Suspectezi că o companie nu îți tratează corect datele personale, în conformitate cu prevederile GDPR? Află cum poți verifica și reclama practicile incorecte ale companiilor cu care ești în contact.
Regulamentul General privind Protecția Datelor (GDPR) se vrea un garant al securității din mediul virtual pentru toți cei 741 de milioane de cetățeni ai Uniunii Europene, iar transparența e cuvântul cheie.
Indiferent de domeniul de activitate, toată lumea a auzit cel puțin o dată de GDPR. Noile prevederi cu privire la datele personale au creat neliniște în rândul companiilor. Dacă legislația privind prelucrarea și gestionarea datelor personale nu era atât de strictă înainte, odată cu implementarea GDPR prevederile au devenit mai clare iar amenzile au speriat mediul de afaceri. Textele din legislație nu ușor de înțeles și pot crea multă confuzie pentru cei care nu au pregătire juridică. Din acest motiv, aducem la lumină tainele întunecate ale GDPR-ului, astfel încât să-i înțelegem rolul și implicațiile.
Ce vizează GDPR?
Prevederile din cadrul GDPR vizează toate statele membre UE, ceea ce înseamnă că și România trebuie să le respecte, iar data de la care a intrat în vigoare este 25 mai 2018. Menționăm că, spre deosebire de Directive, Regulamentul UE se aplică direct, neavând nevoie de transpunere legislativă.
Textul legislativ care face referire la protecția datelor personale este Regulamentul UE nr. 679/2016, cunoscut drept GDPR, și care înlocuiește Directiva CE nr. 46/1995. El vizează datele cu caracter personal, adică orice informație referitoare la o persoană fizică sau juridică și care poate duce la identificarea sa directă sau indirectă, indiferent dacă introducerea datelor are loc manual sau printr-un mijloc automatizat, de tip formular online.
Aceste date se împart în două categorii, după cum urmează:
- Date personale: nume, CNP, localizare geografică, adresă IP, Cookies, adresă email;
- Date personale sensibile: stare de sănătate, informații biometrice, informații genetice, rasă, orientare sexuală sau orientare politică.
Cui se aplică GDPR?
Principalele categorii de entități vizate prin GDPR sunt:
- Operatorii – cei care stabilesc scopurile și mijloacele de prelucrare a datelor cu caracter personal;
- Persoana împuternicită – cei care sunt responsabili de prelucrarea datelor cu caracter personal în numele unui operator de date.
Astfel, prevederile din cadrul GDPR se aplică Operatorilor și Persoanelor împuternicite stabilite pe teritoriul Uniunii Europene (UE), indiferent de locul unde are loc efectiv procesarea datelor. În general, toate persoanele juridice sunt considerate operatori deoarece au în gestiune datele personale ale clienților.
Care sunt sancțiunile pentru nerespectarea GDPR?
Datele personale reprezintă o categorie foarte sensibilă de informații, din acest motiv amenzile și sancțiunile în cazul gestionării defectuoase a acestora nu sunt deloc mici. Sancțiunile corective sunt stabilite de către autoritățile de supraveghere competente, și se acordă în funcție de gravitatea faptelor, după cum urmează:
- avertisment;
- amenda contravențională de până la 10.000.000 EURO sau, în cazul unei întreprinderi, de până la 2% din cifra de afaceri, pentru încălcarea obligațiilor prevăzute în articolele 8, 11, 25-39, 42 și 43 din GDPR, precum și încălcarea obligațiilor organismului de certificare în conformitate cu articolele 42 și 43 din GDPR;
- amenda contravențională de până la 20.000.000 EURO sau, în cazul unei întreprinderi, de până la 4% din cifra de afaceri pentru încălcarea principiilor de bază pentru prelucrare sau a drepturilor persoanelor vizate în conformitate cu art. 12-22 din GDPR.
![8081842_ctraus](https://www.aca.ro/wp-content/uploads/2019/07/8081842_ctraus.jpg)
Foto Anna Mouton
Procedura de plângere în cazul nerespectării GDPR
Atenție! Este util să cunoașteți procedura de plângere, indiferent dacă reprezentați partea reclamată sau reclamantul.
Conform GDPR, operatorii au obligația de a anunța clienții cu privire la datele pe care le gestionează și cu privire la scopurile pentru care sunt gestionate aceste date, pentru a nu risca sancțiuni considerabile.
Atât persoanele fizice cât și cele juridice pot trimite sesizări către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) în cazul în care sezisează o nerespectare a normelor impuse de GDPR. Plângerea se poate face la registratura generală de la sediul ANSPDCP sau prin completarea unui formular online prestabilit, disponibil pe site-ul oficial al ANSPDCP. Plângerile trebuie să conțină date de identificare ale persoanelor juridice sau fizice care le depun, dar și motivul depunerii plângerii.
Fișierul pentru depunerea plângerilor poate fi descărcat de aici.