Regulamentul General privind Protecția Datelor – prima zi de functionare! Ce trebuie să știi despre GDPR
De astăzi, intră în vigoare GDPR sau General Data Protection Regulation – regulamentul european pentru protecţia datelor. Toate firmele, organizaţiile şi autorităţile vor fi nevoite să respecte noile obligaţii, altfel riscă amezi foarte mari şi procese cu clienţii sau angajaţii.
Odată cu intrarea în vigoare a noului Regulament, după acordul clientului persoană fizică, informaţiile personale vor fi prelucrate pe tot parcursul relaţiei contractuale cu organizaţia sau compania.
Potrivit Comisiei Europene, orice informaţie prin care o persoană poate fi identificată este considerată ca având caracter privat. Este vorba de informaţii precum numele, adresa, seria actelor de identitate, codurile de protocol Internet, date despre starea de sănătate. „Noile reglementări se aplică atunci când datele sunt colectate, utilizate ori stocate digital sau într-un sistem structurat tipărit”, precizează, Comisia Europeană.
„În procesarea datelor, organizaţiile trebuie să furnizeze informaţii clare referitoare la modul de utilizare: în ce scop sunt folosite datele, care este baza legală de procesare, cât timp vor fi stocate datele, ce entităţi le pot accesa, care sunt drepturile fundamentale de protecţie a datelor, dacă datele vor fi transferate în afara Uniunii Europene, în ce condiţii poate fi depusă plângere, cum poate fi anulat acordul privind procesarea datelor”, subliniază CE.
Iată cele mai importante lucruri pe care trebuie să le ştii despre acest regulament:
– Prin date personale, regulamentul se referă la:
* orice alt tip de identificator online care este specific din punct de vedere fizic, psihologic, genetic, mental, economic, cultural sau social unei anumite persoane fizice.
Orice operator de date trebuie:
– Să se asigure că datele colectate au un scop clar și nu sunt folosite în alt scop.
În cazul unui grup care deţine mai multe firme sau al unui unei firme care deține mai multe magazine (spre exemplu), datele colectate nu pot fi folosite „la comun” deoarece scopul colectării a fost diferit.
– Să resctricționeze accesul la datele clienților doar angajaților care au nevoie de acele date pentru a-și îndeplini sarcinile de serviciu;
– Să dețină un registru al evidențelor în care să țină cont de activitățile de prelucrare a datelor deoarece activitatea acestora nu este ocazională.
– Să se asigure că terții cu care lucrează sunt în UE, Spațiul Economic European, sau în alte state cu regim adecvat și că asigură securitatea datelor; prin terți se înțelege orice operator, tool, plug-in sau alte instrumente tehnice care folosesc sau colectează date personale, inclusiv Facebook Pixel;
– Să informeze clienții, în pagina de check-out, cu privire la folosirea datelor pe care le aceștia le oferă (datele de facturare și livrare) întrucât informarea clienților cu privire la datele colectate este obligatorie din momentul colectării datelor;
Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal, autoritate care va verifica la nivel naţional respectarea GDPR şi care este responsabilă şi cu sancţionarea în cazul nerespectării regulamentului a publicat un ghid orientativ de aplicare a acestuia.
Ghidul orientativ de aplicare a Regulamentului General privind Protecţia Datelor destinat operatorilor realizat de ANSPDCP poate fi descarcat de pe site-ul instituției.
Potrivit autorității, acest Ghid constituie un instrument util în activitatea tuturor operatorilor de date personale, pentru pregătirea aplicării Regulamentului (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul General privind Protecția Datelor) de directă aplicare în toate statele membre ale Uniunii Europene, începând cu data de 25 mai 2018.
Amenzile anunţate pentru firmele care vor încălca noua legislaţie sunt de până la 10 sau chiar 20 de milioane de euro ori, 2% sau 4% din cifra de afaceri.
Recent, au fost adoptate în Parlament modificări la legea de funcţionare a ANSPDCP, care arată că:
- Investigaţia pe care o face Autoritatea (asupra organizaţiei care prelucrează date personale) nu poate începe înainte de ora 8.00 şi nu poate continua după ora 18.00, decât cu acordul scris al persoanelor la care se face investigaţia. Controlul trebuie să aibă loc în prezenţa personelor la care se face investigaţia.
- Dacă amenzile date de Autoritate depăşesc 300.000 de euro, aplicarea amenzii se face prin decizia preşedintelui Autorităţii.
- Aplicarea măsurilor corective constau, după caz, în limitarea temporară sau definitivă, interdicţia asupra prelucrării, rectificarea sau ştergerea datelor cu caracter personal, restricţionarea prelucrării, notificarea acestor acţiuni destinatarilor cărora le-au fost divulgate datele cu caracter personal, retragerea unei certificări sau obligarea organismului de certificare să retragă sau să nu elibereze o certificare în cazul în care cerinţele certificare nu sunt sau nu mai sunt îndeplinite, suspendarea fluxurilor de date către un destinatar dintr-o ţară terţă sau către o organizaţie internaţională se dispune numai prin decizie a preşedintelui Autorităţii naţionale de supraveghere.
- Orice persoană vizată, care consideră că prelucarearea datelor sale cu caracter personal încalcă prevederile legale are dreptul să depună plângere la ANSPDCP. Plangerile vor putea fi depuse şi online.
De asemenea, firmele mari care au clienți persoane fizice riscă să li se intenteze procese colective din partea acestor clienţi, dacă încalcă regulamentul.
Obligaţia clienţilor
Multe firme au început să îşi înştiinţeze clienţii, prin email sau telefon, despre datele lor personale pe care acestea le procesează, drept urmare, ei, la rândul lor trebuie să răspundă mesajelor primite, dacă vor să rămână în contact cu firmele respective.
