Informații de bază

GDPR este un regulament general privind protecția persoanelor fizice în legatură cu prelucrarea datelor cu caracter personal. Acesta stabilește un set unic de reguli care se aplica în toate statele membre ale Uniunii Europene începand cu 25 Mai 2018.

Astfel, persoanele fizice vor beneficia de un control suplimentar asupra datelor lor personale. Ca urmare a acestui control, va fi asigurată transparența cu privire la utilizarea datelor lor și vor fi impuse mijloace de control pentru protejarea acestora.

Regulamentul se aplică oricui, indiferent de dimensiune și domeniu.

Legea vizează companiile, agențiile guvernamentale, organizațiile non-profit și alte organizații care oferă bunuri și servicii persoanelor din Uniunea Europeana sau care colectează și analizează date legate de rezidenții Uniunii Europene.

Mai exact, regulamentul va fi direct aplicabil oricărei companii care:

– furnizează bunuri sau servicii indivizilor din țările membre ale Uniunii Europene;
– monitorizează comportamentul indivizilor din țări membre ale Uniunii Europene;
– are angajați în țări membre ale Uniunii Europene.

Datele cu caracter personal pot fi:
– informații de sănătate;
– informații genetice;
– informații biometrice;
– informații privind rasa sau etnia;
– informații privind părerile politice;
– informații privind orientarea sexuală.

Orice operaţiune sau set de operaţiuni care se efectuează asupra datelor cu caracter personal, prin mijloace automate sau neautomate, cum ar fi colectarea, înregistrarea, organizarea, stocarea, adaptarea ori modificarea, extragerea, consultarea, utilizarea, dezvăluirea către terţi prin transmitere, diseminare sau în orice alt mod, alăturarea ori combinarea, blocarea, ştergerea sau distrugerea.

Un procesator reprezintă un furnizor de servicii care procesează date personale pentru o organizație.

Acestea pot fi:
– Servicii cloud;
– Call-center.

Consimțământ valid

Reguli mai stricte pentru obținerea consimțământului ca baza legală pentru procesare.

Transparență
Dreptul la informații clare asupra datelor ce sunt colectate și cum sunt acestea procesate.

Corecție
Dreptul de a corecta date personale incorecte.

Ștergere
Dreptul, în anumite cazuri, de a cere ștergerea datelor personale.

Portabilitatea datelor
Dreptul de a muta datele personale de la un furnizor la altul.

Procesare automată
Dreptul de a nu fi subiectul unei decizii bazată exclusiv pe procesare automată.

Răspundere

Sa demonstreze conformarea cu regulamentul GDPR prin pastrarea unui registru cu toate activitatile de procesare de date.

  • Evaluarea impactului protectiei asupra datelor cu caracter personal.

Obligatoriu daca din activitatea de procesare poate rezulta un pericol ridicat pentru drepturile individului

  • Siguranta datelor

Pastrarea in siguranta a datelor personale prin „masuri tehnice si organizatorice adecvate”.

  •  Violarea datelor

Raportarea violarii datelor la organul competent in maxim 72 ore

  • Ofiter de protectie a datelor

Obligatoriu daca :

– este autoritate publica

– se monitorizeaza persoane la scala mare

– se proceseaza informatii sensibile

  • Transfer de date

Transferul de date personale in afara UE este permis doar daca sunt luate masurile de siguranta adecvate

  • Articolul 83 defineste amenzile ca fiind 4% din cifra de afaceri anuala sau pana la 20Mil €, fiind aplicata oricare este mai mare.
  • Se ofera compensari pentru daunele suferite.
  • Pierderea reputatiei firmei si scaderea increderii consumatorului.
  • Angajarea unui ofiter pentru protejarea datelor
  • Crearea unui plan de protejare a datelor
  • Efectuarea unei evaluari a riscului pentru a identificarea datelor cetatenilor UE si unde poate fi compromisa
  • Implementarea unor masuri de siguranta pentru a reduce riscul si pentru a fi in conformitate cu masurile GDPR.
  • Evaluari periodice pentru o imbunatatire continua

GDPR a intrat in vigoare pe 25 mai 2018, inlocuind Directiva existenta privind protectia datelor (Directiva 95/46/CE), care este in vigoare din 1995.

In momentul de fata, singura certificare existenta este ISO 27001.

Clasificare arii de risc

Arii cu risc ridicat

Afaceri ce implica colectarea si/sau procesarea de date cu caracter personal din categoria datelor speciale (informatii despre minori, informatii despre sanatate, pareri politice, apartenenta religioasa).

Exemple

  • scoli si gradinite
  • cabinete medicale
  • asigurari

Arii cu risc mediu

Afaceri ce implica colectarea si/sau procesarea de date cu caracter personal (nume, localizare, IP, cookies)

Exemple

  • centre fitness
  • e-commerce
  • afaceri cu abonati
  • activitati de sondare a pietii
  • activitati de email marketing
  • activitati de telesales

Arii cu risc scazut

Afaceri ce nu implica colectarea si/sau procesarea de date cu caracter personal (nume, localizare, IP, cookies)

Exemple

  • magazine fizice

Solutia necesara:

  1. Proiect GDPR (Audit + Implementare Juridica si Tehnica)
  2. Data Protection Officer (DPO) Intern sau Externalizat
  3. Asistenta post-implementare in caz de control, bresa de securitate sau solicitare din partea Persoanei Vizate

Solutia necesara:

  1. Proiect GDPR (Audit + Implementare Juridica si Tehnica)
  2. Asistenta post-implementare in caz de control, bresa de securitate sau solicitare din partea Persoanei Vizate

Solutia recomandata:

Audit

Riscurile neconformității

Companiile din EU si din afara EU ce sunt conforme cu GDPR nu vor risca amenda de 4% din cifra lor globala de afaceri doar pentru a continua relatia comerciala cu tine.

Exista deja cazuri in care mari companii din strainatate au solicitat dovezi de conformitate cu GDPR pentru a continua relatia contractuala cu antreprize locale.

Autoritatile locale pot fi sesizate de catre orice persoana rezidenta in EU, in legatura cu posibile incidente GDPR.

E de asteptat ca in acest caz, sa urmeze o investigatie ce poate fi finalizata cu obligativitatea de a implementa anumite actiuni, sanctiuni comerciale sau chiar amenzi de pana la 4% din cifra de afaceri, dar maxim EUR 20 milioane.

Orice persoana fizica are dreptul de a te chema in instanta si de a pretinde daune morale daca:

  • ai gestionat necorespunzator date sale cu caracter personal
  • nu ai respectat noile sale drepturi, asa cum sunt ele prevazute de GDPR

Mai mult, nu exista o limita superioara a daunelor pe care o persoana le poate solicita in acest caz.

Cerintele de digitalizare, de colaborare si de transparenta ale GDPR vor defini o noua era a modului de lucru la birou.

Drept urmare, companii ce vor presta servicii fara aceste noi instrumente vor avea un dezavantaj competitiv evident in fata utilizatorului obisnuit in spiritul GDPR.

Rolul acestei pagini web este de a implementa și testa un set suficient de reguli care sa ofere unui site conformitate cu GDPR. Mai multe detalii referitoare la noul regulament GDPR puteți accesa aici.

Află despre: