Cele mai importante prevederi GDPR

  • 0

Cele mai importante prevederi GDPR

General Data Protection Regulation (GDPR)

Din 25 Mai 2018 in Romania si in restul Uniunii Europene se va aplica REGULAMENTUL (UE) 2016/679 AL PARLAMENTULUI EUROPEAN ȘI AL CONSILIULUI din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor). In continuare ne vom referi la Regulament ca GDPR.

Consimtamantul (Consent): Regulile priving consimtamantul se vor schimba acesta va fi obligatoriu explicit si specific pentru operatiunea de procesare – consumatorul trebuie sa actioneze pentru consimtamant, opusul – si in acelasi timp limitat/proportional cu scopul procesarii (nu poti cere consimtamantul pentru orice fel de procesare, acesta trebuie sa fie clar si limitat/proportional cu tipul de date/tipul de procesare). In principiu controlorii de date nu pot colecta si procesa mai multe date decat pentru ce este nevoie in scopul declarat si legal al procesarii.
Validitatea consimtamantului: Consimtamantul poate fi retras, trebuie sa fie liber, valid, informat si pro-activ. GDPR aduce un set de conditii pentru validitatea consimtamantului ce includ si lipsa de echilibru in pozitii.
Consimtamantul pentru copii: Pt persoanele sub 16 ani (dar nu sub 13 ani – decizie a statelor member) nu poate fi obtinut consimtamantul direct.
Profiling: In cazul in care consumatorul este supus unor decizii automate fara efect legal – sau fara un efect similar al efectelor legale (in cazul angajarii, asigurari, etc.) consumatorul trebuie sa se poata opune acestor decizii si sa obtina interventia unui operator uman. In cazul in care efectele procesarii sunt efecte legale sau semnificative, procesarea pt profiling trebuie sa se bazeze pe consimtamantul consumatorului.
Direct Marketing: GDPR permite procesarea pentru direct marketing atat timp cat consumatorul beneficiaza de un system opt-out.
Documentare: GDPR cere documentarea operatiunilor de procesare.
Responsabilitati: In cazul in care controlorul lucreaza cu procesatori, controlorul are responsabilitatea sa se asigure ca procesatorii au mijloacele necesare pentru a respecta prevederile legale.
Responsabil pt protectia datelor: In cazul in care operatiunile de procesare includ procesarea de date sensibile sau in cazul care procesarea implica monitorizarea unui numar mare de subiecti, companiile sunt obligate sa numeasca un responsabil pentru protectia datelor.
Legitimate interest: Una din cele 6 baze legale pentru procesarea datelor este interesul legitim. Acesta poate fi folosit pentru procesare si de catre terti.
Risky processing: In principiu este interzisa prelucrarea de date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate și prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viața sexuală sau orientarea sexuală ale unei persoane fizice. GDPR prevede un numar de scenarii unde procesarea de astfel de date este permisa, cu un numar de precautii. In unele cazuri controlorul de date trebuie sa consulte chiar si publicul cu privire la efectul operatiunilor inainte de a procesa datele.
Codes of conduct: GDPR permite ca site-urile sa foloseasca metode alternative de informare cum ar fi icons. In acelasi timp GDPR se bazeaza pe coduri de bune practici care pot fi dezvoltate de asociatii cum ar fi ARMO.
Breach notification: Operatorii sunt obligati sa tina un jurnal al incidentelor under datele (siguranta si integritatea) ar fi putut fi compromise. In unele cazuri exista o obligatie de a raporta aceste incidente autoritatilor si consumatorilor in 72 de ore.


  • 0

Ce presupune alinierea la GDPR?

Noul regulament european privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date („GDPR”) va intra în vigoare la data de 25 mai 2018.
Modificările aduse de GDPR vizează în principal un control sporit al prelucrărilor datelor cu caracter personal, control exercitat atât de persoanelor fizice vizate cât și de autoritățile de protecția datelor.
Dar cum ne aliniem noilor prevederi și care sunt pașii pe care societățile trebuie să îi implementeze pentru a asigura conformitatea cu noua reglementare?
ACȚIUNI PENTRU ALINIEREA LA GDPR
Toate societățile procesează datele personale în activitatea lor, fie că aceste date sunt ale, angajaților, clienților, furnizorilor sau oricăror parteneri contractuali.
GDPR aduce noi obligații însă și sancțiuni mult mai mari față de prevederile anterioare.
Pentru alinierea la noile prevederi in materia de protecția datelor cu caracter personale, am preluat câteva acțiuni care necesită o atentă implementare.
1. Inventarierea datelor cu caracter personal
2. Stabilirea scopurilor în care prelucrați datele cu caracter personal
3. Stabilirea temeiului legal pentru fiecare dintre scopurile de prelucrare
4. Obținerea consimțământului
5. Respectarea drepturilor persoanelor vizate
6. Revizuirea contractelor cu împuterniciții
7. Evidențele activităților de prelucrare
8. Securitatea datelor cu caracter personal
9. Stabilirea procedurii de notificare a autorității de supraveghere în cazul încălcării securității datelor cu caracter personal
10. Evaluarea impactului asupra protecției datelor cu caracter personal
11. Desemnarea responsabilului cu protecția datelor
În cazul în care activitățile principale ale societății constă în operațiuni de prelucrare care, prin natura, domeniul de aplicare și/sau scopurile lor, necesită o monitorizare periodică și sistematică a persoanelor vizate pe scară largă, sau activitățile principale constau în prelucrarea pe scară largă a unor categorii speciale de date, aveți obligația de a desemna un responsabil cu protecția datelor.
Responsabilul cu protecția datelor trebuie implicat în toate aspectele ce vizează protecția datelor cu caracter personal.
NOI SANCȚIUNI
– Amenzi de până la 10.000.000 EUR sau până la 2% din cifra mondială totală anuală corespunzătoare anului financiar anterior, pentru încălcări privind obligațiile operatorului și împuternicitului;
– Amenzi de până la 20.000.000 EUR sau până la 4% din cifra mondială totală anuală corespunzătoare anului financiar anterior, pentru încălcarea principiilor de bază privind prelucrarea datelor, inclusiv consimțământul, încălcarea drepturilor persoanelor vizate, transferurilor internaționale de date și nerespectarea măsurilor unei autorități de supraveghere;
Sursa: juridice.ro


  • 0

Ghid despre prelucrarea datelor personale din categoriile speciale

Category : All , GDPR , Legislatie

Discuția despre date personale este strâns legată de tehnologie și știință. Trăim într-un mediu dinamic în care tehnologia oferă din ce în mai multe oportunități, dar prezintă și riscuri. La cât de repede avansează tehnologia și știința, nu poți ști în viitor ce noi moduri de identificare a persoanei vor fi folosite și nici ce tipuri de corelări de date se vor utiliza și care vor putea face o persoană identificabilă. Deja se poate demonstra că adresele IP (adică numărul alocat dispozitivului de pe care te conectezi la Internet) sunt tratate ca date cu caracter personal, așa că poate pe viitor poate se va ajunge la concluzia că și adresele MAC (un fel de CNP al dispozitivului cu care te conectezi la Internet) te pot identifica ca și calculator și deci și ca persoană.

Indiferent dacă vorbim de mediul fizic sau cel online, protecția de care ar trebui să ne bucurăm ar trebui să fie egală. Drepturile fundamentale ar trebui să fie garantate necondiționat, așa că viața privată și protecția datelor personale trebuie asigurate atât offline, cât și online.

1. Ce sunt datele personale?

Definiția datelor personale poate părea complicată – definiția exactă o găsești în Legea 677/2001. Explicat într-un mod mai structurat,  datele personale pot fi orice date:

• ale tale (nume, prenume, CNP, amprentă, ADN)

• despre tine (vârstă, sex, etnie, rasă, orientare sexuală, politică, religioasă, starea de sănătate)

• în legătură cu tine (adresa de domiciliu, reședința, adresa de e-mail, ocupația, venitul)

Care, singure sau cumulate, te-ar putea identifica ca persoană – adică orice alt tip de date care se pot corela pentru a duce la identificarea ta.

Aceste date sunt personale dacă te pot identifica în mod direct sau indirect, altfel le considerăm date anonime. De exemplu, dacă spun “un bărbat de 48 de ani din Constanța” – acestea sunt date anonime, pentru că este practic imposibil să putem identifica această persoană. Dar dacă zicem “un bărbat de 48 de ani din Constanța care conduce mașina CT-02-HYNNJJJ”, atunci îl vom putea identifica dacă îl vedem pe stradă sau dacă avem acces la datele din registrul poliției de înmatriculare a mașinilor.

Deci definiția datelor personale este foarte largă. Ceea ce este foarte bine pentru că în felul acesta se poate oferi o mai bună protecție. Datele personale sunt un lucru dinamic, tot timpul pot fi noi identificatori care spun ceva despre tine și care te pot identifica.

Nu există o listă completă cu exemple de date personale pentru că orice informații care pot duce la identificarea unei persoane pot fi considerate date personale. De exemplu, pe lângă nume, adresă, contul bancar, amprentă, fotografie, intră și orice date care, deși nu sunt intim legate de tine, pot fi folosite pentru a te repera. Cine ar fi crezut că niște simple cuvinte introduse într-un motor de căutare (cum ar fi Yahoo, Bing, Google) pot duce la identificarea unei persoane? Ei bine, se poate și s-a și întâmplat deja.

2. Care sunt categoriile speciale de date personale?

Categoriile speciale de date personale sunt strict delimitate de lege:

  • rasa
  • etnia
  • orientarea politică
  • religia
  • convingerile filozofice sau de natură similară
  • apartenența sindicală
  • date privind starea de sănătate
  • date despre viața sexuală

În plus sunt considerate date cu un regim special (vezi detalii la punctele 7 și 8):

  • date cu caracter personal având o funcţie de identificare de aplicabilitate generală, cum este codul numeric personal (CNP)
  • date personale referitoare la fapte penale sau contravenții

3. Ce reguli speciale presupune prelucrarea acestor date?

În general, prelucrarea acestor date este interzisă, dar există o serie de excepții.

4. Unde găsești regulile speciale de prelucrare a datelor din categoriile speciale?

Capitolul III din Legea 677/2001.

5. Care sunt situațiile când pot prelucra date cu caracter special?

5.1. când persoana vizată și-a dat acordul expres

Cum este practic exprimat acest acord expres? Consimțământ expres exprimat, înseamnă că persoana a înțeles cum vor fi prelucrate datele din aceste categorii, la cine vor ajunge și pentru ce scop. Dacă nu există transparență cu privire la aceste informații, nici persoana nu își poate da un acord valabil și cuprinzător. “Accept termenii și condițiile” bifând o căsuță, din punctul nostru de vedere, nu înseamnă un acord exprimat expres și în deplinătate de cauză.

În afara mediului online, atunci când găsești scris mic undeva într-un colț ceva de Legea 677/2001, nu este tocmai cea mai bună metodă de a obține consimțămăntul unei persoane pentru prelucrarea datelor. Cine citește un scris cu un font mic și într-un limbaj de lemn?

5.2. când trebuie să respecți obligațiile din dreptul muncii

Ca angajator ai nevoie să respecți obligațiile specifice domeniului dreptului muncii, de exemplu înregistrarea angajatului în sistemul Revisal. Pentru ca obligațiile pentru protecția datelor personale să nu contrazică prevederile din dreptul muncii, este nevoie de această excepție. Cu toate acestea, sfătuim să nu se ceară la angajare mai multe date personale decât este strict necesar (de exemplu, pentru angajarea într-un call center nu ar trebui să ceri detalii despre viața sexuală a angajatului). Mai mult, indiferent de datele pe care le prelucrezi ca angajator, este interzis a da datele pe care le colectezi unei alte companii, instituții, organizații, asociații.

Pot exista cazuri când ai o obligație legală în calitate de operator să transmiți mai departe datele (de exemplu dacă este o obligație legală către ANAF)sau dacă persoana și-a dat acordul expres că poți dezvălui datele.

5.3. în cazul în care este vorba chiar despre protecția unei persoane

În alte cuvinte, dacă nu se realizează prelucrarea, viața, integritatea fizică sau sănătatea unei persoane (ori a persoanei în cauză, ori a altei persoane) ar putea fi afectate sau în pericol. Sau dacă persoana în cauză nu își poate exprima consimțământul – poate fi un motiv de ordin fizic (exemplu din motive medicale) sau juridic (exemplu este o persoană sub 18 ani – 18 ani fiind vârsta legală în România pentru dobândirea capacității depline de exercițiu).

5.4. în cazul fundațiilor și asociațiilor (sau orice altă organizație cu scop nelucrativ și cu specific politic, filozofic, religios ori sindical) atunci când prelucrarea este conformă activităților sale din statut.

De exemplu, un scop legitim este atunci când un ONG pentru promovarea drepturilor sexuale și ale reproducerii reprezintă în instanță o persoană care consideră că i-au fost încălcate drepturile, iar reprezentarea în instanță a persoanelor vulnerabile face parte din activitățile cuprinse în statutul asociației.

Condiția esențială pentru prelucrarea legitimă a datelor speciale este ca persoana vizată să fie membră a acelei organizații sau să aibă relații cu ONG-ul respectiv. În niciun caz datele nu pot fi dezvăluite terților fără consimțământul persoanei.

5.5. când prelucrarea se referă la date făcute publice în mod manifest de către persoana vizată

Un exemplu este atunci când persoana respectivă are un blog public în care face dezvăluiri despre apartenența politică sau despre viața sa sexuală.

5.6. când prelucrarea este necesară pentru îndreptarea unei situații juridice (de exemplu pentru constatarea, exercitarea sau apărarea unui drept în instanță)

5.7. când prelucrarea este necesară în scopuri medicale precum:

  • de medicină preventivă
  • de stabilire a diagnosticelor medicale
  • de administrare a unor îngrijiri sau tratamente medicale pentru persoana vizată
  • de gestionare a serviciilor de sănătate care acționează în interesul persoanei vizate

Condiția esențială este ca prelucrarea datelor să fie efectuate ori sub supravegherea unui cadru medical supus secretului profesional, ori sub supravegherea unei alte persoane supuse unei obligații echivalente în ceea ce privește secretul.

5.8. dacă este vorba de protejarea unui interes public important

Ce înseamnă interes public important și în ce condiții se poate realiza această prelucrare de date speciale? Interesul public nu este clar definit în lege și nici nu este oportun a fi explicat, fiindcă vizează situații foarte particulare care trebuie judecate de la caz la caz, nu după o rețetă generală care poate genera disproporționalități. Condiția și aici este ca prelucrarea să se efectueze cu respectarea tuturor drepturilor persoanei în cauză (adică nu doar drepturile generale, ci trebuie avută în vedere situația specifică a persoanei vizate) și a celorlalte garanții prevăzute de Legea 677/2001.

Chiar dacă pentru toate situațiile de mai sus se pot prelucra date personale din categoriile speciale, asta nu înseamnă că autoritățile publice nu mai au obligația de a respecta și de a ocroti viața intimă, familială și privată. Respectarea dreptului la viață privată este un drept fundamental, prevăzut în Constituție, așadar, felul în care prelucrarea datelor personale din categoriile speciale se efectuează trebuie să respecte întru-totul suita de obligații privind drepturile omului.  În alte cuvinte, autoritățile publice trebuie să acorde o atenție specială prelucrărilor de date personale și să nu acorde excepțiilor o importanță mai mare decât celorlalte obligații legale pe care trebuie să le respecte și au un impact asupra dreptului la viața intimă, familială și privată.

Autoritatea pentru Protecția Datelor (ANSPDCP) are puterea de a interzice prelucrarea de date din categoriile speciale, chiar dacă persoana vizată și-a dat acordul – inclusiv dacă și l-a dat  în scris și în mod neechivoc consimțământul sau dacă nu intră pe una dintre excepțiile explicate la anterioare.

6. Prelucrarea datelor cu caracter personal având funcție de identificare

Ce sunt datele de identificare?

Legea vorbește de date cu funcție de identificare de aplicabilitate generală precum CNP-ul, seria și numărul de buletin sau numărul actului de naștere etc.

Când poți să prelucrezi date de identificare?

Când ai obținut acordul persoanei sau când îți zice legea. Și ANSPDCP mai poate stabili cazuri când se pot prelucra date de identificare. Dar pentru aceste cazuri speciale stabilite de ANSPDCP, o să ceară și măsuri suplimentare pentru protecția și securitatea datelor.

7. Prelucrarea datelor cu caracter personal privind starea de sănătate

Pe lângă situațiile de la punctul 5.7 de mai sus, mai există o serie de situații când se pot prelucra date privind starea de sănătate:

  • când este nevoie pentru protecţia sănătăţii publice
  • dacă este nevoie pentru prevenirea unui pericol, a unei fapte penale (sau a consecințelor unei astfel de fapte)

La fel ca mai sus, prelucrarea datelor medicale se poate face numai de către (sau sub supravegherea) un cadru medical, dacă se respectă secretul profesional. Excepțiile sunt:

  • când persoana şi-a dat în scris şi în mod neechivoc consimţământul și nu a fost niciun moment când și l-a retras
  • când prelucrarea este necesară pentru prevenirea unui pericol, a unei fapte penale (și a efectelor ei)

Cadrele medicale au totuși un statut special, ele putând prelucra date medicale fără vreo altă autorizație atunci când prelucrarea este necesară pentru protejarea vieţii, integrităţii fizice sau sănătăţii persoanei vizate.

Când este nevoie de autorizație de la ANSPDCP?

Când scopurile menţionate se referă la alte persoane sau la public în general şi persoana vizată nu şi-a dat consimţământul în scris şi în mod neechivoc. Autorizația trebuie cerută şi obţinută în prealabil de la autoritatea de supraveghere. Orice prelucrare a datelor cu caracter personal în afara limitelor prevăzute în autorizaţie este interzisă.

Dacă nu este vorba de un caz de urgență, autorizația poate fi acordată numai după ce a fost consultat Colegiul Medicilor din România.

De la cine se pot colecta date privind starea de sănătate?

Datele cu caracter personal privind starea de sănătate pot fi colectate numai de la persoana vizată. Prin excepţie, aceste date pot fi colectate din alte surse numai în măsura în care este necesar pentru a nu compromite scopurile prelucrării, iar persoana vizată nu vrea ori nu le poate furniza.

8. Prelucrarea datelor cu caracter personal referitoare la fapte penale sau contravenții

Ce fel de date penale se pot prelucra?

Date referitoare la săvârşirea de infracţiuni de către persoana vizată ori la condamnări penale, măsuri de siguranţă sau sancţiuni administrative ori contravenţionale.

De către cine se pot prelucra date?

Numaide către sau sub controlul autorităţilor publice, în limitele puterilor ce le sunt conferite prin lege şi în condiţiile stabilite de legile speciale care reglementează aceste materii.

Există situații aparte?

ANSPDCP poate să stabilească situații speciale când și alte categorii de persoane ar putea prelucra date penale. Dar numai cu îndeplinirea unor garanții suplimentare pentru protecția și securitatea datelor și respectarea drepturilor persoanelor vizate.

Se poate ține un registru complet al condamnărilor?

Da, dar numai dacă există controlul unei autorităţi publice – cu atribuții legale și puteri clar stabilite de lege.

Există excepții?

  • dacă prelucrarea datelor se face numai în scopuri jurnalistice, literare sau artistice
  • dacă datele personale au fost făcute publice în mod voit de către persoana vizată
  • dacă datele sunt strâns legate de calitatea de persoană publică a persoanei vizate sau de caracterul public al faptelor în care este implicată

9. Mai multe informații

Pentru mai multe informații, consultă și:


  • 0

Ce este mai exact GDPR si ce schimbari aduce?

Noul regulament denumit General Data Protection Regulation (GDPR) înlocuiește Data Protection Directive 95/46/ec, începând din data de 25 mai 2018. GDPR se aplică în fiecare stat membru și va duce la un grad mai mare de armonizare a protecției datelor între țările din Uniunea Europeană. Deși multe companii au adoptat deja anumite procese și proceduri referitoare la confidențialitate, în concordanță cu Directiva, GDPR conține un număr de protecții noi pentru persoanele vizate din UE și amenință cu aplicarea de amenzi și penalități semnificative pentru controlorii și procesatorii de date, care nu vor respecta cerințele, din momentul în care acestea vor intra în vigoare în primăvara anului 2018. Cu noi obligații referitoare la chestiuni precum consimțământul persoanelor vizate, transformarea datelor în date anonime, notificarea încălcărilor, transferurile de date transfrontaliere, dar și numirea ofițerilor de protecție a datelor, pentru a menționa câteva, GDPR le solicită companiilor care lucrează cu datele cetăţenilor din UE, să întreprindă reforme operaționale majore.

Iată, pe scurt, ce le solicita GDPR organizațiilor care colectează și prelucrează datele cetățenilor, ce drepturi garantează fiecărui individ și ce consecințe vor fi în cazul nerespectării regulamentului care va intra în vigoare în luna mai a anului 2018.

Consumatorii pot face următoarele:

  • Își pot retrage consimțământul pentru prelucrarea datelor
  • Pot solicita o copie a tuturor datelor lor
  • Pot cere mutarea datelor lor la o altă organizație
  • Pot opta pentru ștergerea informațiilor pe care nu le maiconsideră relevante
  • Pot obiecta la procesele de luare a deciziilor automatizate

Autoritățile de reglementare pot face următoarele:

  • Pot solicita înregistrări ale activităților de prelucrare și dovada măsurilor adoptate pentru a se conforma cu GDPR
  • Pot impune interdicții temporare de prelucrare a datelor, pot cere notificări de încălcare a securității datelor, sau pot dispune ștergerea datelor cu caracter personal
  • Suspenda transferurile de date transfrontaliere
  • Pot impune sancțiuni de până la 20 de milioane de euro sau 4% din veniturile anuale, în cazul nerespectării regulamentului

Organizațiile și companiile trebuie să facă următoarele:

  • Trebuie să implementeze “Privacy by Default” și “Privacy byDesign”
  • Trebuie să mențină securitatea corespunzătoare a datelor
  • Trebuie să notifice agențiile de protecție a datelor și consumatorii, în cazul breșelor securitate
  • Trebuie să obțină acordul corespunzător pentru colectarea datelor cu caracter personal și să furnizeze notificări ale activităților de prelucrare a datelor cu caracter personal
  • Trebuie să obțină consimțământul unui părinte pentru colectarea datelor, în cazul copiilor cu vârste sub 16 ani
  • Trebuie să țină evidența tuturor prelucrărilor informațiilor personale realizate
  • Trebuie să desemneze un responsabil cu protecția datelor
  • Trebuie să își asume responsabilitatea pentru activitățile desecuritate și de prelucrare, ale unor terți furnizori
  • Trebuie să realizeze evaluări ale impactului protecției datelor, asupra noilor activități de prelucrare
  • Trebuie să instituie garanții pentru transferurile de date transfrontaliere
  • Trebuie să se consulte cu autoritățile de reglementare, înainte de anumite activități de prelucrare
  • Trebuie să fie în măsură să demonstreze conformitatea, la cerere

GDPR dintr-o privire

  1. CARE ESTE LEGEA CURENTĂ ÎN VIGOARE?
    • Protecţia datelor în Europa se bazează, în momentul acesta, pe Directiva 95/46/EC din 24 octombrie 1995.
  2. CÂND VA INTRA ÎN VIGOARE?
    • GDPR a fost finalizat în primăvara anului 2016 şi v-a intra în vigoare în mai 2018.
  3. ACEASTA ÎNSEAMNĂ CĂ LEGEA CURENTĂ NU VA MAI FI VALIDĂ?
    • Da. Când GDPR va intra în vigoare, va înlocui Directiva curentă EU Data Protection Directive 95/46/EC.
  4. CUI I SE VA APLICA GDPR?
    • Legea se va aplica tuturor datelor cu caracter personal şi se aplică tuturor tipurilor de afaceri şi tuturor sectoarelor.
  5. COMPANIILE VOR FI NEVOITE SĂ SE ÎNREGISTREZE LA AUTORITATEA DE SUPRAVEGHERE SAU ALTE AUTORITĂŢI DE REGLEMENTARE?
    • Nu. Nu va fi nici o cerinţă pentru operatorii de date să se înregistreze la autoritatea de supraveghere.

WP2Social Auto Publish Powered By : XYZScripts.com