Acesta se aplică în cazul în care compania nu poate dovedi un grad de securitate adecvat, nu a desemnat un responsabil cu protecția datelor sau nu a stabilit un acord de prelucrare a datelor.

NIVELUL 2 presupune amenzi de 4% din cifra globală de afaceri sau 20 de milioane de euro, alegându-se care este mai mare. El se aplică atunci când drepturile persoanelor vizate au fost încălcate, pentru transferuri internaționale neconforme sau pentru încălcarea principiilor de prelucrare.

În ceea ce privește autorităţile publice, statele membre sunt cele care vor determina gradul în care acestea trebuie supuse amenzilor administrative.

Share daca ti-a placut articolul:

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.