1. Ce este GDPR?
Regulamentul general privind protectia datelor (GDPR) este noua lege privind protectia datelor din Uniunea Europeana. El înlocuieste Directiva privind protectia datelor, aflata în vigoare înca din 1995. Desi GDPR pastreaza multe dintre principiile stabilite în Directiva, este o lege mult mai ambitioasa. Printre modificarile notabile se numara faptul că GDPR ofera oamenilor mai mult control asupra datelor lor cu caracter personal, impunand noi obligatii organizatiilor care colecteaza, manipuleaza sau analizeaza date cu caracter personal. De asemenea, GDPR acorda autoritatilor nationale de reglementare noi puteri, astfel încât acestea sa poata aplica amenzi importante organizatiilor ce încalca legea.
2. Care sunt principalele cerinte ale GDPR?
GDPR impune o gama larga de cerinte organizatiilor care colecteaza sau prelucreaza date cu caracter personal, inclusiv obligatia de a respecta sase principii cheie:
- Transparenta, corectitudine si legalitate în manipularea si utilizarea datelor cu caracter personal;
- Limitarea prelucrarii datelor cu caracter personal la scopurile explicite si legitime;
- Restrângerea colectarii si a pastrarii la cantitatea minima de date cu caracter personal necesara pentru un anumit scop;
- Asigurarea corectitudinii datelor, inclusiv a posibilitatii de a le sterge si edita;
- Limitarea pastrarii datelor cu caracter personal;
- Asigurarea securitatii, a integritatii si a confidentialitatii datelor cu caracter personal.
3. Cui se aplica GDPR?
GDPR se aplica organizatiilor de orice dimensiune si din orice domeniu. În special, GDPR se aplica:
- prelucrarii datelor cu caracter personal ale oricarei persoane, daca prelucrarea se efectueaza în contextul activitatilor unei organizatii fondate în UE (indiferent unde anume are loc prelucrarea);
- prelucrarii datelor cu caracter personal ale persoanelor rezidente în UE, de catre o organizatie fondata în afara UE, atunci când prelucrarea are legatura cu furnizarea de bunuri sau servicii persoanelor respective sau cu monitorizarea comportamentului acestora;
4. Organizatia mea prelucreaza anumite date. De unde stiu daca sunt acoperite de GDPR?
GDPR reglementeaza colectarea, pastrarea, utilizarea și prelucrarea „datelor cu caracter personal”. Datele cu caracter personal sunt definite de GDPR, în mare, ca fiind orice date referitoare la o persoana fizica identificată sau identificabila. Ele pot include informatii ca adrese IP, baze de date de vanzari, date aferente serviciilor pentru clienti, formulare de feedback si altele.
5. Ce înseamna “confidențialitate din faza de proiectare” si “confidentialitate implicita”?
Conform GDPR, este obligatoriu ca produsele si serviciile tale sa încorporeze caracteristici si funcționalitati pentru confidențialitate înca din faza de proiectare a acestora. La dezvoltarea caracteristicilor, trebuie sa tii cont de factori precum natura prelucrarii și riscurile la adresa confidentialitatii pe care le implica, nevoia de securitate si costurile de implementare. De asemenea, trebuie sa implementezi masuri prin care sa garantezi implicit ca nu se prelucreaza mai multe date decat este necesar.
6. Ce se întâmpla daca nu respectam GDPR?
Amenda maxima pentru încalcari grave va depasi 20 de milioane de euro sau patru procente din veniturile globale anuale ale unei organizatii, aplicandu-se suma cea mai mare dintre cele doua. În plus, GDPR acorda consumatorilor (si organizatiilor care actioneaza în numele lor) dreptul de a intenta actiuni civile în instanta împotriva organizatiilor care încalca GDPR.
7. Care sunt termenii cheie din GDPR pe care trebuie sa îi cunosc?
Articolul 4 din GDPR include o lista de termeni cu definitii, utilizati în cadrul regulamentului. Iata termenii cheie pe care trebuie sa îi întelegeti:
“Operator” înseamna persoana fizica sau juridica, autoritatea publica, agentia sau alt organism care, singur sau împreuna cu altele, stabileste scopurile si mijloacele de prelucrare a datelor cu caracter personal.
“Persoana împuternicita de operator” înseamna persoana fizica sau juridica, autoritatea publica, agentia sau alt organism care prelucreaza datele cu caracter personal în numele unui operator.
“Date cu caracter personal” înseamna orice informatii privind o persoana fizica identificata sau identificabila, cunoscuta si sub denumirea de „persoana vizată”. O persoana fizica identificabila este o persoana care poate fi identificata, direct sau indirect, prin referire la un element de identificare, cum ar fi un nume, un numar de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identitatii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.
“Prelucrare” înseamna orice operatiune sau set de operatiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fara utilizarea de mijloace automatizate. Printre operatiuni se numara colectarea, înregistrarea, organizarea, structurarea, stocarea si altele.
“Pseudonimizare” înseamna prelucrarea datelor cu caracter personal într-un asemenea mod încât acestea sa nu mai poată fi atribuite unei anume persoane vizate fara a se utiliza informatii suplimentare, cu conditia ca aceste informatii suplimentare să fie stocate separat.
“Anonimizare” înseamna prelucrarea folosind o tehnica prin care se restrînge legatura dintre un set de date personale si identitatea subiectului si este o masura de securitate. Anonimitatea unei persoane înseamna ca identitatea acesteia nu este cunoscuta sau persoana însasi nu doreste ca identitatea sa îi fie cunoscuta.
Este recomandabil sa cititi întregul text al articolului 4 din GDPR, pentru a gasi descrierea detaliata a fiecarui termen cheie.
8. Ce este important la securitatea prevazuta de GDPR?
Conform GDPR, organizatia dvs are obligatia sa ia masuri pentru a pastra în siguranta datele cu caracter personal. Printre masuri se numara „masurile organizatorice”, care consta in limitarea numarului de persoane din cadrul organizatiei care au acces la datele cu caracter personal si „masurile tehnice”, cum ar fi criptarea.
GDPR nu specifica si nu impune exact masurile de securitate pe care trebuie sa le ia organizatiile. În schimb, acesta cere sa stabiliti singuri ce masuri de securitate trebuie sa le luati, tinand cont de factori ca natura datelor cu caracter personal pe care le colectati, cât de sensibile sunt acestea si riscurile implicate în prelucrare.
Exista numeroase riscuri care trebuie luate în considerare. Printre riscurile frecvente se numara intruziunea fizica, angajatii rau-intenționati, pierderea accidentala sau atacurile hackerilor. Dezvoltarea unui plan de gestiune a riscurilor si luarea unor masuri de reducere a riscurilor, cum ar fi protejarea prin parola, jurnalele de audit si implementarea sistemelor de criptare, va pot ajuta sa va asigurati conformitatea.
9. Ce prevede GDPR în caz de încalcare a securitatii datelor cu caracter personal?
GDPR defineste “încalcarea securitatii datelor cu caracter personal” ca “o încalcare a securitatii care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizata a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea”.
În cazul unei astfel de încalcari, ai obligatia sa notifici autoritatile de reglementare în termen de 72 de ore de la luarea la cunostinta. De asemenea, este posibil să fie obligatorie notificarea clientilor (sau a “persoanelor vizate”), dacă exista un risc semnificativ de vatamare a acestora din cauza încalcarii respective.
10. Ce înseamna “transparenta unei organizatii”?
Înseamna ca trebuie sa explicati sincer si clar de ce si în ce fel prelucrati datele oamenilor. GDPR include informatii detaliate despre ceea ce trebuie sa le comunicati oamenilor cu privire la prelucrarea datelor cu caracter personal, cum ar fi, scopul prelucrarii, perioada de stocare, cui sint comunicate datele si daca acestea urmeaza a fi transferate în afara Spatiului Economic European.
Trebuie sa prezentati toate aceste informatii într-o maniera clara si accesibila. De aceea, este o idee buna sa treceti cu atentie informatiile publicate de compania dvs, în raport cu cerințele GDPR.