GDPR (Regulamentul general privind protectia datelor – 2016/679) intra in vigoare pe 25 mai 2018 si se aplica tuturor organizatiilor care prelucreaza date personale.
Sursa: https://eur-lex.europa.eu/legal-content/RO/TXT/?uri=CELEX%3A32016R0679
Aplicarea GDPR in Romania este verificata de Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal – http://www.dataprotection.ro/.
Prin date personale intelegem orice informatii privind o persoana fizica identificata sau idendificabila (direct sau indirect).
Exemple de date cu caracter personal (ale unei persoane fizice, datele unei persoane juridice nu sunt considerate date cu caracter personal):
– numele sau prenumele
– adresa unei persoane
– adresa de e-mail
– numar C.I.
– CNP
– un IP
– ID-ul unui cookie
– imaginea unei persoane, care apare intr-o inregistrare a unei camere de supraveghere
– numarul de inmatriculare a unei masini
Prelucrarea datelor cu caracter personal inseamna orice operatiune sau set de operatiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, prin intermediul unui sistem automat sau manual, cum ar fi colectarea, inregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispozitie in orice alt mod, alinierea sau combinarea, restrictionarea, stergerea sau distrugerea.
Conform articolului 2 din GDPR, operatorul de date personale inseamna persoana fizica sau juridica, autoritatea publica, agentia sau alt organism care, singur sau impreuna cu altele, stabileste scopurile si mijloacele de prelucrare a datelor cu caracter personal.
Imputernicitul inseamna persoana fizica sau juridica autoritatea publica, agentia sau alt organism care prelucreaza date cu caracter personal in numele operatorului.
Intre operator si imputernicit GDPR impune existenta unui contract scris, care sa includa:
– obiectul si durata prelucrarii
– natura si scopul prelucrarii
– tipul de date cu caracter personal
– categoriile de persoane vizate
– obligatiile si drepturile operatorului
Practic, orice organizatie prelucreaza date personale, astfel ca acest proces trebuie documentat in scris (inclusiv electronic), intr-un registru al operatiunilor de prelucrare.
In cazul operatorului, registrul trebuie sa cuprinda:
a) numele si datele de contact ale operatorului de date cu caracter personal si, dupa caz, ale operatorului asociat, ale reprezentantului operatorului si ale responsabilului cu protectia datelor
b) scopurile / temeiurile prelucrarii:
– existentei unei obligatii legale a operatorului
– executarea unui contract / demersuri inainte de inchieierea unui contract
– existenta unui interes legitim al operatorului sau al unei terte parti
– consimtamantul persoanei vizate (ale carei date sunt prelucrate)
c) descrierea categoriilor de persoane vizate si a categoriilor de date cu caracter personal
d) categoriile de destinatari carora le-au fost sau le vor fi divulgate datele cu caracter personal, inclusiv destinatarii din tari terte sau organizatii internationale
e) acolo unde este posibil, termene limita preconizate pentru stergerea diferitelor categorii de date
f) acolo unde este posibil, o descriere generala a masurilor tehnice si organizatorice de securitate, conform articolului 32
Imputernicitul trebuie sa realizeze un registru pentru fiecare operator in numele caruia lucreaza, care sa contina:
– numele si datele de contact ale persoanei sau persoanelor imputernicite de operator si ale fiecarui operator in numele caruia actioneaza, precum si ale reprezentantului operatorului sau al persoanei imputernicite de operator, dupa caz
– categoriile de activitati de prelucrare desfasurate in numele fiecarui operator
– daca este cazul, transferurile de date cu caracter personal catre o tara terta sau o organizatie internationala, inclusiv identificarea tarii terte sau a organizatiei internationale respective si, in cazul transferurilor prevazute la articolul 49, alineatul (1), al doilea paragraf, documentatia care dovedeste existenta unor garantii adecvate
– acolo unde posibil, o descriere generala a masurilor tehnice si organizatorice de securitate mentionate la articolul 32, alineatul 1
*Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal poate solicita oricand imputernicitului sau operatorului acest registru, care trebuie pus la dispozitia Autoritatii.
Drepturile persoanelor vizate
1 – Dreptul la informare (articolele 13 si 14 din GDPR), chiar de la momentul la care se face colectarea asupra modului in care se vor utiliza acele date, catre cine vor fi ele dezvaluite ori transferate si ce drepturi au persoanele in cauza cu privire la datele prelucrate.
2 – Dreptul de acces la date (articolul 15 din GDPR) reprezinta dreptul de a obtine, din partea operatorului, o confirmare ca i se prelucreaza sau nu date cu caracter personal, iar in situatia in care raspunsul operatorului este afirmativ, persoana vizata poate obtine acces la acestea, dar si la alte informatii, cum ar fi scopurile prelucrarii, categoriile de date prelucrate si destinatatii carora le-au fost divulgate acele date.
3 – Dreptul la rectificarea datelor (articolul 16 din GDPR) sau la rectificarea acestora, in cazul in care exista inexactitati.
4 – Dreptul la stergerea datelor (articolul 17 din GDPR) fara intarzieri nejustificate.
5 – Dreptul la restrictionarea datelor (articolul 18 din GDPR) pentru o anumita perioada de timp, in care operatorul este obigat, in cazul in care primeste o cerere din partea pesoanei vizate, sa stopeze prelucrearea datelor respective.
6 – Dreptul la portabilitatea datelor (articolul 20 din GDPR) trimise catre operator, intr-un format structurat, pentru a fi transmise unui alt operator.
7 – Dreptul la opozitie (articolul 21 din GDPR) a personei vizate, referitor la prelucrarea datelor personale, daca acestea sunt prelucrate in scop de marketing direct.
8 – Dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automata (articolul 22 din GDPR) care produce efecte juridice care privesc persoana vizata sau o afecteaza in mod similar intr-o masura semnificativa.
Conform articolului 12 din GDPR, operatorul este obligat sa respecte drepturile de mai sus si sa furnizeze informatiile respective persoanei vizate care le-a solicitat, in termen de cel mult o luna de la primirea cererii. Cererea nu trabuie formulata dupa un anumit standard si poate fi transmisa prin orice modalitate (verbal, electronic, retele de socializare sau mesagerie instant). Daca este necesar, aceasta perioada poate fi prelungita cu doua luni, dar doar dupa ce operatorul informeaza persoana vizata in termen de o luna de la primirea cererii, prezentand totodata motivele intarzierii.
Raspunsurile la cererile persoanelor vizate sunt oferite gratuit, dar in cazul unor solicitari nefondate, repetate sau abuzive, operatorul poate percepe o taxa rezonabila sau sa refuze sa dea curs cererilor respective.