GDPR – Regulamentul de protecție a datelor cu caracter personal și implicațiile sale

Odată cu 25 mai 2018, noul Regulament European cu privire la protecția datelor cu caracter personal va intra în vigoare, ceea ce înseamnă ca nerespectarea cerințelor acestuia va putea fi sancționată. Aprobat în 2016, regulamentul urmărește să dezvolte încrederea persoanelor fizice în modul în care le sunt prelucrate datele personale de către organizații, pentru a susține continua dezvoltare a economiei digitale în cadrul Uniunii Europene.

Regulamentul (UE) 679/2016 va înlocui Directiva 95/46/CE în scopul aplicării directe și pentru a elimina nevoia unei intervenții ulterioare a statelor membre. Regulamentul se va aplica oricărei operațiuni de prelucrare de date personale, pe teritoriul UE și în afara sa, atât timp cât sunt prelucrate date personale ale persoanelor fizice care locuiesc pe teritoriul UE. Principiile și regulile din acest regulament privesc dreptul fundamental al oamenilor la protecția datelor cu caracter personal (art. 8, Carta Drepturilor Fundamentale a UE și art. 16 al Tratatului UE).

Noul Regulament definește datele cu caracter personal ca: orice informații privind o persoană fizică (persoană vizată) identificată sau identificabilă direct sau indirect (prin referire la un identificator). Regulamentul stabilește două mari categorii de date cu caracter personal:

• Date non-speciale: nume, adresă, număr de identificare, date de localizare, identificatori online.
• Date speciale, considerate ca fiind mai sensibile și care necesită un nivel de protecție și precauție suplimentară, procesarea acestor date fiind posibilă doar în anumite condiții speciale. Sunt considerate date personale speciale: originea rasială sau etnică, convingerile politice, religioase, filozofice sau de natură similară, apartenența sindicală, date despre starea de sănătate sau viața sexuală, date genetice, biometrice pentru identificarea unică a unei persoane și datele cu caracter personal referitoare la fapte penale sau contravenții.

Prin termenul de “prelucrare” se înțelege orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal, cum ar fi: colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea.

Regulamentul 679/2016 definește un set de drepturi ale persoanelor fizice (persoane vizate) cărora le sunt procesate date cu caracter personal. Aceste drepturi trebuie respectate de către orice operator de date personale, nerespectarea lor putând atrage după sine sancțiuni severe.

• Dreptul la informare. Fiecare persoană fizică are dreptul de a fi informată asupra oricărei prelucrări de date cu caracter personal aparținând acesteia. Această informare va cuprinde elemente precum: categoriile de date, durata prelucrării, toate scopurile în care se face prelucrarea precum și datele de contact ale celui care operează prelucrarea.
• Dreptul la acces la date. Persoanele vizate își pot accesa datele personale pentru a verifica legalitatea prelucrării sau pentru a afla ce date le sunt prelucrate.
• Dreptul la rectificare. Permite persoanelor vizate să ceară corectarea datelor inexacte.
• Dreptul la ștergerea datelor sau Dreptul de a fi uitat. Persoanele vizate pot cere ștergerea datelor personale, care le aparțin.
• Dreptul la restricționarea prelucrării. Persoanele vizate pot cere restricționarea prelucrării datelor lor.
• Dreptul la portabilitatea datelor. Existenta acestui drept le conferă persoanelor fizice posibilitatea de a își transfera datele cu caracter personal de la un operator la altul.
• Dreptul de opoziție. Persoanele vizate se pot opune prelucrării datelor personale în scopuri precum direct marketing sau alte scopuri bazate pe interesul legitim al operatorului.
• Dreptul de a nu fi supus unei decizii automate cu caracter semnificativ. Persoanele au dreptul de a nu fi obiectul unei decizii bazate doar pe prelucrare automată care ar putea avea efecte juridice sau care ar putea să le afecteze într-un mod semnificativ.

Regulamentul stabilește un set de principii pe bază cărora se va face prelucrarea datelor personale. Cele șase principii sunt guvernate de responsabilitatea operatorului de a dovedi respectarea lor prin documentația relevantă.

• Legalitate, echitate și transparență. Primul principiu definește modul în care vor fi prelucrate datele personale ale persoanelor vizate.
• Limitarea la scop. Datele vor fi colectate în scopuri determinate, explicite și legitime și nu vor fi procesate în alte moduri incompatibile cu scopurile menționate.
• Minimizarea datelor. Datele colectate vor fi relevante pentru scopul în care sunt colectate și vor fi limitate doar la strictul necesar.
• Exactitate. Datele cu caracter personal prelucrate vor fi exacte și actualizate ori de câte ori este necesar.
• Limitarea stocării. Datele personale nu vor fi păstrate pentru o perioada mai mare decât cea necesară pentru îndeplinirea scopurilor în care au fost colectate.
• Securitate și confidențialitate. Datele vor fi prelucrate în moduri care prezintă un nivel adecvat de securitate împotriva prelucrărilor neautorizate, ilegale sau a pierderii acestora.

Orice prelucrare de date cu caracter personal se va face în baza unui temei. Articolul 6 al Regulamentului 679/2016 definește aceste temeiuri.

• Interesul legitim va fi folosit ca temei atunci când prelucrarea datelor personale este necesară în scopul unui interes legitim urmărit de operator dar nu poate fi folosit dacă exista un motiv întemeiat pentru a proteja acele date personale, care este mai presus de interesul legitim urmărit de operator.
• Consimțământul este un alt temei în baza căruia se vor putea procesa date personale. Acesta trebuie să fie cerut în mod clar, specific și explicit și nu poate fi folosit pentru a condiționa accesul unei persoane fizice la informații, servicii sau produse.
• Executarea unui contract reprezintă un alt temei în baza căruia se pot prelucra date cu caracter personal.
• Obligația legală poate reprezenta un temei pentru prelucrarea datelor atunci când operatorul are o răspundere în fața legii de a procesa anumite date personale.
• Protejarea intereselor vitale poate fi folosit ca temei pentru prelucrare doar atunci când aceasta este necesară pentru a proteja viața unei persoane fizice.
• Sarcina publică poate reprezenta un temei de prelucrare dacă aceasta este necesară pentru a îndeplini o sarcină în interes public.

Prin regulament se stabilește faptul că fiecare stat membru va avea propria sa autoritate de supraveghere. Aceste autorități vor avea 2 seturi principale de responsabilități.

În primul rând, vor fi responsabile de protecția persoanelor vizate și de aplicarea regulamentului prin măsuri precum: avertismente, interzicerea și restricționarea prelucrării datelor cu caracter personal sau aplicarea amenzilor administrative de până la 20 000 000 EUR sau 4% din cifra de afaceri mondială totală anuală.

În al doilea rând, autorităților de supraveghere le revine datoria de a informa publicul asupra noțiunilor legate de GDPR cât și asupra drepturilor sale, dar și de a comunica și coopera cu autoritățile de supraveghere ale celorlalte state membre.

Regulamentul va aduce, în mod foarte probabil, schimbări în modul în care organizațiile interacționează cu clienții, furnizorii și cu angajații lor. Relațiile cu clienții vor trebui să devină mai transparente o dată cu obligația entităților publice sau private de a specifica în mod explicit ce fel de informații personale prelucrează de la persoanele fizice și în ce scopuri, cum au fost obținute aceste informații și pentru cât timp sunt ele păstrate. Stabilirea relațiilor cu furnizorii va trebui să ia în considerare și aspectul GDPR pentru a elimina potențiale riscuri sau breșe de securitate, iar angajații vor fi nevoiți să acorde mai multă importanță prelucrării datelor cu caracter personal. Aceștia vor trebui instruiți, pentru a-și cunoaște responsabilitățile cât și pentru a recunoaște eventualele riscuri, în scopul minimizării incidentelor de securitate cât și pentru o păstrare mai sigură a confidențialității datelor cu caracter personal.

Potrivit Regulamentului 679/2016 responsabilii pentru prelucrarea datelor cu caracter personal vor avea de respectat o serie de norme, proceduri și “măsuri tehnice și organizaționale” menite să stabilească un nivel adecvat de protecție a acestor date.

Aceste măsuri pot fi de ordin tehnic (software de securitate, programe anti-spyware sau malware, encriptarea sau pseudonimizarea datelor) sau de ordin organizațional (politici interne de gestionare a datelor cu caracter personal, instruirea angajaților, limitarea accesului la date personale, clauze contractuale și de confidențialitate).

Pe lângă aceste măsuri, majoritatea organizațiilor vor fi nevoite să întocmească o serie de documente cerute de regulament. Unul dintre aceste documente este registrul operațiunilor de prelucrare. Acesta va fi un document “viu”, actualizat ori de câte ori este nevoie, care va cuprinde o evidență a tuturor operațiunilor de prelucrare de date personale desfășurate în cadrul organizației. Un alt document obligatoriu în situațiile în care activitățile de prelucrare prezintă un risc ridicat pentru persoanele vizate este analiza de impact (DPIA).

O altă măsură de luat în considerare este adăugarea unor clauze contractuale ca anexe la contractele comerciale încheiate cu furnizorii, care să definească circumstanțele și modalitățile în care se va face prelucrarea de date personale cât și răspunderea fiecărei părți

O altă răspundere ce le revine tuturor celor care prelucrează date personale este informarea persoanelor vizate asupra acestor prelucrări și stabilirea unei proceduri de răspuns la solicitările sau plângerile acestora.

Anumite organizații vor fi nevoite să desemneze un responsabil cu protecția datelor sau Data Protection Officer (DPO). Acestă persoană va avea anumite responsabilități fața de persoanele vizate (comunicare, răspuns la cereri) cât și față de autoritatea de supraveghere (notificarea breșelor de securitate, răspuns la solicitări) dar va și guverna alinierea la cerințele regulamentului în cadrul organizației.

Luând în calcul anvergura regulamentului, noțiunile, principiile și regulile stabilite de acesta nu este greu să realizam că va avea un impact major asupra mediului de business din întreaga Uniune Europeana, dar nu numai. Astfel, respectarea acestuia nu are doar rolul de a ne feri de amenzi sau sancțiuni. Alinierea la toate prevederile regulamentului va prezenta pentru multe firme un proces minuțios și complex, dar beneficiile acestei acțiuni vor avea ramificații în mai multe direcții decât putem poate prevedea acum. Un lucru este cert. Respectarea responsabilității etice față de persoanele ale căror date personale procesam, va impacta dezvoltarea sustenabilă a companiilor prin creșterea nivelului de încredere pe care clienții îl au față de acestea prezentând astfel și un avantaj competitiv față de companiile care nu acordă suficientă importanta acestui aspect.

Data de 25 mai, când Regulamentul intră în vigoare, se apropie cu pași repezi. Dacă încă nu ești pregătit pentru a face fata tuturor prevederilor sale, cel mai important este ca acest proces de aliniere cu noile reglementari să fie început. Chiar dacă respectarea completă a regulamentului poate dura mai mult, esențial este ca acest proces sa se înceapă, pentru a putea da dovada de răspundere, atât în fața autorităților de supraveghere cât și în fața clienților.

Pentru mai multe detalii sau pentru ajutor în implementarea regulamentelor GDPR în propria companie