GDPR

Când   o să intre în vigoare GDPR?

GDPR a fost aprobat și adoptat de Parlamentul European în aprilie 2016. Regulamentul va intra în vigoare după o perioadă de tranziție de doi ani și, spre deosebire de o directivă, nu impune adoptarea de către guvern a unei legislații de abilitare; ceea ce înseamnă că va fi în vigoare în mai 2018.

Dacă procesați date despre persoane fizice în contextul vânzării de bunuri sau servicii cetățenilor din alte țări ale UE, atunci va trebui să vă conformați GDPR,

Pe cine afectează GDPR?
GDPR nu se aplică numai organizațiilor situate în UE, ci se va aplica și organizațiilor situate în afara UE, în cazul în care oferă bunuri sau servicii pentru subiecții datelor UE sau monitorizează comportamentul acestora. Se aplică tuturor societăților care prelucrează și dețin datele cu caracter personal ale persoanelor vizate care au reședința în Uniunea Europeană, indiferent de locația companiei.

Care sunt sancțiunile pentru nerespectarea obligațiilor?
Organizațiile pot fi amendate cu până la 4% din cifra de afaceri anuală globală pentru încălcarea GDPR sau 20 de milioane de euro. Aceasta este amenda maximă care poate fi impusă pentru cele mai grave încălcări, de exemplu, nu aveti consimțământul clientului pentru a procesa date. Există o abordare graduată a amenințărilor, de ex. unei societăți i se poate aplica o amendă de 2% pentru ca nu are înregistrările în ordine (articolul 28), fără a notifica autoritatea de supraveghere Este important să rețineți că aceste reguli se aplică atât controlorilor, cât și procesatorilor – adică „cloud-ul” nu va fi scutiț de aplicarea GDPR.

Ce reprezintă date personale?
Orice informație referitoare la o persoană fizică sau  „Subiect de date”, care poate fi utilizată pentru identificarea directă sau indirectă a persoanei. Poate fi orice, de la un nume, o fotografie, o adresă de e-mail, detalii bancare, postări pe site-uri de socializare, informații medicale sau o adresă IP a computerului.

Care este diferența dintre un procesor de date și un controlor de date?
Un controler este entitatea care determină scopurile, condițiile și mijloacele de prelucrare a datelor cu caracter personal, în timp ce procesatorul este o entitate care prelucrează date cu caracter personal în numele controlorului.

Condițiile de acordare a consimțământului au fost întărite, deoarece companiile nu vor mai putea folosi termeni și condiții lizibile lungi, legale, deoarece solicitarea de consimțământ trebuie furnizată într-o formă inteligibilă și ușor accesibilă, cu scopul de prelucrare a datelor atașată acest consimțământ – adică trebuie să fie lipsit de ambiguitate. Consimțământul trebuie să fie clar și deosebit de alte chestiuni și să fie furnizat într-o formă inteligibilă și ușor accesibilă, folosind un limbaj clar. Consimțământul explicit este necesar doar pentru prelucrarea datelor personale sensibile. Cu toate acestea, pentru datele non-sensibile, consimțământul „neechivoc” va fi suficient.

Cum se referă la subiecții de date cu vârsta sub 16 ani?

Acordul parental va fi necesar pentru a procesa datele personale ale copiilor sub vârsta de 16 ani pentru serviciile online; statele membre pot legifera pentru o vârstă mai mică de consimțământ, dar aceasta nu va fi sub vârsta de 13 ani.

Care este diferența dintre un regulament și o directivă?
Un regulament este un act legislativ obligatoriu. Acesta trebuie aplicat în întregime în întreaga UE, în timp ce o directivă este un act legislativ care stabilește un obiectiv pe care toate țările UE trebuie să-l atingă. Cu toate acestea, depinde de fiecare țară să decidă cum. Este important de menționat că GDPR este un regulament, spre deosebire de legislația anterioară, care este o directivă.

Afacerea mea trebuie să numească un responsabil de protecție a datelor (DPO)?
DPO trebuie să fie desemnați în cazul: (a) autorităților publice, (b) organizațiilor care se ocupă de o monitorizare sistematică la scară largă sau (c) organizațiilor care se ocupă de procesarea la scară largă a datelor cu caracter personal sensibile (articolul 37). Dacă organizația dvs. nu se încadrează într-una din aceste categorii, atunci nu este necesar să desemnați un DPO.

Cum afectează GDPR politica privind încălcarea datelor?
Propunerile de reglementare privind încălcările datelor se referă în primul rând la politicile de notificare ale companiilor care au fost încălcate. Încălcările de date care pot reprezenta un risc pentru indivizi trebuie să fie notificate APD în termen de 72 de ore și persoanelor afectate fără întârzieri nejustificate.

GDPR va crea un ghișeu unic pentru reglementarea confidențialității datelor?
Discuțiile legate de principiul ghișeului unic sunt printre cele mai dezbătute și sunt încă neclare deoarece pozițiile în picioare sunt foarte variate. Textul Comisiei are o hotărâre destul de simplă și concisă în favoarea acestui principiu, Parlamentul promovează, de asemenea, o inițiativă DPA și adaugă o mai mare implicare din partea altor actori implicați, punctul de vedere al Consiliului reduce aptitudinea conducerii DPA. O analiză mai aprofundată a dezbaterii privind politica de ghișeu unic poate fi găsită mai jos .

Portabilitatea datelor

Dreptul la portabilitatea datelor are propriul său articol (18) în documentele comisiei și ale propunerilor consiliului, dar face parte din dreptul de a accesa articolul (15) în textul parlamentului. Citatele relevante din fiecare proiect sunt următoarele:

Textul Comisiei:
Atunci când persoana vizată a furnizat datele cu caracter personal și prelucrarea se bazează pe consimțământ sau pe un contract, persoana vizată are dreptul de a transmite aceste date cu caracter personal și orice alte informații furnizate de persoana vizată și reținute de un sistem de prelucrare automatizat, în altul, într-un format electronic, care este utilizat în mod obișnuit, fără a împiedica operatorul de la care sunt retrase datele cu caracter personal.

În cazul în care persoana vizată a furnizat datele cu caracter personal în care datele personale sunt prelucrate prin mijloace electronice, persoana vizată are dreptul de a obține de la operator o copie a datelor cu caracter personal furnizate într-un format electronic și interoperabil care este utilizat în mod obișnuit și permite pentru utilizarea ulterioară de către persoana vizată fără a se împiedica operatorul de la care sunt retrase datele cu caracter personal. În cazul în care este fezabil și disponibil din punct de vedere tehnic, datele sunt transferate direct de la operator la controlor la cererea persoanei vizate.

Textul Consiliului:
Dreptul [la portabilitatea datelor] nu se aplică în cazul în care divulgarea datelor cu caracter personal ar aduce atingere drepturilor de proprietate intelectuală în legătură cu prelucrarea acestor date cu caracter personal. Persoana vizată are dreptul de a primi datele personale într-un format structurat și utilizat în mod obișnuit și lizibil în computer.