Regulamentul general privind protecția datelor (pe scurt, GDPR) asigură protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal și libera circulație a acestor date.
„Este un pas esențial pentru consolidarea drepturilor fundamentale ale cetățenilor europeni în era digitală și simplificarea normelor pentru companii pe piața unică digitală”, explică autorităţile europene rolul GDPR.
Regulamentul a fost adoptat în 24 mai 2016, se va aplica de la 25 mai 2018 şi reglementează prelucrarea de către o persoană fizică, o societate sau o organizație a unor date cu caracter personal referitoare la persoane fizice în UE.
Iată şi câteva exemple privind contextul în care regulamentul se aplică sau nu:
1. Când se aplică regulamentul
O societate cu un sediu în UE oferă servicii de călătorie clienților din țările baltice și, în acest context, prelucrează date cu caracter personal ale unor persoane fizice.
2. Când nu se aplică regulamentul
O persoană fizică își folosește agenda de adrese personală pentru a-și invita prietenii prin e-mail la o petrecere pe care o organizează (excepție pentru activități domestice).
Căror societăţi li se aplică normele GDPR?
Răspuns: Aplicarea regulamentului privind protecția datelor nu depinde de mărimea societății sau organizației, ci de natura activităților pe care le desfășoară. Activitățile care prezintă riscuri ridicate pentru drepturile și libertățile persoanelor fizice, indiferent dacă sunt desfășurate de către un IMM sau de către o corporație, atrag aplicarea unor norme mai stringente.
Ce date pot fi prelucrate și în ce condiții?
Tipul și cantitatea de date cu caracter personal pe care societatea/organizația are dreptul să le prelucreze depind de motivul pentru care sunt prelucrate (temeiul juridic în cauză) și de scopul în care sunt prelucrare. Societatea/organizația trebuie să respecte mai multe norme-cheie, inclusiv următoarele:
• Datele cu caracter personal trebuie prelucrate într-un mod legal și transparent, garantând echitatea în ceea ce privește persoanele fizice ale căror date cu caracter personal sunt prelucrate („legalitate, echitate și transparență”);
• Trebuie să existe scopuri specifice ale prelucrării datelor și societatea/organizația trebuie să informeze persoanele fizice în legătură cu scopurile respective atunci când le colectează date cu caracter personal. Societatea/organizația nu poate colecta pur și simplu date cu caracter personal în scopuri nedefinite („limitări legate de scop”);
• Societatea/organizația trebuie să colecteze și să prelucreze numai acele date cu caracter personal care sunt necesare pentru îndeplinirea scopului respectiv („reducerea la minimum a datelor”);
• Societatea/organizația trebuie să se asigure că datele cu caracter personal sunt exacte și actualizate, având în vedere scopurile pentru care sunt prelucrate, și să fie corectate în caz contrar („exactitate”);
• Societatea/organizația nu are dreptul să utilizeze datele cu caracter personal în alte scopuri care nu sunt compatibile cu scopul inițial;
• Societatea/organizația trebuie să se asigure că datele cu caracter personal nu sunt stocate mai mult timp decât este necesar pentru scopurile în care au fost colectate („limitări legate de stocare”);
• Societatea/organizația trebuie să prevadă garanții tehnice și organizaționale adecvate care să asigure securitatea datelor cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnologice adecvate („integritate și confidențialitate”).
Nu eşti sigur dacă afacerea pe care o conduci este pregătită pentru GDPR? Atunci cel mai probabil răspunsul e „Nu”.
Comandă acum un AUDIT GDPR, iar specialiştii TAZ.ro îţi vor spune ce măsuri trebuie să iei pentru a evita amenzile usturătoare prevăzute în legislaţie: până la 10 milioane de euro sau până la 2 % din cifra de afaceri. Detalii pe cybersec.taz.ro
