fbpx

+40722 155 287
Legislatie, Solutii

In acest articol venim in completarea articolului scris in luna martie in care va prezentam pe larg despre normele GDPR, in speranta ca veti gasi informatiile cat mai folositoare si ca veti urma pasii necesarii implementarii acestor masuri de securitate.

Regulamentul GDPR este una dintre cele mai dure normative europene in ceea ce priveste folosirea, analizarea, stocarea sau comercializarea datelor personale la nivelul Uniunii Europene.

Legea (UE) 2016/679 al Parlamentului European si al Consiliului din 27 aprilie 2016, GDPR (General Data Protection Regulation), care inlocuieste Directiva 95/46/EC, va intra in vigoare in data de 25 mai 2018. Regulamentul se aplica in cazul in care entitatile juridice au sediul in UE, sau colecteaza si proceseaza date cu caracter personal ale rezidentilor din UE, la nivel global conform GDPREU.ORG

Scopul noilor reglementari este acela de a proteja drepturile si libertatile persoanelor fizice cu privire la prelucrarea datelor cu caracter personal dar si de a reglementa metoda de obtinere a acestora, precum si circulatia acestor date dorindu-se un format cat mai unitar.

Ce inseamna prelucrarea datelor cu caracter pesonal?

Potrivit normelor europene GDPR, prelucrarea datelor consta in  orice operatiune sau set de operatiuni, cum ar fi:

  • colectarea, inregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispozitie in orice alt mod, alinierea sau combinarea, restrictionarea, stergerea sau distrugerea datelor.

Regulamentul GDPR se aplica atat pentru companiile ce folosesc mijloace automatizate de prelucrare a datelor cum ar fi o optiunea de newsletter a unui magazin online cat si in afara spatiului digital spre exemplu, firme ce organizeaza evenimente, petreceri, sondaje stradale ce necesita divulgarea informatiilor personale sau tombole stradale.

Care sunt principiile reglementarilor GDPR?

Regulamentul GDPR formuleaza 8 principii de baza si drepturi individuale, acestea sunt:

  • Dreptul de a fi informat despre cum vor fi folosite datele personale;
  • Dreptul de acces la datele personale;
  • Dreptul de rectificare a datelor daca acestea sunt eronate sau incomplete;
  • Dreptul de a fi sters sau Dreptul de a fi uitat (Right To Be Forgotten) pentru a nu mai fi inclus in comunicari sau procesari ulterioare;
  • Dreptul de a restrictiona procesarea datelor dincolo de simpla lor pastrare;
  • Dreptul de transfer al datelor pentru a fi la dispozitia persoanelor asa cum doresc ele sa le foloseasca pe alte platforme sau in alte servicii;
  • Dreptul de obiectie impotriva utilizarii datelor in campanii de marketing;
  • Dreptul de decizie in cazul profilarii si procesarii automate a datelor.

 

Care sunt datele cu caracter personal potrivit GDPR?

Noile reglementari extind practic sfera informatiilor considerate a fi date cu caracter personal, astfel, sunt considerate a fi „date cu caracter personal” orice informatii privind o persoana fizica identificata sau identificabila. Mai exact, o persoana poate fi identificata direct sau indirect, prin referire la:

  • un nume;
  • un numar de identificare;
  • date de localizare;
  • un identificator online (adrese IP, identificatori cookie sau alti identificatori precum etichetele de identificare prin frecvente radio);
  • unul sau mai multe elemente specifice, proprii identitatii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.

 

Ce este consimtamantul potrivit GDPR?

Consimtamantul consta inorice manifestare de vointa libera, specifica, informata si lipsita de ambiguitate a persoanei vizate prin care aceasta accepta, printr-o declaratie sau printr-o actiune fara echivoc, ca datele cu caracter personal care o privesc sa fie prelucrate.


Regulile pentru validitatea consimtamantului sunt:

  • acesta trebuie sa fie o manifestare liber exprimata, respectiv sa fie alegerea reala a persoanelor vizate;
  • trebuie sa fie specific, ceea ce presupune ca persoana vizata sa fie informata asupra scopului prelucrarii datelor iar consimtamantul acesteia sa fie dat pentru fiecare scop al prelucrarii in parte;
  • trebuie sa fie informat, astfel incat cel putin urmatoarele informatii trebuie aduse la cunostinta persoanei vizate: identitatea operatorului, scopul prelucrarii, datele cu caracter personal colectate, existenta dreptului de retragere a consimtamantului, informatii privind utilizarea datelor pentru decizii bazate exclusiv pe prelucrarea automata (inclusiv crearea de profiluri) precum si informatii despre posibilele riscuri de transfer de date catre tari terte;
  • trebuie sa fie lipsit de ambiguitate, trebuie sa reprezinte o declaratie sau o actiune afirmativa din partea persoanei vizate, cum ar fi de exemplu bifarea unei casute atunci cand persoana viziteaza un site sau orice alta declaratie sau actiune care indica in mod clar in acest context acceptarea de catre persoana vizata a prelucrarii datelor sale cu caracter personal.

 

Ce modificari cu privire la consimtamant sunt in domeniul online?

Noile reglementari privind consimtamantul stabilesc ca acesta va fi obligatoriu explicit si specific pentru operatiunea de procesare. Consumatorul trebuie sa actioneze pentru consimtamant, iar acordul va fi limitat sau proportional cu scopul procesarii astfel incat nu pot fi colectate si procesate mai multe date decat cele necesare in scopul declarat si legal al procesarii.

Regulamentul GDPR obliga operatorii sa se asigure ca acordul poate fi retras in orice moment, la fel de usor cum poate fi dat, dar nu neaparat prin aceeasi actiune. Cu toate acestea, in mediul electronic, daca consimtamantul pentru prelucrarea datelor este obtinut printr-o singura actiune (click, glisare, apasare de taste etc.), retragerea ar trebui sa fie posibila prin aceleasi mijloace. Consimtamantul trebuie sa fie explicit iar absenta unui raspuns, casutele bifate in prealabil sau absenta unei actiuni nu ar trebui sa constituie un consimtamant. Astfel, anunturile de tipul “Navigarea pe acest site presupune acordul dumneavoastra de a…” devin ilegale.

 

Ce trebuie facut pana in intrarea in vigoare a regulamentului GDPR?

Orice business online va avea de respectat 2 parti ale implementarii GDPR in Romania, prima parte este reprezentata de masurile tehnice ce trebuie implementate la nivel de website, magazin online, platforma online, portal de stiri, iar a doua parte o reprezinta masurile interne ce trebuie luate in fiecare companie, pentru a respecta angajamentul de protectia a datelor personale.

La nivel intern, companiile trebuie sa puna la punct un registru de date, in care vor stoca un inventar al datelor personale stocate de-a lungul activitatii firmei respective. Articolul 171 din Regulamentul GDPR prevede ca in cazul in care date personale colectate anterior normativelor GDPR au fost obtinute in baza unui consimtamant, atunci solicitarea unui nou acord nu mai este necesara.

Daca acest consimtamant nu a fost acordat, atunci entitatile ce stocheaza aceste date personale trebuie sa ceara acordul utilizatorilor de a pastra si/sau prelucra aceste date. In acest caz, companiile pot trimite un email de notificare catre acesti utilizatori, prin care sa li se ceara permisiunea de a folosi datele lor personale in scopuri de marketing, cercetare, statistica, s.a.m.d. O astfel de notificare trebuie sa contina si informatii despre ce parteneri sau terte entitati au acces la datele utilziatorilor si daca da, cum vor folosi aceste informatii.

 

Ce este un Data Protection Officer ( DPO ) si cum imi poate ajuta business-ul?

Un Data Protection Office (DPO) este o persoana desemnata in companie ca responsabila cu protectia datelor, fiind ori un angajat al firmei respective sau o persoana contractata in baza unui contract de prestari de servicii. Persoana responsabila trebuie sa fie desemnata pe baza calitatilor profesionale si a cunostintelor in practicile protectiei datelor.

Atributiile postului de DPO vor include monitorizarea aplicarii regulamentului GDPR si implementarea altor normative europene sau guvernamentale in privinta protectiei datelor personale, furnizarea de suport de specialitate in ceea ce priveste evaluarea impactului asupra protectiei datelor si sa asigure buna cooperare cu autoritatea de supraveghere.

 

Ce actiuni concrete sunt necesare pentru a intra in conformitate cu noile reglementari?

In online, este necesara implementarea unor serii de masuri atat tehnice cat si organizatorice, dintre acestea amintim:

  • sa inlocuiasca consimtamantul de tip „acord implicit” cu o „actiune afirmativa”, ceea ce presupune modificarea paginii de Termeni si Conditii, a Politicii de Confidentialitate, a formularilor de abonare;
  • pentru acordarea consimtamantului, va fi necesara bifarea unei casute sau orice alta declaratie sau actiune care indica in mod clar acceptarea de catre persoana vizata ce viziteaza un site, a prelucrarii datelor sale cu caracter personal;
  • sa informeze si sa asigure utilizatorilor posibilitatea ca acordul sa poate fi retras in orice moment, la fel de usor cum poate fi dat;
  • sa informeze vizitatorii intr-un mod mai clar cu privire la identitatea lor, ce date colecteaza, de ce le colecteaza si pentru cat timp le pastreaza;
  • sa informeze vizitatorii cu privire la partile terte care mai primesc respectivele date si in acelasi timp sa verifice daca partile terte catre care ar putea fi trimise datele transmit informatiile in afara UE;
  • sa resctrictioneze accesul la datele clientilor doar angajatilor care au nevoie de acele date pentru a-si indeplini sarcinile de serviciu;
  • sa detina un registru in care sa tina cont de activitatile de prelucrare a datelor atunci cand activitatea acestora nu este ocazionala;
  • sa informeze clientii cu privire la folosirea datelor pe care le acestia le ofera cum sunt datele de facturare si livrare, intrucat informarea clientilor cu privire la datele colectate este obligatorie din momentul colectarii datelor;
  • sa stearga la cererea clientului, datele acestuia daca cererea are un temei legal, indiferent daca acest lucru se face prin suprascriere sau stergere definitiva, atat timp cat procesul este ireversibil;

 

Implementarea GDPR si prelucrarea datelor personale pentru un magazin online

Prin aceasta noua definire a sintagmei „date cu caracter personal”, GDPR-ul mareste, de fapt, lista acestor tipuri de informatii pe care site-urile le solicita utilizatorilor in momentul abonarii la newsletter/ crearii unui cont/ derularii unei sesiuni de cumparaturi a.a.m.d.

Spre exemplu, potrivit reglementarilor aflate inca in vigoare, identificatorii online si informatiile privind locatia nu sunt considerate a fi astfel de date personale. Incepand din 25 mai 2018, insa, vor intra sub incidenta noului regulament.

Asadar, site-urile vor fi nevoite sa tina cont de acest lucru in pregatirea pentru regulamentul GDPR si, pe mai departe, in respectarea acestuia.

In cazul site-urilor si magazinelor online care aplica deja o buna practica a folosirii si stocarii datelor cu caracter personal, nu este necesar sa repete procedurile dupa data de 25 mai 2018. De exemplu, in cazul abonatilor la newsletter, nu este necesar sa li se ceara din nou consimtamantul daca acesta a fost obtinut corect in prealabil. In caz contrar, orice entitate detine o baza de date cu adrese de e-mail, nume, adrese fizice, CNP-uri, CUI-uri sau orice alte date personale va avea obligatia de a solicita persoanelor in cauza acordul explicit pentru a pastra, respectiv prelucra, aceste informatii.

Incalcarea securitatii

Operatorii au obligatia sa ii informeze pe utilizatori in momentul in care a avut loc o incalcare a securitatii in privinta datelor colectate de la ei. Incalcarea  securitatii este o actiune care duce in mod accidental sau ilegal, la:

  • distrugerea datelor; 
  • pierderea datelor; 
  • modificarea datelor; 
  • divulgarea neautorizata a datelor; 
  • accesul neautorizat la datele colectate. 

 

Ce sanctiuni risca cei care nu se conformeaza noilor regulilor GDPR?

Sanctiunile sunt acordate in functie de fiecare caz in parte iar la stabilirea acestora se vor avea in vedere:

  • natura, gravitatea si durata incalcarii, avand in vedere si natura sau domeniul de aplicare si scopul prelucrarii, precum si numarul de persoane afectate si prejudiciile suferite de catre acestea;
  • daca incalcarea a fost comisa intentionat sau din neglijenta;
  • eventualele incalcari anterioare si gradul de responsabilitate;
  • nivelul de cooperare cu autoritatea de supraveghere in vederea remedierii situatiei si atenuarea eventualelor prejudicii;
  • modalitatea prin care incalcarea a fost adusa la cunostinta autoritatii de supraveghere;
  • ce categorii de date cu caracter personal au fost afectate;
  • orice alte circumstante agravante sau atenuante aplicabile cazului cum ar fi beneficiile financiare dobandite sau pierderile evitate in mod direct sau indirect de pe urma incalcarii.

Amenzile pot ajunge pana la 20 milioane de euro sau la 4% din cifra de afaceri mondiala totala anuala, luandu-se in calcul cea mai mare valoare.

INFORMATII ADITIONALE

Mai multe informatii despre regulamentul GDPR si normele de aplicare se gasesc pe urmatoarele siteuri:

0