NOILE REGLEMENTARI EUROPENE PRIVIND PROTECȚIA DATELOR PERSONALE SI DREPTUL LA PROTECȚIA DATELOR PERSONALE CA DREPT FUNDAMENTAL AUTONOM- ELEMENTE CHEIE ALE NOULUI REGULAMENT EUROPEAN-RGPD(GDPR)-3

PRINCIPII LEGATE DE PRELUCRAREA DATELOR CU CARACTER PERSONAL

In art 5 din Regulament sunt mentionate urmatoarele principii

  • Legalitate, echitate și transparență Datele cu caracter personal sunt prelucrate în mod legal, echitabil și transparent față de persoana vizată
    •  limitări legate de scop adica sunt colectate în scopuri determinate, explicite și legitime și nu sunt prelucrate ulterior într-un mod incompatibil cu aceste scopuri; prelucrarea ulterioară în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice nu este considerată incompatibilă cu scopurile inițiale, în conformitate cu articolul 89 alineatul (1)
    • reducerea la minimum a datelor -date adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate
    •  exactitate-date exacte și, în cazul în care este necesar, să fie actualizate; trebuie să se ia toate măsurile necesare pentru a se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt șterse sau rectificate fără întârziere
    •  limitări legate de stocare- date păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care  nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele; datele cu caracter personal pot fi stocate pe perioade mai lungi în măsura în care acestea vor fi prelucrate exclusiv în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice, în conformitate cu articolul 89 alineatul (1), sub rezerva punerii în aplicare a măsurilor de ordin tehnic și organizatoric adecvate prevăzute în prezentul regulament în vederea garantării drepturilor și libertăților persoanei vizate
    •  integritate și confidențialitate date prelucrate într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare
    • responsabilitate -Operatorul este responsabil de respectarea alineatului (1) și poate demonstra această respectare .

CARE SUNT DREPTURILE PERSOANELOR VIZATE

GDPR aduce elemente de noutate introducând drepturi noi pentru persoanele vizate și consolidează unele dintre drepturile care existau deja în legislația europeană. Astfel, persoanele fizice vizate de prelucrarea datelor cu caracter personal au următoarele drepturi generale:

1.Dreptul de a fi informat

2.Dreptul de acces

3.Dreptul la rectificare

4.Dreptul de ștergere

5.Dreptul de a restricționa procesarea

6.Dreptul la portabilitatea datelor

7.Dreptul la obiecții

8. Drepturi legate de luarea de decizii automatizate și de profilare

PRINCIPALELE 20 OBLIGAȚII PE CARE GDPR LE IMPUNE COMPANIILOR

  1. Constientizarea persoanelor cu putere de decizie si a angajatilor cheie asupra schumbarilor intervenite in legislatia privind protecția datelor personale. Companiile au obligația să se informeze din timp despre aceste prevederi, să înceapă demersurile și chiar să informeze clienții despre noile implementări
    1. Stabilirea fermă și unitară a ariei de cuprindere si continutului privind informații care au caracter personal. Fiecare firmă are libertatea, dar și sarcina, de a-și standardiza propriul formular de date personale, formular care trebuie să țină cont de faptul ca noua Ordonanță definește ca fiind date personale orice informații care poate duce, direct sau indirect, la identificarea acelei persoane.
    1.  Inventarierea informațiilor cu caracter personal deja stocate  Cu cât compania este mai mare sau are o vechime mai mare  în câmpul de activitate, cu atât va fi mai dificilă inventarierea acestor informații și stabilirea surselor din care ele provin, mai ales daca totul se desfășoară online.În cazul firmelor care își desfășoară activitatea online, va exista o acțiune afirmativă cum ar fi bifarea unei căsuțe sau orice altă acțiune care marchează ferm acordarea dreptului de a colecta informațiile cu caracter personal. Astfel, anunțurile de genul “Navigarea pe acest site presupune acordul dumneavoastră de a…” sunt în afara Ordonanței, ele putând fi sancționate.
    1. Prelucrarea datelor cu buna credinta si in limita scopului declaratGDPR vine sa sanctioneze acest comportament abuziv al unor companii, proclamand buna credinta ca si principiu al prelucrarii datelor personale
    1. Transparenta si portabilitatea datelor. Fiecare companie care prelucreaza date cu caracter personal are obligatia de a tine o evidenta a prelucrarilor si de a putea pune la dispozitia autoritatilor si a persoanelor vizate intregul flux al prelucrarii. Ba mai mult, companiile au obligatia sa colecteze datele intr-un sistem organizat ca, in cazul in care li se solicita, sa poata oferi fisierul cu date personale persoanei vizate, in vederea transferului (portarii) catre un alt operator
    1. .Informarea corespunzătoare a clienților despre modul în care aceste informații vor fi utilizate.Ordonanța permite clienților să revoce orice informație din trecut. De aceea firmele trebuie să fie pregătite să justifice sursa acelor informații și, eventual, să obțină noul acord din partea clienților pentru a păstra datele respective.

7.       Verificarea procedurilor in vederea respectarii tuturor drepturilor individuale mentionate in Regulament

Trebuie să criptați datele prelucrate. Acest lucru este esențial atunci când vine vorba de protecția datelor. Potrivit Comisiei Europene, dacă procesați date, trebuie să respectați reguli speciale pentru a asigura confidențialitatea datelor clienților dvs., cum ar fi: pseudonimizarea, criptarea, confidențialitatea etc.Trebuie să vă asigurați că clienții dvs. își pot retrage consimțământul pentru utilizarea și prelucrarea datelor. Potrivit comisiei UE, ar trebui să fie la fel de ușor să retrageți consimțământul precum l-ați acordat

  •  Protecția datelor prin aplicarea principiului “Privacy by design”. Orice firmă sau companie care colectează informații cu caracter personal despre clienții ei, va avea obligația și sarcina să păstreze și să asigure confidențialitatea acestora. Orice abatere intrând sub incidenta Ordonanței și putând fii sancționată cu amenzi mari.
    • Privacy by design & Privacy by default -două noi principii esenţiale pentru operatorii de date

Privacy by design – eşti dezvoltator de aplicaţii (care vor prelucra şi date personale)? Trebuie să te asiguri,încă din stadiul dezvoltării, că aplicaţia ta va respecta regulile şi principiile stabilite de Regulament

Privacy by default – furnizezi o aplicaţie care prelucrează date personale? Trebuie să te asiguri că setările iniţiale le vor permite utilizatorilor să îşi menţină controlul asupra vieţii lor private / asupra a ceea ce postează sau împărtăşesc cu alţi utilizatori

  1. Evaluarea de Impact a protectiei datelor-(DPIA)- Data Protection Impact Assessments Cunoasterea si aplicarea codurilor de conduita si a ghidurilor elaborate de Grupul de lucru in baza Art.29
    1. Revizuirea notificarilor deja efectuate firmele au obligația de a rescrie acordurile de folosire a datelor cu caracter personal într-un limbaj cat mai simplu si mai accesibil, astfel încât acesta să fie înțeles de oricine, fără dubii și posibilități de interpretare.
    1.  Consimțământul cu privire la colectarea și prelucrarea datelorTrebuie să implementați în compania dvs. principiul minimizării datelor, ceea ce înseamnă că trebuie să colectați doar datele care sunt absolut necesare despre fiecare client conform legislației.Trebuie să obțineți permisiunea expresă a clientului dvs. de a colecta și de a folosi datele. Când este vorba de acordul persoanei vizate, Comisia UE este foarte strictă.Nu colectați mai multe date decât este necesar. De multe ori, datele furnizate de persoanele fizice sunt folosite cu scop diferit față de cel propus si uneori, nu sunt folosite deloc. O astfel de procedură stufoasă, poate să atragă după sine răspundere contravențională.
    1.  Introducerea opțiunii de retragere a acordului – chiar dacă utilizatorul site-ului sau clientul, și-a dat acordul pentru stocarea informațiilor cu caracter personal, el trebuie să aibă și posibilitatea de a-și retrage acest acord. Astfel, companiile au obligația de a lua în considerare și conceperea unui formular de retragere a acordului.
    1.  Gestionarea breșelor de securitate Trebuie să implementați un plan de notificare privind încălcarea datelor. În cazul unei încălcări a datelor, dacă sunteți operator de date, aveți 72 de ore la dispoziție să notificați autoritatea de supraveghere. Va trebui să comunicați informații specifice, cum ar fi natura încălcării datelor cu caracter personal, numele persoanelor vizate, consecințele acestei încălcări a datelor și acțiunile dvs. de remediere a acesteia.
    1.  Protecția copiilor.Trebuie pus in aplicare un sistem de verificare a varstei indivizilor si a obtinerii consimtamantului parintilor sau tutorilor.
    1. Nivelul ridicat de raspundere. In cazul in care li se atrage raspunderea, companiile nu vor beneficia de prezumtia de nevinovatie, fiind nevoite sa aduca probe pentru a demonstra faptul ca au respectat prevederile GDPR. Simpla respectare a acestuia nu va fi luata in considerare intotdeauna, astfel ca, tinand o evidenta stricta a operatiunilor de procesare si a logisticii aferente, companiile vor trebui sa isi preconstituie probe pentru o evenutala bresa de securitate sau un eventual control.
    1. . Obligatia de distrugere / anonimizare a datelor la incetarea prelucrarii. Foarte multi operatori pastreaza in prezent datele cu caracter personal colectate, chiar dupa incetarea operatiunilor la care au fost necesare, stocandu-le intr-un fisier fizic sau in format electronic parolat. Odata cu aplicarea GDPR, operatiunile de distrugere sau anonimizare vor trebui sa fie efective, astfel incat datele personale sa nu mai fie accesibile nici operatorului, ca si cand nu ar fi fost colectate niciodata(“dreptul de a fi uitat”)
    1.  Furnizori și colaboratori terți implicați în colectarea și prelucrarea datelor În contextul Regulamentului, noțiunea de terț se definește ca o persoană fizică sau juridică, autoritate publică, agenție sau un organism, alta decât persoana vizată sau procesatorul, aflată sub directa autoritate a operatorului sau a procesatorului, autorizate să proceseze date cu caracter personal. Datorită utilizării pe scară largă a serviciilor externalizate, una dintre cele mai exigente sarcini în pregătirea GDPR este evaluarea riscurilor din partea terților. Operatorii de date sunt responsabili pentru acțiunile întreprinse de procesatorii lor, deci este important să identificați toți procesatorii relevanți, să înțelegeți ce date sunt stocate și procesate de aceștia, cât de bine protejează fiecare procesator datele și progresele înregistrate de aceștia pentru a deveni conformi cu GDPR Proprietarii de site-uri si cei care găzduiesc domenii au datoria să se informeze dacă cei care le-au oferit infrastructura au început demersurile de adaptare la noile prevederi și fac modificările necesare. Astfel, ar trebui să întrebe: unde se află data- center-ul, unde sunt stocate datele – în UE sau în afara ei, ce măsuri de siguranță și protecție au implementat pentru datele pe care ei le colectează?
    1.  Responsabilul cu protecția datelor – DPO– Toate instituțiile publice precum și majoritatea companiilor private vor avea obligativitatea de a numi un DPO începând cu data de 25 mai 2018. Ofițerul responsabil pentru protecția datelor cu caracter personal sau DPO-ul, poate fi un angajat din cadrul organigramei sau poate fi contractat extern.Înainte de a lua o hotărâre privitoare la DPO trebuie să fiți atenți la specificațiile acestui post. În primul rând responsabilul cu protecția datelor trebuie să fie independent. Acesta nu poate fi sancționat nici concediat pentru îndeplinirea atribuțiilor sale. Este necesar să aibă acces la toate operațiunile de prelucrare a datelor până la cel mai înalt nivel al conducerii.
    1. Gestionarea domeiului international.Daca organizatia opereaza in mai mult de 1 Stat Membru (procesare trans-frontaliera) trebuie determinata principala autoritate de supraveghere a datelor.

 CÂND ESTE NECESARĂ PĂSTRAREA EVIDENȚEI ACTIVITĂȚILOR DE PRELUCRARE?

-când firma are peste 250 de angajați

-când prelucrarea implică un risc pentru persoana vizata

-când prelucrarea nu este ocazională

-se prelucrează categorii speciale de date

 ÎNȘTIINȚAREA ANGAJAȚILOR

Informați și instruiți angajații privind colectarea și prelucrarea datelor cu caracter personal, conform GDPR. Toți cei care au acces la date personale trebuie să fie conștienți de riscurile care pot apărea și trebuie să fie pregătiți să preîntâmpine abuzurile.