Regulamentul cu privire la protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date ( 679/2016) are drept intenție întărirea și unificarea protecției datelor pentru toate persoanele din cadrul Uniunii Europene. Se adresează de asemenea și exportului de date personale în afara Uniunii Europene.
GDPR are drept scop protecția datelor personale și simplificarea mediului de reglementare a relațiilor internaționale prin unificarea regulilor în cadrul UE.
Regulamentul a fost adoptat în 27 Aprilie 2016 și devine obligatoriu în 25 Mai 2018 la sfărșitul perioadei de tranziție de 2 ani.
Ce introduce noul regulament:
- transparență și consimțământ-utilizarea datelor personale necesită consimțământul persoanelor cărora aparțin datele;
- pentru copii este necesar consimțământul părinților pentru utilizarea datelor personale; statele membre pot să își stabilească propriile reguli cu privire la copii între 13 și 15 ani inclusiv. Daca nu fac asta consimțământul parental este cerut pentru copii până în 16 ani;
- datele reglementate- definițiile Datelor Personale și Datelor Sensibile a fost extinsă și la datele genetice și biometrice;
- pseudonimizare – o tehnică ce transformă datele personale astfel încât datele rezultate să nu poată fi atribuite la un subiect specific de date fără utilizarea de informații adiționale;
- breșele cu privire la datele personale- este vorba de o lege de comunicare a breșei introdusă pentru toți controlorii indiferent de sectorul lor;
- date protejate prin design și responsabilizare- organizațiile trebuie să adopte tehnici noi și măsuri organizaționale pentru a demonstra respectarea GDPR;
- drepturi sporite- subiecților datelor li se dau drepturi substanțiale inclusiv dreptul de fi uitat, drepturi de portabilitate date și dreptul de a obiecta la luarea deciziilor în mod automat;
- autorități de supervizare și EDPB ( European Data Protection Supervisor)- reglementarea supravegherii protecției datelor se va schimba în mod semnificativ, inclusiv prin introducerea unei noi autorități principale pentru anumite organizații.
Implementarea condițiilor de conformitate cu GDPR în funcție de mărimea organizației este de 2-3 luni.
GDPR are cel mai mare impact asupra operatorilor de date. Însă ținând cont că practic orice organizație sau aproape orice organizație prelucrează într-o oarecare măsură date personale, practic, orice organizație, indiferent de mărime sau de domeniul de activitate este angrenată într-o mai mică sau mai mare măsură într-un mecanism de procesare al datelor.
Operatori de date exemple:
- organizații din domeniul financiar bancar;
- furnizori de utilități;
- furnizori de produse și servicii IT;
- organizații de sănătate;
- media;
- retail;
- autorități și instituții publice.
Dar ce sunt datele cu caracter personal?
Conform Art 4 din GDPR:
date cu caracter personal reprezintă orice informație privind o persoană fizică identificabilă.
O persoană fizică identificabilă este orice persoană care poate fi identificată direct sau indirect, în special prin referire la un element de identificare cum ar fi nume, un număr de identificare, date de localizare, un identificator online sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.
Când vorbim de drepturi ale persoanelor vizate de prelucrarea datelor cu caracter personal vorbim de următoarele drepturi generale:
- dreptul de a fi informat;
- dreptul de acces;
- dreptul la rectificare;
- dreptul la ștergere;
- dreptul de a restricționa prelucrarea;
- dreptul la portabilitatea datelor;
- dreptul la obiecții;
- drepturi legate de luarea deciziilor de automatizare și profilare.
Direcții de acțiune în implementarea noului regulament GDPR:
- elaborarea unui plan de asigurare a măsurilor necesare pentru îndeplinirea compatibilității;
- pregătirea aplicării regulamentului;
- asigurare resurse umane și materiale pentru implementare;
- analiză de impact atunci când e cazul;
- desemnarea unui ofițer de protecție date;
- luarea în considerarea a riscurilor asociate cu nerespectarea regulamentului – penalități extrem de severe 2-4% din cifra de afaceri.
Înainte de a începe implementarea ar trebui ca organizația să răspundă la mai multe întrebări cum ar fi;
- ce date personale utilizează și procesează în cadrul organizației;
- ce permisiuni sunt obținute pentru aceste date;
- ce procese și sisteme sunt folosite pentru prelucrare date;
- cazurile când datele sunt transferate în afara organizației;
- ce măsuri de securizare ale datelor personale s-au luat pe parcursul ciclului lor de viață.
Numirea unui ofițer de protecție date este obligatorie conform GDPR dacă:
- organizația este autoritate publică;
- dacă se monitorizează sistematic persoanele – ex mediul online;
- dacă se face o prelucrare la scară largă a unor categorii speciale de date.
Sarcini DPO ( ofițer protecția datelor):
- consilierea organizației și a angajaților cu privire la obligațiile de respectare GDPR;
- monitorizarea respectării GDPR;
- consilierea activităților ce au legătură cu evaluările de impact privind protecția datelor;
- instruirea personalului;
- audituri interne;
- contact cu autoritățile de supraveghere și pentru persoanele ale căror date se prelucrează.
referințe pentru postare:
Regulamentul nr 679/27,04,2016