Explicații despre GDPR. Ce este
GDPR? Ce înseamnă noul regulament pentru tine ca individ? Ce înseamnă
pentru companii sau organizații? Citește FAQ-ul pentru a afla mai multe
sau trimite-ne o întrebare și vom încerca să răspndem aici!
GDPR: Tot ce vrei să știi
-
Ce este GDPR?Regulamentul General privind Protecția Datelor (GDPR) este noul regulament european privind protecția datelor cu caracter personal, care intră în aplicare la 25 mai 2018.
-
Ce face?Reglementează modul în care datele personale pot fi prelucrate de întreprinderi private, de administrația de stat și de alte organizații. ("Prelucrarea" include orice acțiuni în legătură cu colectarea, agregarea, exploatarea sau partajarea datelor.) De asemenea, GDPR reglementează faptul că datele cu caracter personal trebuie să fie stocate și procesate în siguranță.
-
Pentru cine este creat GDPR?GDPR este conceput pentru a proteja datele personale ale tuturor celor care trăiesc în Uniunea Europeană. Regulamentul vizează crearea unui standard pentru toate țările membre, simplificând activitatea în Europa.
-
Cine este responsabil pentru aplicarea regulilor?Uniunea Europeană și statele membre ale acesteia sunt responsabile de punerea în aplicare a GDPR. Fiecare stat este obligat să înființeze o autoritate publică independentă pentru protecția datelor (în cazul nostru ANSPDCP) pentru a se asigura că GDPR este aplicat, pentru a gestiona reclamațiile depuse de persoane fizice și pentru a impune amenzi atunci când este necesar, pentru a aproba coduri de conduită și a informa (de ex. prin desfășurarea campaniilor educaționale). Plângerile directe ale persoanelor cu privire la activitățile companiilor vor fi puse în aplicare de autoritățile de protecție a datelor și de instanțele naționale, cu consultarea Curții de Justiție a UE, dacă este necesar.
-
Cine trebuie să se conformeze?Regulamentul va fi aplicat direct și în mod egal în toate cele 28 de țări ale Uniunii Europene, tuturor întreprinderilor private, administrației de stat și altor organizații care dețin și procesează date cu caracter personal. Aceste entități au avut peste doi ani - începând cu 27 aprilie 2016 - să se pregătească pentru respectarea prevederilor. Regulamentul se aplică însă și companiilor și organizațiilor care operează în afara UE: Dacă o companie sau o organizație prelucrează datele personale ale persoanelor care trăiesc în UE, trebuie să respecte GDPR - indiferent de locul în care se află acea companie sau organizație.
-
Unde găsesc mai multe informații despre GDPR?Site-ul autorității naționale pentru protecția datelor ar trebui să aibă informații mai detaliate, precum și instrucțiuni și sfaturi practice. Autoritatea pentru protecția datelor din Marea Britanie (ICO) oferă detalii accesibile și cuprinzătoare în limba engleză: https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/ Site-ul UE cuprinzând informații referitoare GDPR poate fi găsit aici: https://ec.europa.eu/commission/priorities/justice-and-fundamental-rights/data-protection/2018-reform-eu-data-protection-rules_en
-
Vor exista adăugări sau modificări la GDPR în viitorul apropiat?Este puțin probabil ca o nouă legislație să fie introdusă în viitorul apropiat, dar ne putem aștepta ca GDPR să fie clarificat în următorii ani prin intermediul orientărilor elaborate de autoritățile pentru protecția datelor și prin litigii. În prezent, UE lucrează la un nou regulament numit "ePrivacy", care va completa GDPR atunci când este vorba despre datele prelucrate online.
-
Cine nu trebuie să se conformeze?
- Anumite organe de stat, inclusiv agențiile de informații, poliția și instanțele judecătorești, vor fi guvernate de reguli naționale separate.
- Persoanele fizice sunt scutite dacă colectează date pentru "uz personal sau uz casnic" - de exemplu dacă stochează date personale de contact pe telefonul lor.
- Bisericile își pot menține propriile reglementări pentru protecția datelor cu caracter personal și organismele proprii care supraveghează acest domeniu - dar regulile lor trebuie să fie în continuare în conformitate cu GDPR.
-
GDPR se aplică companiilor americane?Da. De îndată ce o companie monitorizează sau urmărește comportamentul utilizatorilor de internet pe teritoriul UE, regulamentul se va aplica - indiferent unde se află compania.
-
GDPR se aplică datelor pe care le are angajatorul meu?Da. Angajatorul tău, ca orice altă organizație care procesează date, trebuie să se conformeze la GDPR. Cu toate acestea, fiecare stat membru al UE poate adopta norme specifice în ceea ce privește relația de muncă. Dacă ești interesat de acest lucru, ar trebui să cauți mai multe informații pe site-ul autorității naționale pentru protecția datelor.
-
Pot să vorbesc cu companii despre utilizarea datelor mele?Absolut! GDPR cere ca organizațiile și companiile să răspundă la întrebări cu privire la datele cu caracter personal. Ele îți pot răspunde dacă prelucrează sau nu datele tale personale în primul rând și, dacă este cazul, în ce scop, cât timp vor fi stocate și către cine sunt distribuite. Și dacă vrei să îți schimbi opinia cu privire la ce ai consimțit sau acceptat, companiile și organizațiile sunt, de asemenea, obligate nu numai să îți ușureze comunicarea acestei alegeri, ci și să acționeze asupra acesteia.
-
Ce este nou?Deși GDPR este mai mult o evoluție decât o revoluție a normelor UE existente, regulamentul include totuși unele schimbări substanțiale la ceea ce exista în reglementarea anterioară. Printre altele, noul regulament:
- Oferă persoanelor anumite drepturi noi (de exemplu, dreptul de a îți muta propriile date de la o companie la alta sau de la un serviciu la altul și dreptul de a solicita o copie a datelor pe care compania le deține despre tine); și obligă companiile /organizațiile la o mai mare transparență (de exemplu, trebuie să te informeze de unde provin datele pe care le prelucrează și în ce scopuri sunt procesate, trebuie să te informeze dacă ești profilat etc).
- Aduce un mod mai eficient de a aplica legea (de exemplu, prin intermediul companiilor care acordă amenzi sau permite persoanelor să se adreseze direct instanței în cazul unei încălcări).
- Simplifică regulile prin aplicarea exactă a aceleiași legi tuturor țărilor UE, dar oferă mai multă flexibilitate în modul în care întreprinderile respectă legea.
-
Ce anume sunt datele personale?Datele personale se află în centrul GDPR - regulamentul nu se aplică tuturor datelor pe care societățile le dețin. Datele personale sunt orice informație care poate fi folosită pentru identificarea unui individ. Identificarea unui individ poate fi adesea realizată prin punerea împreună a unor informații diferite, chiar și fără a atașa un nume. Asta înseamnă că multe elemente despre o anumită persoană pot duce la identificarea acesteia și că datele personale poate fi un concept destul de larg. O mărime de pantofi, un hobby sau o imagine, de exemplu, ar putea fi clasificate ca date personale dacă este posibil să se identifice pentru care persoană se aplică acești biți de informații. Reține, de asemenea, că nu este necesar ca doar operatorii de date (organizațiile / companiile care prelucrează date despre tine) să fie cei care te pot identifica, ci este vorba despre oricine poate pune cap la cap informația pentru a te identifica.
-
De ce sunt unele companii critice față de GDPR?Multe companii s-au obișnuit să îți trateze datele ca o "resursă gratuită" - ceva ce ar putea lua fără a cere permisiunea și exploata pentru propriul beneficiu financiar; ceva ce puteau colecta fără limită, fără a le proteja. GDPR este un instrument puternic pentru a determina companiile să reevalueze riscurile implicate - nu doar pentru persoanele ale căror date le prelucrează, ci și pentru ele însele, în ceea ce privește amenzile și pierderea încrederii clienților - și pentru a trata datele tale cu grija și respectul care ar fi trebuit să existe de la început.
-
Ce pot face dacă o companie utilizează datele mele personale împotriva voinței mele?De multe ori poate fi util să contactezi mai întâi compania. Indiferent dacă faci acest lucru, poți, de asemenea, să depui o plângere la Autoritatea Națională pentru Protecția Datelor (ANSPDCP) - chiar dacă firma nu are un birou în țara ta. Și dacă nu ești mulțumit de decizia autorității pentru protecția datelor, poți acționa compania în instanță. Poți, de asemenea, să nu mai apelezi la autoritatea pentru protecția datelor și să mergi direct în instanță dacă crezi că drepturile tale au fost încălcate. Dacă ai suferit un prejudiciu material sau moral, ca urmare a unei încălcări, poți solicita o despăgubire financiară. Părțile terțe, cum ar fi autoritățile pentru protecția consumatorilor, asociațiile pentru drepturile digitale sau alte grupuri de interese, ar putea, de asemenea, să inițieze litigii în numele tău și al altora.
-
Înseamnă că eu îmi pot șterge datele colectate de anumite companii?Nu chiar. Nu poți șterge toate datele personale oricând dorești. Dar poți cere ca datele tale să fie șterse în câteva situații specifice - de exemplu, dacă o companie / organizație nu mai are nevoie de date pentru a furniza serviciul pe care îl utilizezi sau dacă decizi să îți retragi consimțământul. Cu toate acestea, chiar și în astfel de cazuri, companiile pot avea în continuare motive pentru a păstra datele tale, de exemplu în scopuri fiscale sau de a se proteja de posibile plângeri viitoare.
-
Cum vor fi aplicate aceste drepturi?Fiecare țară va avea o autoritate publică independentă pentru protecția datelor pentru a se asigura că societățile respectă regulamentul. În România, este competentă în acest domeniu Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP). De asemenea te poți adresa instanțelor de judecată dacă consideri că ți-au fost încălcate drepturile.
-
Cum ar trebui să răspunzi în cazul unei încălcări a datelor?În conformitate cu GDPR, trebuie să raportezi orice încălcare către autoritatea de protecție a datelor, în principiu, în termen de 72 de ore de la luarea la cunoștință a acesteia. De asemenea, trebuie să informezi persoanele ale căror date le-ai procesat, atunci când este posibil ca încălcarea să aibă un impact negativ asupra acestora - de exemplu, dacă datele financiare sunt scoase din uz sau dacă persoanele neautorizate ar putea avea acces la informațiile lor medicale.
-
Faci destul?Ca organizație / companie, depinde de tine să evaluezi acest lucru, în funcție de natura modelului de afaceri și riscurile de confidențialitate asociate cu acesta. Deocamdată, un loc bun pentru a începe evaluarea este site-ul autorității pentru protecția datelor din Marea Britanie (ICO) care oferă detalii accesibile și cuprinzătoare în limba engleză: https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/
-
Trebuie să fac ceva ca să beneficiez de acest drepturi?Nu. Companiile și organizațiile trebuie să se asigure că datele tale personale sunt protejate. Există totuși decizii pe care trebuie să le iei.
- Pentru noile servicii pe care dorești să le utilizezi: dacă respectiva companie îți solicită să îi oferi date, ești într-adevăr de acord? (Dacă serviciul prelucrează numai datele strict necesare pentru furnizare, acesta trebuie să te informeze, dar nu trebuie să solicite consimțământul special. Când se solicită date care nu sunt necesare, atunci este nevoie de consimțământul explicit).
- Pentru serviciile pe care le utilizezi în prezent: Ești încă de acord cu modul în care compania / organizația colectează, analizează și permite accesul la datele tale personale? Dacă nu mai ești de acord, poți spune pur și simplu "nu".
- În cele din urmă: dacă crezi că drepturile tale nu sunt respectate, poți decide să raportezi acest lucru la autoritatea pentru protecția datelor sau chiar să îl contești în instanță.
-
Care sunt drepturile mele în cadrul GDPR?1. Ai dreptul să fii informat.
- Companiile și organizațiile sunt acum obligate să îți comunice, în limbaj simplu și accesibil, ce date personale procesează și cum le utilizează. ("Prelucrarea" include colectarea, agregarea, exploatarea sau partajarea datelor.)
- Dacă o companie sau o organizație îți construiește un profil (de exemplu, din date agregate din diferite surse), ai dreptul să știi ce conține acest profil.
- Dacă datele sunt inexacte, le poți modifica sau completa.
- Dacă datele nu mai sunt necesare, poți cere companiei / organizației să le șteargă.
- Dacă ai oferit inițial companiei / organizației mai multe date decât era necesar pentru furnizarea serviciului (de exemplu, în scopuri de marketing), dar nu mai dorești ca aceasta să aibă datele, poți cere să fie eliminate.
- Dacă s-a luat o decizie cu privire la datele tale prin mecanisme automate, ai dreptul să știi cum a fost luată decizia (adică ai dreptul la o explicație a raționamentului din spatele mecanismului folosit).
- Când vine vorba de luarea deciziilor automate, ai dreptul la intervenție umană din partea personalului și dreptul de a contesta orice decizie luată.
-
Cum pot să mă asigur că datele pe care le procesez sunt securizate în mod corespunzător?Planul tău de acțiune pentru a te asigura că procesezi în siguranță datele va depinde de o serie largă de factori: de exemplu tipurile de date pe care le stochezi, cât de sensibile sunt, cât de multe date procesezi, cât de complexă este infrastructura digitală și dacă ai cunoștințele de securizare a datelor sau alegi un serviciu extern pentru acest aspect. Cu toate acestea, trebuie să urmezi pașii următori:
- Identifici datele personale pe care le deții și depistezi unde stochezi aceste date.
- Efectuezi o evaluare a riscurilor, identificând posibile surse de acces neautorizat.
- Implementezi un plan de acțiune privind protecția datelor bazat pe evaluarea riscurilor, care include: minimalizarea datelor (colectezi, procesezi și stochezi numai datele de care ai nevoie); controlul accesului (limitarea persoanelor care au acces la datele cu caracter personal); securitatea stocării (unde stochezi date personale și / sau sensibile? Sunt stocate separat de datele care nu sunt personale / sensibile? Este stocarea criptată?); igiena digitală a personalului; și o politică de păstrare, arhivare și ștergere a datelor.
- Testezi securitatea sistemelor care stochează date personale (servere, e-mail, arhive etc.).
- Scrii toate acțiunile pe care le-ai luat pentru a proteja datele personale pe care le ai.
- Înființezi și testezi un plan de acțiune privind încălcarea datelor, care include roluri și responsabilități, și le raportezi autorității.
- Întocmești un plan pentru revizuirea periodică a acestor pași.
-
Ce riscuri sunt dacă nu implementez corect GDPR?Există riscul de a fi amendat de o autoritate națională pentru protecția datelor; de asemenea, poți fi dat în judecată direct de către un individ dacă ai încălcat drepturile persoanei respective. Cu toate acestea, probabil că cel mai mare risc constă în pierderea încrederii clienților dumneavoastră. Sondajele arată că majoritatea oamenilor doresc să fie siguri că datele lor nu sunt folosite abuziv și că aceștia sunt din ce în ce mai preocupați de protecția vieții private.
-
Există o abordare minimă?GDPR este în primul rând concentrat pe o evaluare a riscurilor pe care fiecare companie / organizație o face de la sine, și nu pe soluții "aplicabile tuturor". Un punct de plecare ar trebui să fie înțelegerea importanței drepturilor oamenilor de a controla informațiile despre ei înșiși și responsabilitatea ta pentru a te asigura că atunci când utilizatorii îți folosesc serviciile, acest drept este respectat. Ghidul emis de Grupul de lucru al Articolul 29 oferă exemple de bune și rele practici. De asemenea, poți să găsești linii directoare utile pe site-ul autorității pentru protecția datelor din Marea Britanie (ICO): https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/
-
Pot primi o amendă? Cum se vor aplica aceste amenzi?Dacă nu respecți GDPR, autoritatea pentru protecția datelor îți poate da o amendă. Acest lucru ar putea fi rezultatul unei plângeri depuse de o persoană sau al unui control inițiat de autoritate. Autoritatea pentru protecția datelor trebuie să se asigure că amenda în fiecare caz în parte este eficientă și proporțională. Se va lua în considerare, printre altele, natura și gravitatea încălcării, nivelul de neglijență, dacă ai întreprins acțiuni de diminuare a daunelor și bugetul companiei / organizației. Amenzile pot ajunge până la maximum 4% din cifra de afaceri anuală a unei companii / organizație și până la 20 de milioane de euro (în funcție de care valoare dintre cele două este mai mare).
-
De unde știm dacă suntem gata?Pentru început, ar trebui să poți răspunde DA la următoarele întrebări:
- Ai stabilit ce date personale procesezi și în ce scopuri?
- Poți justifica procesarea fiecărei categorii de date (adică temeiului juridic care îți oferă dreptul de a procesa categorii de date)?
- Oferi informații utilizatorilor / clienților despre modul în care procesezi datele personale?
- Te-ai asigurat că datele sunt stocate în siguranță și că nu pot fi accesate de către persoane neautorizate?
- Ai introdus proceduri în ceea ce privește ștergerea datelor de care nu mai ai nevoie?
- Știi ce să faci atunci când o persoană decide să-și folosească drepturile în temeiul GDPR, cum ar fi dreptul de a obține o copie a datelor lor?
- Ai stabilit nivelul și sursa oricăror riscuri care se referă la modul în care prelucrezi datele? Ai luat măsuri pentru a atenua aceste riscuri?
- Există o procedură de acțiune în cazul în care o persoană neautorizată obține accesul la datele personale?
- Te-ai asigurat că toți cei din companie / organizație cunosc procedurile corecte pentru prelucrarea și securizarea datelor cu caracter personal?
- Ai un plan pentru reevaluarea periodică a practicilor tale de prelucrare a datelor?
-
Trebuie să ne înregistrăm undeva?Nu. În contrast cu Directiva UE privind protecția datelor din 1995, GDPR nu cere să te înregistrezi la Autoritatea pentru Protecția Datelor. Totuși, dacă numești un responsabil pentru protecția datelor în companie, trebuie să trimiți autorității detaliile sale de contact. Conform GDPR, trebuie să desemnezi un responsabil pentru protecția datelor dacă procesezi date cu caracter personal și:
- ești un organism public (de exemplu, minister, școală, spital public);
- afacerea ta implică o monitorizare sistematică și regulată a datelor oamenilor pe scară largă (de exemplu, companii mari de tehnologie sau companii care efectuează scoruri de credit sau supraveghere video); sau
- procesezi date sensibile la scară largă (de exemplu spitale).
-
Există un mod oficial de implementare al GDPR?Luând în considerare varietatea de factori care intră în joc atunci când o companie sau o organizație procesează date personale, GDPR nu prevede o rețetă de punere în aplicare. Fiecare caz de implementare este diferit în funcție de particularități. În termeni generali, GDPR oferă persoanelor fizice (sau "persoanelor vizate") anumite drepturi și trebuie să vă asigurați că sunteți în măsură să respectați aceste drepturi. Pentru început, va trebui să cunoașteți exact ce date procesați, modul în care o faceți și să evaluați la ce riscuri expune acest lucru pentru persoanele vizate. În general, cu cât este mai mare riscul, cu atât mai mult va trebui să protejați datele; dacă stocați date personale sensibile (legate de sănătate, sexualitate, apartenența politică etc.) sau de detalii legate de plată, aveți o responsabilitate mai mare să protejați aceste date decât dacă ați procesa date despre măsurile pantofilor oamenilor. Pentru a te asigura că organizația / compania ta respectă GDPR, ar trebui să începeți evaluând practicile și procedurile actuale de procesare a datelor (informațiile referitoare la toate fluxurile de date), și apoi să le adaptați după cum este necesar pentru a îndeplini cerințele GDPR. Documentați-vă raționamentele și acțiunile; apoi asigurați-vă că monitorizați și revizuiți periodic practicile de prelucrare.