Cuprins:
- Definitie GDPR
- Care sunt datelele cu caracter personal (definitie si exemple)
- Ce inseamna Persoana vizata, Operator, Imputernicit si Parte terta
- Prelucrarea datelor cu caracter personal in baza unor temeiuri juridice
- Drepturile persoanei vizate
- Obligatiile Operatorului si ale persoanei imputernicite
- Rolul Ofiterului responsabil cu Protectia Datelor
Ce inseamna GDPR?
- Regulamentul general privind protecția datelor este o lege creată de Uniunea Europeană
- Acesta este preocupat de protecția datelor cu caracter personal ale cetățenilor UE
- Persoanele fizice au drept de acces, schimbare sau solicitare de ștergerea acestor date.
- Se aplică tuturor organizațiilor din întreaga lume care dețin date ale cetățenilor UE
- În calitate de angajat, sunteți responsabil pentru respectarea acestei legislații.
Aplicabilitate – 28 Mai 2018
Ce inseamna Date cu caracter Personal?
- o persoană fizică identificabilă este cea care poate fi identificată, direct sau indirect, în special prin raportare la un identificator, cum ar fi un nume, un număr de identificare, date despre locație, un identificator online sau la unul sau mai mulți factori specifici fizic, fiziologic, identitate genetică, mentală, economică, culturală sau socială a acelei persoane fizice.
- În cadrul GDPR s-a precizat că informații precum adrese IP, identificatori cookie, ID dispozitiv mobil și alte tipuri de identificatori unici sunt, de asemenea, considerate a fi „date cu caracter personal” și trebuie protejate în consecință.
„Orice informație referitoare la o persoană fizică identificată sau identificabilă, cunoscută drept„ subiect de date ”sau „persoana vizataˮ
Exemple de date cu caracter personal pe care le prelucrăm sunt:
- Nume
- Adresa
- Număr de telefon
- Adresa de email
- Data nasterii
- Adresa IP
- Număr de serie al echipamentului IMEI
Ce inseamna Persoana vizata, Operator, Imputernicit si Parte terta?
PERSOANA VIZATA;
“identificata sau identificabila’
Persoana identificabila – persoana care nu este clar delimitat de alte persoane dintr-un grup, insa
identificarea este posibila;
- in mod direct – prin nume, CNP, numar de la masina, numar de telefon etc.
- in mod indirect – in special prin combinarea mai multor elemente de identificare (fie ca sunt tinute de
operatorul de date sau nu)
OPERATOR DE DATE;
Este coordonatorul activitatii prelucrarii de date si este principalul responsabil pentru indeplinirea
obligatiilor impuse de legislatie, precum si respectarea drepturilor persoanelor vizate ce decurg din
efectuarea operatiunilor de prelucrare de date
PERSOANA IMPUTERNICITA:
Persoana imputernicita de operator –persoana fizica sau juridica, autoritate publica, agentia sau alt organism
care prelucreaza date cu caracter personal in numele operatorului, in baza unui contract sau alt act
juridic incheiat cu acesta (Art.4.pct.8.)
PARTE TERTA:
Persoana fizica sau juridica, autoritate publica, agentie sau alt organism altul decat persoana vizata,
operatorul, persoana imputenicita de operator si persoanele care, sub directa autoritate a operatorului
sau a persoanei imputernicite de operator, sunt autorizate sa prelucreaze date cu caracter personal
Ex: organele de cercetare penala (operator MJ), alte autoritati ale statului (curtea de conturi – operator MF)
PRELUCRAREA DATELOR CU CARACTER PERSONAL IN BAZA UNOR TEMEIURI JURIDICE:
1.CONSIMTAMANTUL– orice manifestare de vointa libera, specifica, informata si lipsita de ambiguitate a
persoanei vizate prin care aceasta accepta, printr-o declaratie sau printr-o actiune fara echivoc, ca datele
cu caracter personal care o privesc sa fie prelucrate (Art.14,pct(11)GDPR.
Consimtamantul scris poate fi:
- In format hartie ,prin semnatura olografa
- In forma electronica (online)
- Prin semnatura electronica
2.EXECUTAREA UNUI CONTRACT – avem doua cazuri ce justifica prelucrarea si anume:
- Cazul in care este necesara pentru executarea unui contract la care persoana vizata este parte.
- Cazul in care prelucrarea este necesara anterior incheierii unui contract-in cadrul activitatilor precontractuale
(ex. redactarea draftului de contact, negocierea unor clauze, recrutare etc.)
3.INDEPLINIREA UNOR OBLIGATII LEGALE– Obligatia trebuie sa fie impusa de lege, sa fie ferma si sa nu
confere operatorului de date un drept de optiune intre a indeplini sau nu obligatia (ex.HR – in temeiul
art.27.alin(1) si (2) din Codul Muncii –” (1) O persoana poate fi angajata in munca numai in baza unui
certificat medical, care constata faptul ca cel in cauza este apt pentru prestarea acelei munci. (2)
Nerespectarea prevederilor alin(1) atrage nulitatea contractului individual de munca”.
4.INTERESUL LEGITIM – cerinta ca un interes sa fie considerat legitim -potrivit opiniei nr.63/2014:
a) sa fie legal;
b) sa fie definit in mod suficient de clar in asa fel incat sa permita efetuarea testului “echilibrului de interese”
(balancing of interest test) intre interesul legitim al operatorului de date si drepturile si interesele
fundamentale ale persoanei vizate.
c) sa reprezinte un interes real si prezent.
DREPTURILE PERSOANEI VIZATE
1) Dreptul la informare – informarea se face anterior initierii operatiunilor de prelucrare de date( in orcare
dintre formele sale,respectiv colectare,stocare etc.)
Informarea trebuie sa cuprinda:
a) identitatea si datele de contact ale operatorului sau a reprezentantului acestuia
b) scopul prelucrarii si temeiul juridic al prelucrarii,
c) destinatarii sau categoriile de destinatari ai datelor cu caracter personal,
d) perioada pentru care vor fi stocate si criteriile utilizate pentru a stabili aceasta perioada.
2) Dreptul de acces la datele cu caracter personal – cu urmatoarele componente;
a) posibilitatea persoanei vizate de a obtine o confirmare din partea operatorului referitor la efectuarea sau nu a unor
operatiuni de prelucrare,
b) posibilitatea persoanei vizate de a obtine de la operator o copie a datelor prelucrate.- art.15 alin.(2)GDPR
3) Dreptul de rectificare si stergere a datelor –
Dreptul de rectificare -confera persoanei vizate posibilitatea de a rectifica/obtine completarea datelorsale cu
caracter personal,operatiuni realizate cu ajutorul operatorului de date.
Dreptul la stergerea datelor – cunoscut si sub denumirea de “dreptul de a fi uitat”,confera persoanei vizate
posibilitatea de a obtine stergerea datelor sale personale.
4) Dreptul la restrictionareea prelucrarii datelor – in ceea ce priveste sistemele automate de evidenta,
asigurarea prelucrarii ar trebui in principiu asigurata prin mijloace tehnice in asa fel incat datele cu caracter
personal sa nu faca obiectul unor operatiuni de prelucrare ulterioara si sa nu mai poata fi schimbate, iar
sistemele ar trebui “sa indice in mod clar” operatiunea de marcare a datelor.
5) Dreptul la portabilitatea datelor – inspirat din sistemele cloud computing- in care se pune accent atat pe
portabilitate cat si pe interoperabilitate
Se poate defini ca: transmiterea datelor direct de la operatorul care le detine catre un alt operator, atunci
cand sunt indeplinite anumite conditii, ca de ex: prelucrarea se bazeaza pe consimtamant sau pe un contract,
respectiv prelucrarea este efectuata prin mijloace informatice.
6) Dreptul de opozitie – posibilitatea persoanei vizate de a se opune prelucrari datelor sale cu caracter
personal, cu urmatoarea exceptie: operatorul de date poate continua totusi prelucrarea doar daca
demonstraza ca are motive legitime si imperioase care justifica prelucrarea (ex exercitarea sau apararea
unui drept in instanta)
7) Dreptul de a nu fi subiect al unei decizii individuale – persoana vizata are “dreptul de a nu face obiectul
unei decizii bazate exclusiv pe prelucrarea automata”.
OBLIGATIILE OPERATORULUI SI A PERSOANEI IMPUTERNICITE
OBLIGATIILE OPERATORULUI:
- Obligatii in relatia cu Clientul
- Informare cu privire la prelucrarea prin imputerniciti;
- Informare cu privire la destinatari (imputerniciti si subcontractori) sau categorii de destinatari.
Obligatii in relatia cu Imputernicitii:
- Sa evalueze Imputernicitii inainte de contractare pentru a verifica daca ofera garantii suficiente pentru aplicarea
masurilor astfel incat prelucrarea sa respecte cerintele legale si sa asigure protectia drepturilor Clientilor; - Sa incheie un contract cu Imputernicitii prin care sa stabileasca:
- Obiectul si durata prelucrarii;
- Natura si scopul prelucrarii;
- Tipul datelor cu caracter personal si categoriile de persoane vizate;
- Obligatiile, drepturile si raspunderea partilor;
- Sa se asigure ca Imputernicitii respecta instructiunile sale si masurile tehnice necesare pentru protectia datelor
si efectuarea prelucrarilor conform legii (audit, inspectii).
Obligatii in relatia cu Subcontractorul:
Sa se asigure ca prevederile contractului dintre Imputernicitul Furnizor si Subcontractor reflecta aceleasi
obligatii privind protectia datelor prevazute in contractul incheiat intre Imputernicitul Furnizor si Operator
OBLIGATIILE PERSOANEI IMPUTERNICITE
- De a prelucra datele Clientilor pe baza instructiunilor Operatorului;
- De a adopta masuri organizatorice adecvate care sa permita protectia datelor;
- De a adopta masuri de securitate adecvate in vederea asigurarii unui nivel de securitate corespunzator (inclusiv
dar fara a se limita la asigurarea confidentialitatii, integritatii disponibilitatii si rezistentei datelor si sistemelor de
prelucrare a datelor); - De a nu prelucra datele Clientilor in scopuri personale sau alte scopuri nepermise /neprevazute in Contract;
- De a nu folosi alti subcontractori fara autorizatia prealabila scrisa a Operatorului;
- De a include in contractul cu Subcontractorul obligatii care sa reflecte obligatiile privind protectia datelor prevazute
in contractul incheiat intre Imputernicitul Furnizor si Operator; - De a numi un numar restrans de persoane autorizate sa prelucreze datele cu caracter personal;
- De a incheia acorduri de confidentialitate cu angajatii care sunt persoane autorizate;
ROLUL OFITERULUI CU PROTECTIA DATELOR
- Informare si consilierea operatorului sau a persoanei imputenicite de operator;
- Monitorizarea respectarii prezentului regulament, inclusiv de alocarea responsabilitatilor si actiunilor de
sensibilizare si de formare a personalului implicat in operatiunile de prelucrare, precum si audituri aferente; - Furnizarea de consiliere la cerere in ceea ce priveste evaluarea impactului asupra protectiei datelor si
monitorizarea functionarii acesteia. - Cooperarea cu autoritatea de supraveghere;
- Asumarea rolului de punct de contact pentru autoritatea de supraveghere,privind aspectele legate de prelucrare
- Colaborarea cu alte departamente ex. HR, IT, Marketing, Operational, Logistic si transmiterea de catre acestea
catre DPO a oricaror informatii importante din perspectiva protectiei datelor cu caracter personal.