GDPR
- Acasă
- GDPR
Ce este GDPR?
GDPR (General Data Protection Regulation) este Regulamentul Parlamentului European și al Consiliului care stabileşte normele referitoare la protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal, precum şi normele referitoare la libera circulaţie a datelor cu caracter personal.
Regulamentul Uniunii Europene privind protecția datelor este considerată a fi una dintre cele mai puternice și mai cuprinzătoare încercări la nivel mondial de a reglementa colectarea și utilizarea datelor cu caracter personal. Acesta a fost adoptat în 2016 de Uniunea Europeană și a intrat în vigoare la 25 mai 2018, în toate cele 28 de state membre ale UE (de la acel moment). GDPR înlocuiește Directiva 95/46/CE (așa-numita Directivă privind protecția datelor cu caracter personal), este obligatoriu și aplicabil direct în toate Statele Membre UE. Astfel cum prevede considerentul 10 din Regulament, „pentru a se asigura un nivel consecvent şi ridicat de protecţie a persoanelor fizice (…), nivelul protecţiei drepturilor şi libertăţilor persoanelor fizice în ceea ce priveşte prelucrarea unor astfel de date ar trebui să fie echivalentă în toate statele membre”. În practică, datorită diferențelor considerabile în ceea ce privea dispozițiile naționale de punere în aplicare a Directivei mai sus menționate, nivelul de protecție a datelor cu caracter personal și abordările acestui aspect variau foarte mult de la un stat membru la altul.
Dreptul la confidențialitate și protecția datelor cu caracter personal sunt concepte care ne oferă posibilitatea de a controla informațiile colectate despre noi.
Pentru a garanta respectarea acestor dreptul, legiuitorul european a considerat necesară instituirea unui cadru stabil și coerent pentru protecția datelor cu caracter personal și pentru consolidarea dreptului fundamental la viață privată ale persoanelor fizice în era digitală.
Potrivit prevederilor sale exprese, Regulamentul „stabilește norme referitoare la protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și reguli referitoare la libera circulație a datelor cu caracter personal, protejează drepturile și libertățile fundamentale ale persoanelor fizice, în special dreptul acestora în ceea ce privește protecția datelor cu caracter personal”. Mai simplu spus, GDPR acoperă protecția vieții private și a datelor cu caracter personal ale persoanelor fizice într-o manieră largă și abordează, de asemenea, problema liberei circulații a datelor cu caracter personal în UE.
Cine sunt persoanele vizate?
Persoana vizată este persoana fizică. Potrivit considerentului 14, „protecţia conferită de regulament ar trebui să vizeze persoanele fizice, indiferent de cetăţenia sau de locul de reşedinţă al acestora, în ceea ce priveşte prelucrarea datelor cu caracter personal ale acestora”. GDPR nu se aplică prelucrării datelor cu caracter personal care privesc persoane juridice şi, în special, întreprinderi cu personalitate juridică, inclusiv numele, tipul de persoană juridică şi datele de contact ale persoanei juridice. Informațiile sunt considerate date cu caracter personal doar atunci când se referă la o persoană fizică. De asemenea, nu se aplică datelor cu caracter personal referitoare la persoane decedate (considerentul 27).
Când se aplică?
Domeniul de aplicare material și teritorial al GDPR este prevăzut la articolele 2 și 3. În temeiul art. 2 alin. 1, GDPR se aplică „prelucrării datelor cu caracter personal, efectuate total sau parțial prin mijloace automatizate, precum şi prelucrării prin alte mijloace decât cele automatizate a datelor cu caracter personal care fac parte dintr-un sistem de evidenţă a datelor sau care sunt destinate să facă parte dintr-un sistem de evidenţă a datelor” (de exemplu, datele sunt stocate într-o manieră care permite găsirea anumitor persoane, cum ar fi fișiere în ordine alfabetică ale clienților).
Ca regulă generală, GDPR se aplică prelucrării datelor cu caracter personal în cadrul activităţilor unui sediu al unui operator sau al unei persoane împuternicite de operator, pe teritoriul Uniunii, indiferent dacă prelucrarea are loc sau nu pe teritoriul Uniunii.
Operatorul este persoana fizică, juridică sau alt organism care, singur sau împreună cu altele, stabileşte scopurile şi mijloacele de prelucrare a datelor cu caracter personal, iar persoana împuternicită de operator se ocupă de date cu caracter personal, conform instrucțiunilor unui operator.
Prelucrarea datelor înseamnă orice operaţiune efectuată asupra datelor cu caracter personal, de exemplu, simpla colectare sau stocare de date cu caracter personal.
Scopul GDPR este de a proteja persoanele fizice în prelucrarea datelor cu caracter personal. Ceea ce se înțelege prin „date cu caracter personal”, în sensul GDPR este definit (parțial) în art. 4 pct. 1. Potrivit acestuia, „date cu caracter personal” înseamnă orice informație referitoare la o persoană fizică identificată sau identificabilă. Cu alte cuvinte, trebuie să fie informații despre persoana vizată sau despre o situație legată de acestea. Expresia „orice informații” transmite un semnal clar că acest concept ar trebui să fie cât mai larg posibil și că se urmărește o interpretare largă. În principiu, toate informațiile care pot fi legate de o persoană fizică sunt considerate date sensibile.
Termenul include toate tipurile de informații obiective, subiective, opinii sau păreri despre o persoană. Informațiile obiective sunt, de exemplu: numele, data nașterii, scrisul de mână, numărul de telefon sau adresa de e-mail, starea civilă, aspectul fizic, nivelul de educație, profesia, realizările, veniturile, numerele cărților de credit, parole, caracteristici, starea de sănătate, înregistrări vocale, fotografii. Informațiile subiective ar putea fi, de exemplu opinii, declarații, dorințe, judecăți de valoare. Informațiile care constituie date cu caracter personal nu trebuie să fie adevărate și nu trebuie să fie universal inteligibile.
Principiile GDPR
GDPR introduce șase principii, prevăzute la articolul 5, care trebuie urmate de orice operator de prelucrare a datelor:
1. legalitatea, corectitudinea și transparența – impune prelucrarea datelor în mod legal și corect de la persoanele vizate și înștiințarea acestora despre motivul prelucrării într-un limbaj pe care îl pot înțelege.
2. limitarea scopului – interzice folosirea datelor în alt mod decât cel prezentat persoanei fizice.
3. minimizarea datelor – interzice prelucrarea a mai multor date decât este necesar.
4. acuratețea – impune actualizarea datelor colectate la zi.
5. limitarea stocării – impune limitarea la minim a perioadei pentru care datele sunt stocate.
6. integritatea, confidențialitatea și responsabilitatea – impune operatorului implementarea de politici adecvate și măsuri tehnice și organizatorice pentru a garanta şi a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu regulamentul.
În modul descris mai sus, GDPR formulează principiile de bază ale protecției datelor cu caracter personal. În dispozițiile ulterioare, acesta oferă doar orientări generale cu privire la modul în care protecția ar trebui să se efectueze.
Din toate cele de mai sus, principiul responsabilității este fundamental pentru GDPR. Acesta oferă siguranța că operatorii de date respectă regulile pe care regulamentul le impune, oferindu-i astfel efectivitate ridicată. În practică, aceasta înseamnă că operatorii trebuie să poată da socoteală de modul în care se conformează și pun în aplicare dispozițiile GDPR. Pe scurt, operatorul de date este responsabil nu numai de implementarea măsurilor adecvate pentru protecția datelor cu caracter personal, dar trebuie să poată demonstra că aceste măsuri au fost puse în aplicare. Cu alte cuvinte, nu este suficient să protejeze datele personale, dar trebuie să dețină politici adecvate și măsuri tehnice pentru a garanta şi a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu regulamentul (registre, analize, acorduri, consimțământuri exprese).
În exemplu practic, un client poate solicita acces la datele sale sau chiar o copie a datelor, inclusiv o copie a consimțământului acordat operatorului. Operatorul nu este capabil să localizeze consimțământul și, prin urmare, afirmă doar că a fost acordat consimțământul. Clientul depune o plângere la Autoritatea de Supraveghere, declarând că nu a dat acest acord, iar Autoritatea de Supraveghere începe să investigheze. Ancheta relevă că operatorul nu a avut grijă să țină o evidență a consimțământurilor privind prelucrarea datelor. Operatorul este amendat.
Când este legal să prelucrezi datele cu caracter personal?
Articolul 6 din GDPR enumeră cazurile în care este legal să se prelucreze datele cu caracter personal:
1. persoana vizată ți-a dat consimțământul neechivoc pentru prelucrarea datelor (de exemplu, a consimțit în scris),
2. prelucrarea este necesară pentru a executa sau pentru a încheia un contract la care persoana vizată este parte (de exemplu, trebuie să se efectueze o verificare a datelor înainte de a închiria o proprietate către un potential chiriaș),
3. prelucrarea este necesară pentru a respecta o obligație legală (scopul general trebuie să fie acela de a respecta o obligație care are o bază legală în dreptul comun).
4. prelucrarea datelor este necesară pentru a salva viața cuiva (domeniul de aplicare al acestui temei este foarte limitat și, în general, se aplică numai aspectelor ce țin de viață și moarte),
5. procesarea este necesară pentru a îndeplini o sarcină în interesul public sau rezultă din exercitarea autorității publice cu care este învestit operatorul (de ex. o companie privată de colectare a gunoiului),
6. există un interes legitim de a procesa datele personale ale cuiva (aceasta este cea mai flexibilă bază legală pentru prelucrarea datelor cu caracter personal, deși drepturile și libertățile fundamentale ale persoanei vizate depășesc întotdeauna interesele altei persoane).
După ce s-a stabilit temeiul legal pentru prelucrarea datelor, trebuie să existe o dovadă a acestuia, iar persoana vizată trebuie informată, în conformitate cu principiul transparenței. Dacă se decide ulterior schimbarea temeiului persoana vizată trebuie din nou notificată.
Iată, așadar, pe scurt prezentate de REVIS aspectele esențiale de avut în vedere de către orice persoană cu privire la GDPR.