Regulamentul de protecție a datelor personale GDPR
Anul 2016 marchează un moment cheie în evoluția reglementărilor europene privind protecția datelor personale prin adoptarea de către Parlamentul European a Regulamentului privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date.
Regulamentul general privind protecția datelor – GDPR –reprezintă cea mai importantă decizie luată în ultimii 20 de ani la nivelul Uniunii Europene în domeniul protecţiei vieţii private a cetăţenilor europeni. În România a devenit lege începând cu 25 mai 2018.
Obiectivele urmărite prin adoptarea GDPR sunt de a garanta libera circulație a datelor cu caracter personal în interiorul Uniunii Europene concomitent însă cu stabilirea unor norme menite să asigure protecția persoanelor fizice și a vieţii lor private, garantând protecția drepturilor și libertăților fundamentale ale acestora. De asemenea, Regulamentul GDPR delimitează clar modul în care datele personale ale persoanelor fizice pot fi prelucrate.
Principalele prevederi ale Regulamentului GDPR:
1. Datele persoanei fizice trebuie protejate prin măsuri specifice
2. Persoana fizică are un set de drepturi :
- dreptul de acces
- dreptul la rectificare şi ştergere
- dreptul la informare
- dreptul la restricţionarea prelucrării
- dreptul la notificare
- dreptul la portabilitatea datelor
- dreptul la opoziție
Operatorul de date trebuie să respecte aceste drepturi și să răspundă în timp util la cererile persoanei, de obicei în termen de maxim o lună.
3. Se face distincţie între trei tipuri de date personale :
- Date personale privind o persoană fizică identificată sau identificabilă direct sau indirect prin: nume, un număr de identificare, date de localizare, un identificator online, unul sau mai multe elemente specifice proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale
- Date personale ale minorilor
- Date personale din categoria celor speciale:
date care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă, convingerile filozofice, apartenența la sindicate
date privind informaţii genetice, biometrice utilizate pentru identificarea unică a unei persoane fizice
date privind sănătatea,
date sau informaţii privind viața sexuală ori orientarea sexuală ale unei persoane fizice.
4. Principiile care stau la baza prelucrării datelor personale au impus condiţii care trebuie respectate de către orice Organizație care prelucrează date :
- Legalitate, echitate și transparență –datele personale trebuie prelucrate legal și corect față de persoana vizată, într-un limbaj pe care îl poate înțelege
- Limitarea scopului – datele personale nu sunt folosite cu alt scop decât acela prezentat
- Minimizarea datelor – nu vor fi prelucrate mai multe date decât cele necesare
- Exactitate – datele peronale vor fi actualizate periodic
- Integritate și confidențialitate – datele personale vor fi protejate prin măsuri adecvate
- Responsabilitate – toate procesele de mai sus trebuie documentate pentru a putea fi demonstrată respectarea lor
5. Toate operațiunile asupra datelor trebuie să fie legale, adică să se bazeze pe cel puțin unul din următoarele temeiuri legale :
- Consimțământul persoanei
- Existența unui Contract încheiat sau care urmeazpă a fi încheiat
- Obligația legală
- Interesul vital – protejezi viața sau sănătatea persoanei
- Interesul public
- Interesul legitim al societății, care însă nu trebuie să intre în conflict cu interesul persoanei fizice.
Ceea ce introduce important acest nou Regulament GDPR este principiul responsabilitatii.
În acest context, operatorul de date este singurul responsabil pentru implementarea măsurilor adecvate pentru protecția datelor cu caracter personal și, mai mult decât atât, este necesar să demonstreze că aceste măsuri au fost implementate.
Ce înseamnă pentru o companie respectarea prevederilor GDPR ?
Modul prin care o societate poate demonstra implementarea cerințelor GDPR se face prin politici și proceduri, cum ar fi registre, analize, acorduri cu partenerii comerciali, consimțăminte documentate, informări către persoane etc.
1. Implementarea unor măsuri tehnice și organizatorice prin care să se asigure că datele cu caracter personal sunt prelucrate legal, strict în scopul comunicat persoanei vizate și doar pe perioada strict necesară derulării activităților respective, în conformitate cu prevederile Regulamentului
2. Suplimentar, firmele care prelucreaza date cu caracter special sau numere de identificare națională, periodic și sistematic sau pe scară largă, precum și organismele și autoritățile publice trebuie să numească un Ofițer Responsabil cu Protecția Datelor
Astfel, Regulamentul GDPR adduce un plus în protecția drepturilor și libertăților fundamentale ale tuturor cetățenilor UE și devine un aspect important de pus pe agenda fiecărei companii în parte.