Din mai 2018, firmele trebuie să țină o evidență a prelucrărilor de date personale
Companiile mari ce prelucrează date personale, dar și cele mici, atunci când datele prelucrate sunt sensibile, vor trebui să țină o evidență strictă a acestor activități, conform unui regulament european ce se va aplica, începând din mai 2018, și în România.
Practic România și celelalte state membre ale Uniunii Europene vor avea un cadru legal unic în materie de prelucrare a datelor personale, reglementările naționale folosite până acum urmând să iasă din vigoare.
Păstrarea unei evidențe a prelucrărilor de date personale este o obligație ce va viza marile firme, indiferent că sunt publice sau private, începând din data de 25 mai 2018, se arată în Regulamentul general privind protecția datelor (GDPR). Mai exact, este vorba de societățile cu minimum 250 de angajați, dar pot fi obligate să aplice regula și firmele mai mici, dacă prelucrările sunt de date mai sensibile.
Obligațiile menționate (…) nu se aplică unei întreprinderi sau organizații cu mai puțin de 250 de angajați, cu excepția cazului în care prelucrarea pe care o efectuează este susceptibilă să genereze un risc pentru drepturile și libertățile persoanelor vizate, prelucrarea nu este ocazională sau prelucrarea include categorii speciale de date (…) sau date cu caracter personal referitoare la condamnări penale și infracțiuni (…)”, scrie în actul normativ.
Ce sunt datele cu caracter personal?
Datele cu caracter personal sunt orice informații care se referă la o persoană fizică identificată sau identificabilă. Informațiile diferite care, adunate, pot duce la identificarea unei anumite persoane constituie și ele date cu caracter personal.
Datele cu caracter personal care au fost anonimizate, criptate sau pseudonimizate, dar pot fi utilizate pentru reidentificarea unei persoane rămân date cu caracter personal și sunt vizate de RGPD.
Datele cu caracter personal care au fost făcute anonime în așa fel încât persoana fizică nu este sau nu mai este identificabilă nu mai sunt considerate date cu caracter personal. Pentru ca datele să fie cu adevărat anonimizate, anonimizarea trebuie să fie ireversibilă.
RGPD protejează datele cu caracter personal indiferent de tehnologia utilizată pentru prelucrarea datelor respective – este „neutră din punct de vedere tehnologic” și se aplică atât prelucrării automate, cât și prelucrării manuale, cu condiția ca datele să fie organizate potrivit unor criterii predefinite ( de exemplu, în ordine alfabetică). De asemenea, nu contează cum sunt stocate datele – într-un sistem de TIC, prin supraveghere video sau pe hârtie; în toate aceste cazuri, datele cu caracter personal sunt supuse cerințelor de protecție formulate în RGPD.
Exemple de date cu caracter personal:
- un nume și prenume;
- o adresă de domiciliu;
- o adresă de e-mail, cum ar fi [email protected];
- un număr de act de identitate;
- date privind locația (de exemplu, funcția de date privind locația disponibilă pe un telefon mobil)*;
- o adresă de protocol de internet (IP);
- un identificator de modul cookie*;
- identificatorul de publicitate al telefonului dvs.;
- date deținute de către un spital sau un medic, care ar putea fi un simbol ce identifică în mod unic o persoană.
*Rețineți că în unele cazuri există o legislație sectorială specifică, care reglementează, de exemplu, situațiile de utilizare a datelor privind locația sau utilizarea modulelor cookie – Directiva privind confidențialitatea în mediul electronic [Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 (JO L 201, 31.7.2002, p. 37), și Regulamentul (CE) nr. 2006/2004 al Parlamentului European și al Consiliului din 27 octombrie 2004 (JO L 364, 9.12.2004, p. 1)].
Hărțuirea prin apeluri publicitare şi mail-uri pline de reclame ar trebui să devină istorie.
Regulamentul UE privind protecția datelor (GDPR) înlocuiește Directiva 95/46 / CE privind protecția datelor. Și a fost conceput pentru a proteja cetățenii UE de încălcarea datelor personale: identitate, adresă, mail, număr de telefon.
Zilnic eram bombardați pe mail de reclame la diverse produse, sunați sau chiar vizitați la domiciliu. Iar unii făceau bani frumoși din vânzarea de date către marile companii.
Unde faci reclamație
De patru zile acest lucru nu mai este posibil, iar dacă sunt firme care se încumetă să nu respecte regulmentul pot fi reclamați la Poliție, dar și la Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal.
În plus, li se poate aplica o amendă de până la 4% din cifra de afaceri anuală globală sau 20 de milioane de euro (se aplică suma care este mai mare).
Unele companii au început să ceară acceptul, altele doar ne-au promis că ne vor proteja datele. Nu este suficient! Dacă și tu ai primit un astfel de mail, trebuie să revii cu un mail prin care să le ceri explicit să te scoată din baza de date.
Atenție! Specialiștii spun că sunt și hackeri care se folosesc de noua prevedere și trimit mail-uri în numele băcilor, spre exemplu, și cer numerele cardurilor și codurile pin.
Polițiștii au voie la baza de date
Dar sunt și entități care nu se supun regulmanetului și pot avea acces la datele personale.
-Autoritățile care se ocupă de securitatea națională;
-Polițiștii, în scopul prevenirii, investigării, detectării sau urmăririi penale a infracțiunilor și a aspectelor asociate;
-Înstituțiile UE, care aplică Regulamentul 45/2001 / CE în locul GDPR. Prezentul regulament este necesar să fie actualizat pentru a asigura coerența cu GDPR;
-Poșta Română;
-Companiile de furnizare a utilităților;
-Școlile, universitățile.
Există reguli și în cazul copiilor
În ceea ce-i privește pe copiii lucrurile devin serioase.
– este interzisă prelucrarea datelor de la copiii cu vârsta mai mică de 13 ani;
– oferirea de servicii online în mod direct unui copil, ce presupune prelucrarea datelor acestuia, este legală dacă copilul are cel puțin vârsta de 16 ani;
– dacă copilul are sub vârsta de 16 ani, respectiva prelucrare este legală numai dacă și în măsura în care consimțământul respectiv este acordat sau autorizat de către părintele sau persoana responsabilă care exercită asupra copilului.
Efectele aplicării GDPR-ului în România
– eliminarea formalismului – nu mai este necesară notificarea Autorității Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal;
– responsabilizarea operatorilor de date prin obligațiile de a asigura respectarea dispozițiilor GDPR-ului prin intermediul persoanelor desemnate, iar în cazurile speciale, numirea unui ofițer de date personale;
– în cazul transferului de date în străinătate – nu mai este necesară obținerea autorizației de transfer, însă se impune depunerea documentației necesare (a contractului cu clauze standard, BCR);
– operatorul este obligat să asigure îndeplinirea obligațiilor privind informarea clară și neechivocă a subiecților de la care se prelucrează datele și să obțină consimțământul acestora în vedera utilizării datelor.