GDPRpedia

Q? Care sunt datele personale?

A. Putem clasifica datele personale după modul în care te indentifici

  • ale tale (CNP, nume, prenume,  amprentă, ADN)
  • despre tine (anul nașterii, sex, studii, etnie, rasă, orientare sexuală, politică, religioasă, situație financiară,  starea de sănătate)
  • în legătură cu tine (adresa de domiciliu, reședința, adresa de e-mail, ocupația, venitul)
  • care te-ar putea identifica ca persoană – adică orice alt tip de date care se pot corela pentru a duce la identificarea ta

Q? Ce este și când intră în vigorea Regulamentul GDPR

A. Un regulament este un act legislativ obligatoriu. Acesta trebuie aplicat în întregime în întreaga UE, în timp ce o directivă este un act legislativ care stabilește un obiectiv pe care toate țările UE trebuie să-l atingă. Cu toate acestea, depinde de fiecare țară să decidă cum. Este important de menționat că GDPR este un regulament, spre deosebire de legislația anterioară, care este o directivă.

În dreptul european există două tipuri principale de legislație:

Directive

  • Necesită implementarea individuală în fiecare stat membru;
  • Poate fi implementata prin crearea de legi naționale aprobate de parlamentele fiecărui stat membru;
  • Exemplu este Directiva europeană 95/46 / CE. Legea 677 din 2001 este echivalentul Directivei 95/46 cu aplicabilitate pe teritoriul României.

Regulamente

  • Cu aplicabilitate imediată în fiecare stat membru
  • Nu impune nicio legislație locală de punere în aplicare
  • UE 2016-679 este un Regulament care va intra în vigoare în data de 25 Mai 2018.

Q? Care sunt etapele de acțiune pentru implementarea unui GDPR?

A.

  • Elaborarea unui plan de management al riscurilor care să includă masurile necesare pentru indeplinirea specificatiilor Regulamentului
  • Constientizarea riscurilor asumate cu penalitati extrem de mari in caz de neconformitate
  • Obtinerea resurselor umane si financiare pentru implementare
  • Implementarea Regulamentului
  • Elaborarea unei analize de impact
  • Inființarea funcției de DPO sau încheierea unui contract de consultanță cu un DPO extern
  • Monitorizarea permanentă a utilizării bazelor de date

Q? Ce se întâmplă când datele au fost obținute indirect?

A. Conform art 14, în situația în care datele despre persoana vizată nu ne-au parvenit direct de la aceasta, sunt obligat, ca operator de date, să furnizez pe langă informațiile enumerate mai sus și următoarele informații obligatorii:

  • Care sunt categoriile de date cu caracter personal pe care le am la dispoziție
  • Care este sursa publică de date cu caracter personal.

Q? Ce informații trebuie furnizate în procesul de colectare a datelor direct de la client?

A. Conform art 13 trebuie să furnizăm persoanei vizate următoarele informații:

  • Identitatea și datele de contact – atât ale operatorului cât și ale reprezentantului acestuia
  • Datele de contact ale DPO-ului
  • Scopurile pentru care prelucrez aceste date precum și temeiul juridic al prelucrării
  • Interesele legitime pe care le urmăresc (ca operator sau ca terță parte)
  • Care sunt destinatarii sau categoriile de destinatari ai datelor cu caracter personal
  • Intenția mea de a transfera aceste date către o terță persoană, aflată într-o altă țară și care sunt garanțiile pe care le ofer cum că acest trasnfer este perfect legal și nu lezează interesele persoanei vizate

Pe langă aceste informații, după ce am obtinuț datele personale ale persoanei vizate, pentru a asigura principiul transparenței prelucrării, trebuie să mai furnizăm urmatoarele informații:

  • Perioada de reținere a datelor sau criteriile după care calculez această perioadă
  • Dreptul la rectificare, șteregere, obiecții, rețineri
  • Dreptul la portabilitate a datelor
  • Dreptul de a retrage consimțământul în orice moment
  • Dreptul de a depune o plângere la Autoritatea de Supraveghere
  • Dacă solicitarea face parte dintr-o cerință sau obligație legală sau contractuală și care sunt posibilele consecințe ale nefurnizării
  • Existența unui proces automat de luare a deciziilor (incluzând profilarea) și modul în care sunt luate deciziile, semnificația și consecințele acestora.

Q? Când prelucrarea datelor cu caracter personal este legală?

A. Conform Art 6 "prelucrarea este legală numai dacă și în măsura în care se aplică una din urmatoarele condiții"

  • Există un consimțământ
  • Există un contract
  • Există o obligație legală
  • Există interese vitale
  • Există un interes public
  • Există interese legitime

Q? Cine supervizează GDPR în România?

A. În România organismul care coordonează problemele legate de securitatea datelor personale este reprezentat de Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal (ANSPDCP). Această Autoritate va fi ajutată de către angajati ai M.A.I. care vor fi instruiți și delegați să asigure acțiunile de control și amendare.

Q? Prelucrarea în scop de marketing va mai fi posibilă?

A. Da, va mai fi posibilă, cu respectarea Drepturilor Specifice și a  următoarelor principii :

  • Prelucrarea să fie făcută pentru un interes legitim al operatorului
  • Persoanele vizate să fie clar informate și informarea să fie făcută distinct, pentru fiecare acțiune în parte
  • Persoanele vizate sa aibă dreptul la opoziție inclusiv pentru activitatea de creare de profiluri legate de marketing
  • Contractarea unui Data Protection Officer (DPO) – pe care companiile vor trebui să îl aibă.

Parlamentul European a acordat un răgaz de 2 ani companiilor pentru a își putea regândi politicile și strategiile de business, astfel încât să respecte reglementările GDPR, să devină compliance. Pentru a determina operatorii să se informeze și să conștientizeze importanța acestor reglementări, au fost anunțate penalități foarte mari pentru cei care nu vor putea deveni compatibili. Unii analiști spun că aceste cifre au mai mult rolul de a speria companiile dar cine își permite să riște amenzi atât de mari, de 10 milioane de euro sau 2% din cifra de faceri pe an ?

Q? Cu ce noutăți vine GDPR față de vechea legislație?

A. 

Aria de Aplicabilitate - GDPR se aplică tuturor companiilor, indiferent de locația sediului social și decizional, care oferă bunuri și servicii cetățenilor și rezidenților Uniunii Europene.

Amenzile - sunt foarte mari. Ele pot ajunge până la 2-4% din Cifra de Afaceri la nivel de ramură globală, minimul fiind de 10.000 Euro.

Consimțământul pe care îl oferă persoana vizată va trebui să fie clar și liber, informat și lipsit de ambiguitate, ușor de dovedit și specific acțiunii pentru care a fost obținut

Notificarea breșelor de securitate – orice incident trebuie comunicat Autorităților de Supraveghere (ANSPDCP pentru Romania), în maxim 72 de ore de la constatarea lui. Compania va trebui să anunțe și persoanele ale căror date au fost supuse respectivului incident.

Drepturi specifice

  • Dreptul la acces – persoanele ale căror date au fost colectate și procesate au dreptul de a fi informate și de a solicita prestatorilor informații despre modul în care au fost prelucrate datele lor, unde au fost și în ce scop.
  • Dreptul la rectificare
  • Dreptul de a fi uitat
  • Dreptul la restricționarea prelucrării
  • Dreptul de portabilitatea a datelor
  • Dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri

Confidențialitatea prin design - "Privacy by Design" – este un concept care prevede introducerea instrumentelor de protecție a datelor încă de la începutul proiectării sistemului informatic.

Q? Este compania mea afectată de regulamentul GDPR?

A. Companiile care colecteaza si  prelucrează date cu caracter personal în cadrul activității derulate, in scopul oferirii de bunuri sau servicii cetățenilor Uniunii Europene,  vor fi obligate sa se supună reglementărilor Regulamentului 679/2016. Și datele angajaților unei companii intră sub incidența Regulamentului.

Toate acestea vor trebui să se conformeze, să își adapteze procedurile și garanțiile de prelucrare a datelor, indiferent că desfășoară activitatea de procesare de date în interiorul lor sau prin intermediul colaboratorilor.

Cele mai importante domenii vizate vor fi:

  • Autorități și instituții publice
  • Companiile financiare: bănci, societăți de asigurări, societăți de leasing, administratori ai fondurilor de pensii
  • Companii prestatoare de servicii de utilități: energie, apă, utilități publice, cablu TV, internet
  • Companii prestatoare de servicii IT
  • Organizații media, agenții de marketing și PR
  • Companii de învățământ: de training, grădinițe, școli,
  • Companii comerciale de retail, logistică, magazine on-line
  • Organizații din sănătate: clinici, spitale, lanțuri de farmacii

Având statutul de REGULAMENT, el se aplică direct, fără a fi necesară vreo altă legislație natională a statelor membre UE.

Q?

Care sunt datele personale?

A.

Putem clasifica datele personale după modul în care te indentifici

  • ale tale (CNP, nume, prenume,  amprentă, ADN)
  • despre tine (anul nașterii, sex, studii, etnie, rasă, orientare sexuală, politică, religioasă, situație financiară,  starea de sănătate)
  • în legătură cu tine (adresa de domiciliu, reședința, adresa de e-mail, ocupația, venitul)
  • care te-ar putea identifica ca persoană – adică orice alt tip de date care se pot corela pentru a duce la identificarea ta

Q?

Ce este și când intră în vigorea Regulamentul GDPR

A.

Un regulament este un act legislativ obligatoriu. Acesta trebuie aplicat în întregime în întreaga UE, în timp ce o directivă este un act legislativ care stabilește un obiectiv pe care toate țările UE trebuie să-l atingă. Cu toate acestea, depinde de fiecare țară să decidă cum. Este important de menționat că GDPR este un regulament, spre deosebire de legislația anterioară, care este o directivă.

În dreptul european există două tipuri principale de legislație:

Directive

  • Necesită implementarea individuală în fiecare stat membru;
  • Poate fi implementata prin crearea de legi naționale aprobate de parlamentele fiecărui stat membru;
  • Exemplu este Directiva europeană 95/46 / CE. Legea 677 din 2001 este echivalentul Directivei 95/46 cu aplicabilitate pe teritoriul României.

Regulamente

  • Cu aplicabilitate imediată în fiecare stat membru
  • Nu impune nicio legislație locală de punere în aplicare
  • UE 2016-679 este un Regulament care va intra în vigoare în data de 25 Mai 2018.

Q?

Care sunt etapele de acțiune pentru implementarea unui GDPR?

A.

  • Elaborarea unui plan de management al riscurilor care să includă masurile necesare pentru indeplinirea specificatiilor Regulamentului
  • Constientizarea riscurilor asumate cu penalitati extrem de mari in caz de neconformitate
  • Obtinerea resurselor umane si financiare pentru implementare
  • Implementarea Regulamentului
  • Elaborarea unei analize de impact
  • Inființarea funcției de DPO sau încheierea unui contract de consultanță cu un DPO extern
  • Monitorizarea permanentă a utilizării bazelor de date

Q?

Ce se întâmplă când datele au fost obținute indirect?

A.

Conform art 14, în situația în care datele despre persoana vizată nu ne-au parvenit direct de la aceasta, sunt obligat, ca operator de date, să furnizez pe langă informațiile enumerate mai sus și următoarele informații obligatorii:

  • Care sunt categoriile de date cu caracter personal pe care le am la dispoziție
  • Care este sursa publică de date cu caracter personal.

Q?

Ce informații trebuie furnizate în procesul de colectare a datelor direct de la client?

A.

Conform art 13 trebuie să furnizăm persoanei vizate următoarele informații:

  • Identitatea și datele de contact – atât ale operatorului cât și ale reprezentantului acestuia
  • Datele de contact ale DPO-ului
  • Scopurile pentru care prelucrez aceste date precum și temeiul juridic al prelucrării
  • Interesele legitime pe care le urmăresc (ca operator sau ca terță parte)
  • Care sunt destinatarii sau categoriile de destinatari ai datelor cu caracter personal
  • Intenția mea de a transfera aceste date către o terță persoană, aflată într-o altă țară și care sunt garanțiile pe care le ofer cum că acest trasnfer este perfect legal și nu lezează interesele persoanei vizate

Pe langă aceste informații, după ce am obtinuț datele personale ale persoanei vizate, pentru a asigura principiul transparenței prelucrării, trebuie să mai furnizăm urmatoarele informații:

  • Perioada de reținere a datelor sau criteriile după care calculez această perioadă
  • Dreptul la rectificare, șteregere, obiecții, rețineri
  • Dreptul la portabilitate a datelor
  • Dreptul de a retrage consimțământul în orice moment
  • Dreptul de a depune o plângere la Autoritatea de Supraveghere
  • Dacă solicitarea face parte dintr-o cerință sau obligație legală sau contractuală și care sunt posibilele consecințe ale nefurnizării
  • Existența unui proces automat de luare a deciziilor (incluzând profilarea) și modul în care sunt luate deciziile, semnificația și consecințele acestora.

Q?

Când prelucrarea datelor cu caracter personal este legală?

A.

Conform Art 6 "prelucrarea este legală numai dacă și în măsura în care se aplică una din urmatoarele condiții"

  • Există un consimțământ
  • Există un contract
  • Există o obligație legală
  • Există interese vitale
  • Există un interes public
  • Există interese legitime

Q?

Cine supervizează GDPR în România?

A.

În România organismul care coordonează problemele legate de securitatea datelor personale este reprezentat de Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal (ANSPDCP). Această Autoritate va fi ajutată de către angajati ai M.A.I. care vor fi instruiți și delegați să asigure acțiunile de control și amendare.

Q?

Prelucrarea în scop de marketing va mai fi posibilă?

A.

Da, va mai fi posibilă, cu respectarea Drepturilor Specifice și a  următoarelor principii :

  • Prelucrarea să fie făcută pentru un interes legitim al operatorului
  • Persoanele vizate să fie clar informate și informarea să fie făcută distinct, pentru fiecare acțiune în parte
  • Persoanele vizate sa aibă dreptul la opoziție inclusiv pentru activitatea de creare de profiluri legate de marketing
  • Contractarea unui Data Protection Officer (DPO) – pe care companiile vor trebui să îl aibă.

Parlamentul European a acordat un răgaz de 2 ani companiilor pentru a își putea regândi politicile și strategiile de business, astfel încât să respecte reglementările GDPR, să devină compliance. Pentru a determina operatorii să se informeze și să conștientizeze importanța acestor reglementări, au fost anunțate penalități foarte mari pentru cei care nu vor putea deveni compatibili. Unii analiști spun că aceste cifre au mai mult rolul de a speria companiile dar cine își permite să riște amenzi atât de mari, de 10 milioane de euro sau 2% din cifra de faceri pe an ?

Q?

Cu ce noutăți vine GDPR față de vechea legislație?

A.

Aria de Aplicabilitate - GDPR se aplică tuturor companiilor, indiferent de locația sediului social și decizional, care oferă bunuri și servicii cetățenilor și rezidenților Uniunii Europene.

Amenzile - sunt foarte mari. Ele pot ajunge până la 2-4% din Cifra de Afaceri la nivel de ramură globală, minimul fiind de 10.000 Euro.

Consimțământul pe care îl oferă persoana vizată va trebui să fie clar și liber, informat și lipsit de ambiguitate, ușor de dovedit și specific acțiunii pentru care a fost obținut

Notificarea breșelor de securitate – orice incident trebuie comunicat Autorităților de Supraveghere (ANSPDCP pentru Romania), în maxim 72 de ore de la constatarea lui. Compania va trebui să anunțe și persoanele ale căror date au fost supuse respectivului incident.

Drepturi specifice

  • Dreptul la accespersoanele ale căror date au fost colectate și procesate au dreptul de a fi informate și de a solicita prestatorilor informații despre modul în care au fost prelucrate datele lor, unde au fost și în ce scop.
  • Dreptul la rectificare
  • Dreptul de a fi uitat
  • Dreptul la restricționarea prelucrării
  • Dreptul de portabilitatea a datelor
  • Dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri

Confidențialitatea prin design - "Privacy by Design" – este un concept care prevede introducerea instrumentelor de protecție a datelor încă de la începutul proiectării sistemului informatic.

Q?

Este compania mea afectată de regulamentul GDPR?

A.

Companiile care colecteaza si  prelucrează date cu caracter personal în cadrul activității derulate, in scopul oferirii de bunuri sau servicii cetățenilor Uniunii Europene,  vor fi obligate sa se supună reglementărilor Regulamentului 679/2016. Și datele angajaților unei companii intră sub incidența Regulamentului.

Toate acestea vor trebui să se conformeze, să își adapteze procedurile și garanțiile de prelucrare a datelor, indiferent că desfășoară activitatea de procesare de date în interiorul lor sau prin intermediul colaboratorilor.

Cele mai importante domenii vizate vor fi:

  • Autorități și instituții publice
  • Companiile financiare: bănci, societăți de asigurări, societăți de leasing, administratori ai fondurilor de pensii
  • Companii prestatoare de servicii de utilități: energie, apă, utilități publice, cablu TV, internet
  • Companii prestatoare de servicii IT
  • Organizații media, agenții de marketing și PR
  • Companii de învățământ: de training, grădinițe, școli,
  • Companii comerciale de retail, logistică, magazine on-line
  • Organizații din sănătate: clinici, spitale, lanțuri de farmacii

Având statutul de REGULAMENT, el se aplică direct, fără a fi necesară vreo altă legislație natională a statelor membre UE.

Verified by ExactMetrics