Conformare GDPR
GDPR este o reglementare emisă de către instituțiile Uniunii Europene care are ca scop protecția și datelor cu caracter personal al tuturor indivizilor. Această reglementare intră în vigoare începând cu 25 mai.
Notiuni generale GDPR
Ce este GDPR?
GDPR este o reglementare emisă de către instituțiile Uniunii Europene (Parlamentul European, Consiliul Uniunii Europene și Comisia Europeană) prin care se intenționează asigurarea confidențialității, precum și consolidarea și unificarea protecției datelor cu caracter personal a tuturor indivizilor din cadrul acestei uniuni.
Cand intra in vigoare GDPR?
Intra în vigoare începând cu 25 mai 2018.
Cui se adreseaza GDPR?
GDPR se aplică oricărei organizații din Uniunea Europeană care prelucrează date cu caracter personal. Se aplică, de asemenea, oricărei organizații care prelucrează datele cu caracter personal ale persoanelor vizate din UE, indiferent dacă organizația are o prezență în Uniunea Europeană sau dacă prelucrarea este efectuată în cadrul Uniunii Europene.
Dacă gestionați, colectați, stocați, sau analizați date personale de orice tip, inclusiv adrese de e-mail, este posibil ca GDPR să afecteze organizația dvs.
Ce schimbari aduce GDPR?
Notă: Această secțiune acoperă cateva modificări ale GDPR, dar nu este intenționată să fie una completa. Vă recomandăm să căutați un avocat independent pentru a determina modul în care GDPR afectează afacerea dvs.
GDPR stabilește o serie de cerințe privind consimțământul, drepturile individuale și prelucrarea datelor. Prezentarea de mai jos este un rezumat al celor mai importante cerințe GDPR.
Consimțământul, definit inițial la Articolul 4, este abordat în tot textul GDPR. În general, GDPR instituie standarde mult mai ridicate de consimțământ în comparație cu Directiva privind protecția datelor.
Consimțământul conform GDPR trebuie să fie explicit si in acelasi timp documentat. Organizațiile au obligația de a prezenta informații despre prelucrare "într-o formă concisă, transparentă, inteligibilă și ușor accesibilă, folosind un limbaj clar" (Articolul 12). În cazul în care prelucrarea datelor se bazează pe consimțământ, organizațiile vor avea nevoie de un consimțământ explicit din partea persoanelor - și trebuie să poată dovedi că persoanele și-au dat consimțământul (Articolul 7).
Atunci când organizațiile colectează date cu caracter personal, ele sunt obligate să prezinte anumite informații în conformitate cu Articolul 13.
Articolele 12-23 prezintă drepturile individuale acoperite de GDPR. În general, GDPR extinde drepturile individuale în ceea ce privește datele personale.
Dreptul de accesAcoperit de Articolul 15, dreptul de acces este dreptul persoanelor fizice de a solicita informații despre modul în care sunt utilizate datele lor, precum și o copie a datelor în sine.
Dreptul la rectificareConform Articolului 16, persoanele fizice au dreptul să contacteze un operator pentru a corecta datele personale inexacte.
Dreptul de a fi uitatÎn conformitate cu Articolul 17, persoanele pot solicita ca datele lor să fie șterse în anumite circumstanțe specifice. Aceste circumstanțe includ, dar nu se limitează la cazurile:
- Când datele cu caracter personal nu mai sunt necesare pentru îndeplinirea scopurilor pentru care au fost colectate sau prelucrate
- Când persona vizata își retrage consimțământul
- Când datele au fost procesate ilegal
Dreptul la restricționarea prelucrării
În conformitate cu Articolul 18, persoanele fizice au dreptul să limiteze modul în care datele lor sunt prelucrate în anumite circumstanțe.
Dreptul la portabilitatea datelorConform Articolului 20, persoanele au dreptul să primească datele lor cu caracter personal în scopul utilizării lor în altă parte.
Dreptul la opozitieArticolul 21 prevede că persoanele au dreptul de a se opune prelucrării datelor în anumite circumstanțe "cu excepția cazului în care operatorul demonstrează că are motive legitime și imperioase care justifică prelucrarea și care prevalează asupra intereselor, drepturilor și libertăților persoanei vizate sau că scopul este constatarea, exercitarea sau apărarea unui drept în instanță"
GDPR specifică o serie de cerințe privind prelucrarea datelor cu caracter personal. Această secțiune va analiza unele dintre cerințele de procesare a datelor și va furniza link-uri către secțiunile relevante ale textului GDPR.
Operatori și procesatori (Persoana împuternicită de operator)Un operator este organizația care determină modul în care vor fi utilizate datele cu caracter personal. Un procesator este organizația care prelucrează datele personale în numele și pe baza instrucțiunilor operatorului. Responsabilitățile specifice ale fiecărei părți sunt prevăzute în articolele 24-43.
În cazul campaniilor de email, listelor de email, Sendmachine este un procesator, iar clientii Sendmachine sunt operatori. Exista cazuri cand o organizație poate sa să fie atat procesator cat și un operator.
Acorduri de prelucrare a datelorArticolul 28 prevede că operatorii trebuie să aibă contracte semante cu procesatorii, contract care stabilește obiectul și durata prelucrării, natura și scopul prelucrării, tipul de date cu caracter personal și categoriile de persoane vizate și obligațiile și drepturile operatorului. Aceste contracte trebuie să fie "în scris, inclusiv în formă electronică". Cerințele pentru contractele de prelucrare pot fi găsite în restul Articolului 28.
Protecția datelorÎn conformitate cu articolul 37, multe organizații vor fi obligate să numească un ofițer de protecție a datelor. Responsabilitățile specifice ale unui responsabil cu protecția datelor sunt cuprinse în articolul 39. În general, responsabilul cu protecția datelor este responsabil de respectarea GDPR.