Regulamentul (UE) 679/2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date – GDPR, aplicabil din 25.05.2018 și în România
Ce este GDPR?
Comisia Europeană a semnalat necesitatea actualizării cadrului normativ european aplicabil în domeniul protecţiei datelor şi a propus noi reguli, utilizând ca instrument normativ Regulamentul General privind Protecţia Datelor (GDPR) nr. 679/2016.
Acesta impune un set unic de reguli, direct aplicabile în toate statele membre ale Uniunii Europene începând cu data de 25 mai 2018, destinat protejării mai eficiente a datelor persoanelor fizice de pe teritoriul UE, indiferent de poziţionarea geografică a operatorului de date.
Pe scurt, scopul acestui regulament este de a proteja intimitatea și dreptul la viața privată a persoanelor fizice împotriva abuzurilor/greșelilor instituțiilor și firmelor ce dețin și prelucrează date cu caracter personal.
Decizia 161/2018 a ANSPDCP descrie procedura de efectuare a investigațiilor. Pe scurt, controalele pot veni inopinat sau cu înștiințare, prin autosesizare sau ca urmare a unei plângeri, la sediul dvs. sau la sediul Autorității.
Organele de control pot ridica în copie orice document, pot investiga orice echipament pe care sunt stocate date, pot interoga persoane din cadrul societății/instituției, pot solicita sprijin poliției în cazul refuzului efectuării controlului, pot pune sigilii conform Codului de procedură penală.
Pe loc, se pot da amenzi până la echivalentul în lei a 300.000 euro; amenzile ce depășesc această valoare se dispun prin decizia președintelui ANSPDCP.
Cine trebuie să respecte GDPR?
Instituțiile publice
au obligația desemnării unui DPO
Companii
ce desfășoară activități de monitorizare periodică și sistematică a persoanelor vizate, pe scară largă
Instituții/Companii
ce procesează categorii speciale de date personale (ex. sănătate, orientare sexuala, etnie)
Alți operatori
care, prin activitatea lor, colectează și prelucrează date cu caracter personal
DPO - Data Protection Officer / responsabilul pentru protecţia datelor
DPO este o persoană care
deține cunoștințe de specialitate în materie de legislație și practici privind
protecția datelor, are rolul de a oferi consultanţa necesară în vederea
respectării tuturor obligaţiilor prevazute în Regulament și de a asigura
transparenţa faţă de persoanele vizate.
- calitățile profesionale ale persoanei desemnate
- capacitatea de a îndeplini sarcinile prevăzute de Regulamentul (UE) 2016/679
Sunteți pregătiți să vă asumați aceste
riscuri?
Ce măsuri trebuie luate?
Ø stabilirea unui set de Proceduri Interne privind baza de date și întocmirea unui Registru de Evidență a Prelucrărilor de Date cu Caracter Personal
Ø Informarea prealabilă a persoanelor privind scopul pentru care li se solicită furnizarea de date cu caracter personal
Ø Obținerea consimțământului explicit în cazul utilizării datelor personale cu un alt scop decât cel pentru care au fost solicitate
Ø Confidentialitatea si securitatea datelor cu caracter personal, atât în format electronic cât și pe hârtie
Ø Controlul strict privind accesul personalului firmei la bazele de date sau la arhiva de documente conținând date cu caracter personal
Ø Respectarea restricțiilor privind modul de utilizare a camerelor video de supraveghere și a cititoarelor de amprente
ØObligativitatea numirii unui Responsabil cu Protecția Datelor (DPO)
Ø Respectarea dreptului persoanelor de a solicita furnizarea, ștergerea sau modificarea datelor personale stocate de o instituție sau firmă
Ø Restricții privind prelucrarea datelor personale considerate sensibile cum ar fi: date genetice, biometrice sau privind sănătatea unei persoane
Ø Notificarea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal
Legalitatea prelucrării datelor cu caracter personal
Prelucrarea este legală numai dacă și în măsura în care se aplică cel puțin una dintre următoarele condiții:
Ø persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;
Ø prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri înainte de încheierea unui contract;
Ø prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului;
Ø prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;
Ø prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul;
Se recomandă serviciile unui DPO externalizat pentru că:
Ø DPO trebuie sa fie independent si sa nu genereze un conflict de interese.
Ø detine toate cunostintele si practicile necesare in domeniul protecției datelor, in divese sectoare de activitate, este in permanenta instruit cu toate modificarile legislative
Ø se evita riscului de a angaja/desemna un DPO nepotrivit cu strategia firmei si de a-i asigura o pregatire profesionala continua. Mai mult, desemnarea/angajarea unui DPO in cadrul companiei implica modificari in structura organizatorica a acesteia, intrucat acesta nu poate fi încadrat ca subordonat al șefului unui anumit departament al firmei, nu poate fi demis ori sanctionat, nu poate indeplini alte sarcini si atributii ce pot genera un conflict. Această cerință întărește autonomia DPO și ajută la asigurarea că acesta trebuie sa acționeze în mod independent.
Avantajele unui DPO externalizat:
Ø reducerea considerabilă a riscurilor și resurselor (umane, de timp și financiare) asociate acestei reglementări.
Ø Câștigarea și menținerea încrederii și loialității partenerilor
Ø Minimizarea riscului de non-conformitate
Ø Asigurarea unei echipe de specialiști certificați
Prin contractarea serviciilor noastre, oferim:
Contacteză-ne!
Specialiștii noștri vă pot ajuta să identificati sectoarele de activitate din firma/instituția dvs., care prezintă vulnerabilități din punct de vedere al stocării și prelucrării datelor cu carcater personal.