La data de 25 mai 2018 va intra în vigoare Regulamentul european de protecție a datelor (General Data Protection Regulation – GDPR). Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului, noul Regulament general privind protecția datelor al Uniunii Europene („GDPR”) reglementează prelucrarea de către o persoană fizică, o societate sau o organizație a unor date cu caracter personal referitoare la persoane fizice în UE.
Date cu caracter personal
Datele cu caracter personal sunt orice informații care se referă la o persoană fizică identificată sau identificabilă. Informațiile diferite care, adunate, pot duce la identificarea unei anumite persoane constituie și ele date cu caracter personal.
Datele cu caracter personal care au fost anonimizate, criptate sau pseudonimizate, dar pot fi utilizate pentru reidentificarea unei persoane rămân date cu caracter personal și sunt vizate de GDPR.
Datele cu caracter personal care au fost făcute anonime în așa fel încât persoana fizică nu este sau nu mai este identificabilă nu mai sunt considerate date cu caracter personal. Pentru ca datele să fie cu adevărat anonimizate, anonimizarea trebuie să fie ireversibilă.
GDPR protejează datele cu caracter personal indiferent de tehnologia utilizată pentru prelucrarea datelor respective – este „neutră din punct de vedere tehnologic” și se aplică atât prelucrării automate, cât și prelucrării manuale, cu condiția ca datele să fie organizate potrivit unor criterii predefinite.
Prelucrarea datelor
„Prelucrarea” acoperă o varietate amplă de operații efectuate asupra datelor cu caracter personal, inclusiv prin mijloace manuale sau automate. Aceasta include colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea datelor cu caracter personal.
Regulamentul general privind protecția datelor (GDPR) se aplică prelucrării datelor cu caracter personal, efectuată total sau parțial prin mijloace automatizate, precum și prelucrării prin mijloace neautomatizate, dacă aceasta face parte dintr-un sistem structurat de evidență a datelor.
Tipul și cantitatea de date cu caracter personal pe care societatea/organizația are dreptul să le prelucreze depind de motivul pentru care sunt prelucrate (temeiul juridic în cauză) și de scopul în care sunt prelucrare. Societatea/organizația trebuie să respecte mai multe norme-cheie, inclusiv următoarele:
- datele cu caracter personal trebuie prelucrate într-un mod legal și transparent, garantând echitatea în ceea ce privește persoanele fizice ale căror date cu caracter personal sunt prelucrate („legalitate, echitate și transparență”);
- trebuie să existe scopuri specifice ale prelucrării datelor și societatea/organizația trebuie să informeze persoanele fizice în legătură cu scopurile respective atunci când le colectează date cu caracter personal. Societatea/organizația nu poate colecta pur și simplu date cu caracter personal în scopuri nedefinite („limitări legate de scop”);
- societatea/organizația trebuie să colecteze și să prelucreze numai acele date cu caracter personal care sunt necesare pentru îndeplinirea scopului respectiv („reducerea la minimum a datelor”);
- societatea/organizația trebuie să se asigure că datele cu caracter personal sunt exacte și actualizate, având în vedere scopurile pentru care sunt prelucrate, și să fie corectate în caz contrar („exactitate”);
- societatea/organizația nu are dreptul să utilizeze datele cu caracter personal în alte scopuri care nu sunt compatibile cu scopul inițial;
- societatea/organizația trebuie să se asigure că datele cu caracter personal nu sunt stocate mai mult timp decât este necesar pentru scopurile în care au fost colectate („limitări legate de stocare”);
- societatea/organizația trebuie să prevadă garanții tehnice și organizaționale adecvate care să asigure securitatea datelor cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnologice adecvate („integritate și confidențialitate”).
Pe cine vizează GDPR-ul?
GDPR se aplică în cazul: unei societăți sau unei entități care prelucrează date cu caracter personal ca parte a activităților uneia dintre sucursalele sale cu sediul în UE, indiferent unde are loc prelucrarea datelor; sau unei societăți care are sediul în afara UE și oferă bunuri/servicii (contra cost sau gratuit) sau monitorizează comportamentul unor persoane fizice din UE.
Regulamentului privind protecția datelor nu depinde de mărimea societății/organizației dvs., ci de natura activităților pe care le desfășurați. Activitățile care prezintă riscuri ridicate pentru drepturile și libertățile persoanelor fizice, indiferent dacă sunt desfășurate de către un IMM sau de către o corporație, atrag aplicarea unor norme mai stringente. Cu toate acestea, unele obligații prevăzute de GDPR nu li se aplică tuturor IMM-urilor.
De exemplu, societățile cu mai puțin de 250 de angajați nu au obligația să păstreze evidențe ale activităților lor de prelucrare decât dacă prelucrarea datelor cu caracter personal este o activitate regulată, reprezintă o amenințare la adresa drepturilor și a libertăților persoanelor fizice sau se referă la date sensibile ori la caziere judiciare.
Tot astfel, IMM-urile au obligația de a numi un responsabil cu protecția datelor numai dacă prelucrarea reprezintă activitatea lor principală și dacă aceasta implică anumite amenințări la adresa drepturilor și a libertăților persoanelor fizice (cum ar fi monitorizarea persoanelor fizice sau prelucrarea unor date sensibile ori a unor caziere judiciare), în special pentru că se desfășoară la scară largă.
Notă: Nerespectarea noilor reguli privind protecția datelor va putea aduce operatorilor amenzi de până la 20 de milioane de euro sau, în cazul oricărei entități ce desfășoară activități economice, de până la 4% din cifra de afaceri mondială totală anuală aferentă exercițiului financiar anterior.
Pentru mai multe informații: Comisia Europeană – GDPR