GDPR SCURT GHID PENTRU IMPLEMENTARE
AV. RUXANDRA SAVA
CE ESTE GDPR? GDPR = Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulaţie a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor) GDPR a fost adoptat la data de 27 aprilie 2016, a intrat în vigoare pe 24 mai 2016 și se va aplica direct începând cu 25 mai 2018.
S-a acordat un termen de 2 ani pentru ca entitățile să aibă timp să se alinieze reglementărilor.
GDPR se va aplica direct în Romania incepand cu 25 mai 2018
DEFINITII date cu caracter personal = orice informatii cu privire la o persoana fizica identificata sau identificabila
operator = entitatea care stabileste scopul si mijloacele prelucrarii datelor
împuternicit = entitatea care prelucrează datele în numele operatorului
persoana vizata = orice persoană fizică
prelucrare = orice operatiune asupra datelor personale (cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, consultarea etc)
CE SUNT DATELE CU CARACTER PERSONAL? Exemple:
nume, prenume, adresa, CNP, serie si numar CI
date biometrice
imagine
telefon
e-mail
adresa IP
orice alte informatii cu privire la o persoana fizica identificata sau identificabila
venit
date medicale
ORICE informație. Domeniul este atât de vast încât nu va exista niciodată vreo lista exhaustivă a datelor cu caracter personal.
Datele trebuie să se refere la persoanele fizice în viață. Regulamentul nu se aplică și datelor privitoare la persoanele decedate.
Ce se intampla dacă avem date care nu se refera la o persoana fizica deja identificată? Sunt ele date personale?
Pot fi. Daca exista mijloace care pot conduce catre identificarea persoanei. Aceste mijloace trebuie sa tina cont atat de tehnologia actuala, cât și de cea care va fi (în mod rezonabil) dezvoltată în viitor.
CE SUNT DATELE CU CARACTER PERSONAL SPECIALE?
originea rasiala sau etnica date genetice, biometrice pentru identificarea unică a unei persoane fizice
datele medicale
datele cu privire la viata sexuala date privitoare la fapte penale sau contraventii convingerile politice, religioase, filozofice
Datele speciale pot fi prelucrate doar în conditii foarte stricte
OPERATOR SAU IMPUTERNICIT?
operator
imputernicit NU este un raport de munca
stabileste scopul si mijloacele prelucrarii
relatie contractuala externalizata (exemple: agentii de marketing, contabili, avocati, furnizori de servicii IT, furnizori de servicii de monitorizare video )
e obligat sa contracteze doar cu imputernicitii care au garantii de confidentialitate si securitate
are majoritatea obligatiilor impuse de Regulament
Pentru incalcarea obligatiilor, imputernicitul poate fi amendat de
are acces la datele personale ale operatorului, dar le prelucreaza doar in numele si conform instructiunilor operatorului
este subordonat operatorului si are obligatia de a nu se abate de la instructiuni
are obligatii precum: a se asigura de securitate, a nu contracta cu un alt subimputernicit fara acordul operatorului, a raporta un incident de securitate
PRINCIPIILE PRELUCRĂRII
Legalitate, echitate și transparență Datele sunt prelucrate în mod legal, echitabil și transparent faţă de persoana vizată
Limitare la scop datele sunt colectate în scopuri determinate, explicite și legitime și nu sunt prelucrate ulterior într-un mod incompatibil cu aceste scopuri
reducerea la minimum a datelor datele sunt adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate
exactitate datele sunt exacte și, în cazul în care este necesar, sunt actualizate
limitări legate de stocare datele nu trebuie păstrate mai mult decât e necesar
securitate si confidentialitate datele sunt prelucrate întrun mod care asigură securitatea adecvată
Cele sase principii de mai sus trebuie respectate simultan! Nerespectarea lor poate conduce la amenzi de până la 20.000.000 euro sau 4% din cifra de afaceri.
TEMEIURILE PRELUCRĂRII Prelucrarea este legală doar dacă este necesară pentru:
încheierea sau executarea unui contract
persoana vizata si-a dat consimtamantul
îndeplinirea unei obligații legale
atingerea intereselor legitime urmărite de operator sau de un terţ
îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorităţii publice cu care este învestit operatorul pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice
Trebuie sa existe ce putin un temei de mai sus astfel incat prelucrarea sa fie legală!
Spre deosebire de reglementarea anterioara, unde consimtamantul era regula, GDPR aduce toate temeiurile pe pozitie de egalitate. Nu are niciun rost sa obtii consimtamantul persoanei atata timp cat prelucrarea ta are alt temei, ca executare unui contract, indeplinirea unei obligatii legale sau chiar un interes legitim.
Dar dacă ești obligat să obții consimțământul... Consimtământul trebuie să fie:
dat in mod liber - alegere reala
specific, pentru fiecare scop in parte informat asupra tuturor detaliilor prelucrării
lipsit de ambiguitate
Operatorul trebuie sa poata face dovada ca a obtinut un consimtamant valabil
In situatia unui dezechilibru de putere, de exemplu angajat-angajator, consimtamantul nu este valabil decat in mod exceptional
Inainte de obtinerea consimtamantului, persoanei trebuie sa i se furnizeze, intr-un limbaj simplu si clar: identitatea operatorului, scopurile prelucrarii, tipurile de date colectate, existenta dreptului de retragere si, daca e cazul, informatii despre profilare si decizii automate
Retragerea consimtamantului poate fi facuta oricand si la fel de simplu ca acordarea lui
Tăcerea, inacțiunea sau căsuțele pre-bifate nu valoreaza consimtamant
Pentru datele sensibile, consimtamantul trebuie sa fie explicit (declaratie scrisa, semnatura electronica, verificare in doi factori prin e-mail/ sms etc)
Pentru copiii sub 16 ani, consimtamantul trebuie dat de reprezentantul legal (de obicei, parintele)
În unele situații consimțământul este obligatoriu
marketing prin mijloace electronice
date sensibile
cookies
decizii automate
Daca se doreste recurgerea la interesul legitim pentru prelucrare, trebuie ca interesul sa existe si sa prevaleze asupra drepturilor persoanei vizate
INFORMAREA PERSOANEI VIZATE Indiferent de temeiul prelucrarii, persoana vizata trebuie sa fie informata asupra:
identitatea si datele de contact ale operatorului si, daca e cazul, ale responsabilulul cu protectia datelor obligatia de furnizare a datelor + consecintele nerespectarii dreptul de depune o plangere in fata Autoritatii dreptul de a se adresa justitiei daca se recurge la profilare sau decizii automate scopurile pentru care se prelucreaza datele destinatarii sau categoriile de destinatari daca se transfera date catre state non- UE mijloacele de protectie perioada de stocare sau criteriile utilizate pentru determinarea perioadei
Ce drepturi are persoana vizată?
dreptul la informare persoana vizata are dreptul de a fi informata asupra tuturor aspectelor enumerate anterior
dreptul de acces persoana vizata are dreptul de a obține din partea operatorului o confirmare că se prelucrează sau nu date cu caracter personal care o privesc și, în caz afirmativ, are dreptul de acces la datele respective
Ce drepturi are persoana vizată?
dreptul la rectificare Persoana vizata are dreptul de a obține de la operator, fără întârzieri nejustificate, rectificarea datelor cu caracter personal inexacte care o privesc. Ținându-se seama de scopurile în care au fost prelucrate datele, are dreptul de a obține completarea datelor cu caracter personal care sunt incomplete, inclusiv prin furnizarea unei declarații suplimentare.
dreptul la stergerea datelor În situațiile în care (1) datele nu mai sunt necesare pentru îndeplinirea scopurilor, (2) s-a retras consimțământul și nu există un alt temei juridic pentru prelucrare, (3) persoana se opune prelucrării și nu există motive legitime care să prevaleze în ceea ce privește prelucrarea sau (4) datele cu caracter personal au fost prelucrate ilegal, persoana are dreptul de a obține ștergerea datelor care o privesc, fără întârzieri nejustificate.
Ce drepturi are persoana vizată? dreptul la restrictionarea prelucrarii Persoana vizată are dreptul la restrictionarea prelucrarii in urmatoarele situatii: (a) contestă exactitatea datelor, pentru o perioadă care permite operatorului sa verifice exactitatea datelor; (b) prelucrarea este ilegală, iar persoana se opune ștergerii datelor cu caracter personal, solicitând în schimb restricționarea utilizării lor; (c) nu mai este nevoie de datele cu caracter personal în scopul prelucrării, dar persoana le solicita pentru constatarea, exercitarea sau apărarea unui drept în instanță; (d) persoana s-a opus prelucrării în conformitate cu articolul 21 alineatul (1) din GDPR, pentru intervalul de timp în care se verifică dacă interesele legitime ale operatorului prevalează asupra drepturilor persoanei.
Ce drepturi are persoana vizată?
dreptul la opozitie Persoana vizată are dreptul de a se opune, în orice moment, la prelucrarea datelor cu caracter personal. Operatorul va da curs cererii, cu exceptia cazului in care prevaleaza interesele legitime ale sale sau ca scopul este constatarea, execitarea sau apararea unui drept in instanta. Persoana vizata are dreptul de a se opune in orice moment prelucrarii datelor in scop de marketing direct.
dreptul de a nu fi supusa unei decizii automate cu efect semnificativ
Nu are acest drept în cazul în care decizia: (a) este necesară pentru încheierea sau executarea unui contract între persoana vizată și un operator de date; (b) este autorizată prin dreptul Uniunii sau dreptul intern care se aplică operatorului și care prevede, de asemenea, măsuri corespunzătoare pentru protejarea drepturilor, libertăților și intereselor legitime ale persoanei vizate; sau (c) are la bază consimțământul explicit al persoanei vizate
dreptul la portabiliatea datelor
Persoana vizata are dreptul de a primi datele cu caracter personal care o privesc și pe care le-a furnizat într-un format structurat, utilizat în mod curent și care poate fi citit automat și are dreptul de a transmite aceste date altui operator, fără obstacole din partea operatorului, în cazul în care sunt indeplinite cumulativ urmatoarele conditii: (a) prelucrarea se bazează pe consimțământ sau pe un contract și (b) prelucrarea este efectuată prin mijloace automate.
dreptul de a-si retrage consimtamantul acordat in orice moment si in mod gratuit
Drepturile nu sunt absolute și exista exceptii.
In situatia unei cereri din partea persoanei vizate, operatorul este obligat sa raspunda fara o intarziere nejustificata si in cel mult o luna. In situatia unei cereri complexe, perioada de raspuns poate fi prelungita pentru cel mult o luna.
Nerespectarea drepturilor persoanei vizate poate atrage amenzi de până la 20.000.000 sau 4% din cifra de afaceri, oricare din ele este mai mare.
Persoana vizată poate depune plangere la Autoritate se poate adresa justitiei pentru despagubiri (daune materiale și/sau morale)
RESPONSABILITATEA OPERATORULUI
Stabilirea politicilor tehnice și organizationale care sa asigure respectarea GDPR
Respectarea drepturilor persoanei vizate
Informarea adecvată a persoanelor vizate prin note de informare/politici de confidențialitate în mod fizic sau pe site
Securitatea și confidențialitatea datelor (criptare, anonimizare, pseudonimizare) Alegerea cu mare grijă a persoanelor împuternicite, întrucât acestea trebuie să prezinte garanții suficiente de conformare cu Regulamentul
RESPONSABILITATEA OPERATORULUI
Managementul adecvat al incidentelor de securitate
Cooperarea cu autoritatea de supraveghere
In unele cazuri, pastrarea evidentei activitatilor de prelucrare In unele cazuri, intocmirea unor studii de impact (DPIA)
In unele cazuri, numirea unui responsabil cu protectia datelor (intern extern) Respectarea tuturor principiilor prelucrării de la art. 5 Pentru nerespectarea punctelor de mai sus, operatorul poate fi sanctionat cu amenda de pana la 20.000.000 euro sau 4% din cifra de afaceri, pentru fiecare abatere
CAND ESTE NECESARA PASTRAREA EVIDENTEI ACTIVITATILOR DE PRELUCRARE?
cand firma are peste 250 de angajati
prelucrarea nu este ocazionala
prelucrarea implica un risc pentru persoana vizata
se prelucreaza categorii speciale de date
CE TREBUIE SA CUPRINDA EVIDENTA PASTRATA DE OPERATOR? (a) numele și datele de contact ale operatorului și, după caz, ale operatorului asociat, ale reprezentantului operatorului și ale responsabilului cu protecția datelor; (b) scopurile prelucrării; (c) o descriere a categoriilor de persoane vizate și a categoriilor de date cu caracter personal; (d) categoriile de destinatari cărora le-au fost sau le vor fi divulgate datele cu caracter personal, inclusiv destinatarii din țări terțe sau organizații internaționale; (e) dacă este cazul, transferurile de date cu caracter personal către o țară terță sau o organizație internațională, inclusiv identificarea țării terțe sau a organizației internaționale respective, documentația care dovedește existența unor garanții adecvate; (f) acolo unde este posibil, termenele-limită preconizate pentru ștergerea diferitelor categorii de date; (g) acolo unde este posibil, o descriere generală a măsurilor tehnice și organizatorice de securitate
Si persoana imputernicita are, in unele cazuri, obligatia de pastrare a evidentei prelucrarilor
CAND ESTE NECESARA REALIZAREA UNUI STUDIU DE IMPACT?
“în cazul în care un tip de prelucrare, în special cel bazat pe utilizarea noilor tehnologii, este susceptibil să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice”
Există șanse mari ca Autoritatea de supraveghere să întocmească o listă care cuprinde activitățile de prelucrare pentru care este necesar realizarea unui studiu de impact.
??!
Evaluarea impactului este necesara mai ales in urmatoarele situatii: (a) evaluări sistematice și cuprinzătoare a aspectelor personale referitoare la persoane fizice pentru a se lua decizii automate cu impact semnificativ (b) prelucrării pe scară largă a unor categorii speciale de date (de exemplu, o aplicație de sanătate) sau a unor date cu caracter personal privind condamnări penale și infracţiuni, menţionată la articolul; sau (c) unei monitorizări sistematice pe scară largă a unei zone accesibile publicului.
Evaluarea impactului trebuie sa se realizeze inaintea prelucrării. Dacă în urma evaluării, rezultă un risc ridicat, se va consulta Autoritatea de Supraveghere
CAND ESTE NECESAR RESPONSABILUL CU PROTECTIA DATELOR? Când prelucrarea este efectuată de o autoritate publică sau un organism public, cu excepția instanțelor care acționează în exercițiul funcției lor jurisdicționale Dacă activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în operațiuni de prelucrare care necesită o monitorizare periodică și sistematică a persoanelor vizate pe scară largă Dacă activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în prelucrarea pe scară largă a unor categorii speciale de date sau a unor categorii de date cu caracter personal privind condamnări penale și infracțiuni
Responsabilul cu protectia datelor poate fi intern (angajat) sau extern (SRL, PFA, Avocat) și trebuie să aibă cunoștințe de specialitate și experiență în domeniul protecției datelor cu caracter personal
MANAGEMENTUL INCIDENTELOR DE SECURITATE Exemple de incidente de securitate: atacuri cibernetice, pierderea unui dispozitiv (laptop, tableta, telefon) pe care sunt stocate date cu caracter personal, sustragerea de catre un angajat documente care conțin date personale etc.
In situatia unui incident de securitate, operatorul este obligat să notifice de urgență Autoritatea de Supraveghere, de regulă, în cel mult 72 ore. Prin notificare trebuie descris în amănunt incidentul, consecințele probabile și măsurile luate pentru remedierea problemei. Dacă incidentul poate genera un risc ridicat pentru persoana vizată, operatorul este obligat să o informeze fără întârziere.
Prezentul Ghid este pus în mod gratuit la dispoziția publicului din România și poate fi descărcat de pe site-ul www.legalup.ro. Materialul este protejat de drepturi de autor în temeiul Legii nr. 8/1996 și orice copiere, distribuire, reproducere, republicare reprezintă contravenție. Ne rezervăm dreptul de a solicita despagubiri pentru prejudiciile cauzate. Prezentul Ghid este redactat în scop de informare de av. Ruxandra Sava și nu reprezintă o consultație juridică în sensul Legii 51/1995 pentru organizarea și exercitarea profesiei de avocat. Este de la sine înțeles că ghidul nu acoperă în mod exhaustiv situațiile care se pot ivi în practică. De aceea recomandăm apelarea la consultanță specializată în vederea implementării.
Te putem ajuta să te aliniezi la GDPR! Ruxandra Sava Avocat și Specialist Protecția Datelor
[email protected] https://legalup.ro 0745.073.156
