GDPR | Regulamentul european pentru protecţia datelor personale intră în vigoare în 25 mai. Eşti pregătit?

„Regulamentul este un pas esențial pentru consolidarea drepturilor fundamentale ale cetățenilor europeni în era digitală și simplificarea normelor pentru companii pe piața unică digitală. Acest pachet unic va pune capăt fragmentării actuale și va elimina sarcinile administrative costisitoare care revin companiilor”, explică autorităţile europene rolul GDPR.

Regulamentul a fost adoptat în 24 mai 2016, se va aplica de la 25 mai 2018 şi reglementează prelucrarea de către o persoană fizică, o societate sau o organizație a unor date cu caracter personal referitoare la persoane fizice în UE.

Regulamentul nu se aplică şi în cazul prelucrării datelor cu caracter personal ale persoanelor decedate sau ale persoanelor juridice. De asemenea, normele nu se aplică datelor prelucrate de către o persoană fizică din motive pur personale și nici activităților desfășurate în locuință, cu condiția să nu existe nicio legătură cu o activitate profesională sau comercială. Atunci, însă, când o persoană fizică utilizează datele cu caracter personal în afara „sferei personale”, cum ar fi pentru activități socioculturale sau financiare, persoana în cauză trebuie să respecte legea privind protecția datelor.

Iată şi câteva exemple privind contextul în care regulamentul se aplică sau nu:

1. Când se aplică regulamentul

O societate cu un sediu în UE oferă servicii de călătorie clienților din țările Baltice și, în acest context, prelucrează date cu caracter personal ale unor persoane fizice.

2. Când nu se aplică regulamentul

O persoană fizică își folosește agenda de adrese personală pentru a-și invita prietenii prin e-mail la o petrecere pe care o organizează (excepție pentru activități domestice).

Căror societăţi li se aplică normele GDPR?

Răspuns: Aplicarea regulamentului privind protecția datelor nu depinde de mărimea societății sau organizației, ci de natura activităților pe care le desfășoară. Activitățile care prezintă riscuri ridicate pentru drepturile și libertățile persoanelor fizice, indiferent dacă sunt desfășurate de către un IMM sau de către o corporație, atrag aplicarea unor norme mai stringente.

Ce date pot fi prelucrate și în ce condiții?

Tipul și cantitatea de date cu caracter personal pe care societatea/organizația are dreptul să le prelucreze depind de motivul pentru care sunt prelucrate (temeiul juridic în cauză) și de scopul în care sunt prelucrare. Societatea/organizația trebuie să respecte mai multe norme-cheie, inclusiv următoarele:

• Datele cu caracter personal trebuie prelucrate într-un mod legal și transparent, garantând echitatea în ceea ce privește persoanele fizice ale căror date cu caracter personal sunt prelucrate („legalitate, echitate și transparență”);
• Trebuie să existe scopuri specifice ale prelucrării datelor și societatea/organizația trebuie să informeze persoanele fizice în legătură cu scopurile respective atunci când le colectează date cu caracter personal. Societatea/organizația nu poate colecta pur și simplu date cu caracter personal în scopuri nedefinite („limitări legate de scop”);
• Societatea/organizația trebuie să colecteze și să prelucreze numai acele date cu caracter personal care sunt necesare pentru îndeplinirea scopului respectiv („reducerea la minimum a datelor”);
• Societatea/organizația trebuie să se asigure că datele cu caracter personal sunt exacte și actualizate, având în vedere scopurile pentru care sunt prelucrate, și să fie corectate în caz contrar („exactitate”);
• Societatea/organizația nu are dreptul să utilizeze datele cu caracter personal în alte scopuri care nu sunt compatibile cu scopul inițial;
• Societatea/organizația trebuie să se asigure că datele cu caracter personal nu sunt stocate mai mult timp decât este necesar pentru scopurile în care au fost colectate („limitări legate de stocare”);
• Societatea/organizația trebuie să prevadă garanții tehnice și organizaționale adecvate care să asigure securitatea datelor cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnologice adecvate („integritate și confidențialitate”).

Nu eşti sigur dacă afacerea pe care o conduci este pregătită pentru GDPR? Atunci cel mai probabil răspunsul e „Nu”.

Comandă acum un AUDIT GDPR, iar specialiştii TAZ.ro îţi vor spune ce măsuri trebuie să iei pentru a evita amenzile usturătoare prevăzute în legislaţie: până la 10 milioane de euro sau până la 2% din cifra de afaceri. Detalii pe cybersec.taz.ro