GDPR 2020. Intrebari si probleme la care avem raspunsuri si solutii (I)

Afla acum tot ce tine de GDPR si fii in permanenta cu un pas in fata. 

Cui i se aplica GDPR?

GDPR se aplica in cazul:

• unei societati sau unei entitati care prelucreaza date cu caracter personal ca parte a activitatilor uneia dintre sucursalele sale cu sediul in UE, indiferent unde are loc prelucrarea datelor; sau
• unei societati care are sediul in afara UE si ofera bunuri/servicii (contra cost sau gratuit) sau monitorizeaza comportamentul unor persoane fizice din UE.

In cazul in care societatea dvs. este o intreprindere mica sau mijlocie (IMM) care prelucreaza date conform descrierii de mai sus, trebuie sa respectati GDPR. Cu toate acestea, daca prelucrarea datelor cu caracter personal nu constituie o parte esentiala a derularii activitatilor comerciale, iar activitatea dvs. nu creeaza riscuri pentru persoanele fizice, atunci nu vi se aplica unele obligatii din GDPR [de exemplu, numirea unui responsabil cu protectia datelor (RPD)]. Retineti ca „activitatile principale” ar trebui sa includa activitati in cadrul carora prelucrarea de date reprezinta o parte inseparabila a activitatii operatorului sau a persoanei imputernicite de operator.

Exemplu cand se aplica GDPR
Societatea dvs. este o societate mica din domeniul invatamantului superior, cu activitate online si sediu in afara UE. Aceasta vizeaza in principal universitatile de limba spaniola si portugheza din UE. Ea ofera consultanta gratuita cu privire la mai multe cursuri universitare, iar studentii au nevoie de un nume de utilizator si o parola pentru a accesa materialele dvs. online. Societatea aloca numele de utilizator si parola dupa ce studentii completeaza un formular de inscriere.

Exemplu cand nu se aplica GDPR
Societatea dvs. este un furnizor de servicii cu sediul in afara UE. Ea ofera servicii unor clienti din afara UE. Clientii dvs. pot utiliza aceste servicii cand calatoresc in alte tari, inclusiv pe teritoriul UE. Atat timp cat serviciile prestate de societatea dvs. nu se adreseaza in mod specific persoanelor fizice din UE, societatea nu face obiectul normelor GDPR. 

Se aplica GDPR in cazul IMM-urilor?

Registrul de Evidenta Fiscala PFA

Vezi AICI detalii

Ghidul practic al contabilului din domeniul constructiilor

Vezi AICI detalii

Marea Carte Verde a Monografiilor Contabile 2024 varianta tiparita

Vezi AICI detalii

Da, aplicarea regulamentului privind protectia datelor nu depinde de marimea societatii/organizatiei dvs., ci de natura activitatilor pe care le desfasurati. Activitatile care prezinta riscuri ridicate pentru drepturile si libertatile persoanelor fizice, indiferent daca sunt desfasurate de catre un IMM sau de catre o corporatie, atrag aplicarea unor norme mai stringente. Cu toate acestea, unele obligatii prevazute de GDPR nu li se aplica tuturor IMM-urilor.

De exemplu, societatile cu mai putin de 250 de angajati nu au obligatia sa pastreze evidente ale activitatilor lor de prelucrare decat daca prelucrarea datelor cu caracter personal este o activitate regulata, reprezinta o amenintare la adresa drepturilor si a libertatilor persoanelor fizice sau se refera la date sensibile ori la caziere judiciare.

Tot astfel, IMM-urile au obligatia de a numi un responsabil cu protectia datelor numai daca prelucrarea reprezinta activitatea lor principala si daca aceasta implica anumite amenintari la adresa drepturilor si a libertatilor persoanelor fizice (cum ar fi monitorizarea persoanelor fizice sau prelucrarea unor date sensibile ori a unor caziere judiciare), in special pentru ca se desfasoara la scara larga. 

Evitati amenzi uriase apeland la serviciile oferite de PortalProtectiaDatelor.ro! In Portal sunt postate zilnic intrebari noi, cu solutiile aferente!

Normele in vigoare se aplica in cazul datelor societatilor comerciale?

Conform articolelor 1, 2 si 3 din Regulamentul GDPR, normele se aplica numai datelor cu caracter personal privind persoanele fizice si nu reglementeaza datele referitoare la societati sau la alte entitati juridice. Cu toate acestea, informatiile legate de societati alcatuite dintr-o singura persoana pot constitui date cu caracter personal daca permit identificarea unei persoane fizice. Normele se aplica, de asemenea, tuturor datelor cu caracter personal referitoare la persoane fizice in cadrul unei activitati profesionale, cum ar fi angajatii unei societati/organizatii, precum adresele de e-mail de afaceri ca „prenume.nume@societate.eu” sau numerele de telefon ale angajatilor.

In ce conditii pot prelucra date personale si care sunt acestea?

Tipul si cantitatea de date cu caracter personal pe care societatea/organizatia are dreptul sa le prelucreze depind de motivul pentru care sunt prelucrate (temeiul juridic in cauza) si de scopul in care sunt prelucrare. Societatea/organizatia trebuie sa respecte mai multe norme-cheie, inclusiv urmatoarele:

• datele cu caracter personal trebuie prelucrate intr-un mod legal si transparent, garantand echitatea in ceea ce priveste persoanele fizice ale caror date cu caracter personal sunt prelucrate („legalitate, echitate si transparenta”);
• trebuie sa existe scopuri specifice ale prelucrarii datelor si societatea/organizatia trebuie sa informeze persoanele fizice in legatura cu scopurile respective atunci cand le colecteaza date cu caracter personal. Societatea/organizatia nu poate colecta pur si simplu date cu caracter personal in scopuri nedefinite („limitari legate de scop”);
• societatea/organizatia trebuie sa colecteze si sa prelucreze numai acele date cu caracter personal care sunt necesare pentru indeplinirea scopului respectiv („reducerea la minimum a datelor”);
• societatea/organizatia trebuie sa se asigure ca datele cu caracter personal sunt exacte si actualizate, avand in vedere scopurile pentru care sunt prelucrate, si sa fie corectate in caz contrar („exactitate”);
• societatea/organizatia nu are dreptul sa utilizeze datele cu caracter personal in alte scopuri care nu sunt compatibile cu scopul initial;
• societatea/organizatia trebuie sa se asigure ca datele cu caracter personal nu sunt stocate mai mult timp decat este necesar pentru scopurile in care au fost colectate („limitari legate de stocare”);
• societatea/organizatia trebuie sa prevada garantii tehnice si organizationale adecvate care sa asigure securitatea datelor cu caracter personal, inclusiv protectia impotriva prelucrarii neautorizate sau ilegale si impotriva pierderii, a distrugerii sau a deteriorarii accidentale, prin luarea de masuri tehnologice adecvate („integritate si confidentialitate”).

Exemplu
Societatea/organizatia dvs. administreaza o agentie de turism. Cand obtineti date cu caracter personal ale clientilor dvs., ar trebui sa le explicati intr-un limbaj clar si simplu de ce aveti nevoie de datele respective, cum le veti utiliza si cat timp intentionati sa le pastrati. Prelucrarea ar trebui adaptata la principiile-cheie de protectie a datelor.

Pot fi prelucrate datele indiferent de scop?

Nu! Scopul in care sunt prelucrate datele cu caracter personal trebuie cunoscut, iar persoanele fizice ale caror date le prelucrati trebuie informate. Nu puteti mentiona pur si simplu ca se vor colecta si prelucra date cu caracter personal. Acesta este principiul „limitarilor legate de scop”.

Putem folosi date in alt scop fata de cel declarat in clar?

Da, dar numai in unele cazuri. Daca societatea/organizatia dvs. a colectat date in baza unui interes legitim, a unui contract sau a unor interese vitale, le puteti folosi in alt scop, dar numai dupa ce va asigurati ca noul scop este compatibil cu scopul initial.

Trebuie luate in considerare urmatoarele aspecte:

• legatura dintre scopul initial si scopul nou/viitor;
• contextul in care au fost colectate datele (care este relatia dintre societatea/organizatia dvs. si persoana fizica in cauza?);
• tipul si natura datelor (sunt acestea sensibile?);
• posibilele consecinte ale prelucrarii ulterioare preconizate (cum vor influenta acestea persoana fizica in cauza?);
• existenta unor garantii adecvate (cum ar fi criptarea sau pseudonimizarea).

Daca societatea/organizatia dvs. doreste sa utilizeze datele pentru statistici sau pentru cercetare, nu este obligatoriu sa testeze compatibilitatea.

Daca societatea/organizatia dvs. a colectat date in temeiul unui consimtamant sau al unei cerinte legislative, nu este posibila nicio prelucrare ulterioara care depaseste domeniile acoperite de consimtamantul initial sau de dispozitia legislativa. Prelucrarea ulterioara ar necesita obtinerea unui nou consimtamant sau un nou temei juridic.

Exemplu cand este posibila prelucrarea ulterioara
O banca are un contract cu un client pentru a-i oferi clientului un cont bancar si un imprumut de nevoi personale. La sfarsitul primului an, banca utilizeaza datele cu caracter personal ale clientului pentru a verifica daca acesta este eligibil pentru un tip de imprumut mai avantajos si pentru un sistem de economii. Banca informeaza clientul. Banca poate prelucra din nou datele clientului, deoarece noile scopuri sunt compatibile cu scopul initial.

Exemplu cand nu este posibila prelucrarea ulterioara
Aceeasi banca doreste sa transmita datele clientului unor firme de asigurari, in temeiul aceluiasi contract pentru constituirea unui cont bancar si acordarea unui imprumut de nevoi personale. Aceasta prelucrare nu este permisa fara consimtamantul explicit al clientului, deoarece scopul nu este compatibil cu scopul initial in care au fost prelucrate datele.

Aveti o nelamurire legata de GDPR si de obligatiile dvs.? Obtineti raspunsul in doar 3 pasi! DA, e chiar atat de simplu! 

Cat de multe date personale se pot colecta?

Datele cu caracter personal ar trebui prelucrate numai atunci cand nu este posibila in mod rezonabil efectuarea prelucrarii in alt mod. Daca este posibil, este preferabil sa se utilizeze date anonime. In cazul in care sunt necesare date cu caracter personal, acestea ar trebui sa fie adecvate, relevante si limitate la ceea ce este necesar in scopul respectiv („reducerea la minimum a datelor”). In calitate de operator, societatii/organizatiei dvs. ii revine responsabilitatea de a evalua ce volum de date este necesar si de a se asigura ca nu se colecteaza date irelevante. 

Cat timp se pot pastra datele personale?

Trebuie sa stocati datele pentru o perioada cat mai scurta posibil. Perioada ar trebui sa tina seama de motivele pentru care societatea/organizatia dvs. trebuie sa prelucreze datele, precum si de eventuale obligatii juridice de a pastra datele o perioada fixa de timp (de exemplu, legile privind ocuparea fortei de munca, legile fiscale sau legile antifrauda nationale care va impun pastrarea datelor cu caracter personal despre angajatii dvs. pentru o perioada determinata, durata garantiei produselor etc.).

Societatea/organizatia dvs. ar trebui sa stabileasca termene pentru stergerea sau revizuirea datelor stocate.

Ca exceptie, datele cu caracter personal pot fi pastrate o perioada mai indelungata in scopuri de arhivare in interes public ori in scopuri de cercetare stiintifica sau istorica, cu conditia sa fie puse in aplicare masuri de ordin tehnic si organizatoric adecvate (precum anonimizare, criptare etc.).

De asemenea, societatea/organizatia dvs. trebuie sa se asigure ca datele pe care le detine sunt exacte si sa le actualizeze. 

Ce informatii trebuie oferite persoanelor ale caror date sunt stocate?

Conform art. 13 din GDPR in momentul in care colectati datele, persoanele trebuie clar informate cel putin despre:

• cine este societatea/organizatia dvs. (datele de contact ale dvs. si ale eventualului RPD al dvs., daca este cazul);
• la ce va folosi societatea/organizatia dvs. datele cu caracter personal ale acestora (scopurile);
• categoriile de date cu caracter personal in cauza;
• justificarea juridica a prelucrarii datelor;
• cat timp vor fi pastrate datele;
• cine altcineva le-ar putea primi;
• daca datele cu caracter personal ale acestor oameni vor fi transferate catre un destinatar din afara UE;
• ca acestia au dreptul la o copie a datelor (dreptul de a accesa datele cu caracter personal) si alte drepturi de baza in domeniul protectiei datelor (consultati lista completa a drepturilor);
• dreptul de a depune o plangere in fata unei autoritati de protectie a datelor (ANSPDCP);
• dreptul de a-si retrage consimtamantul in orice moment;
• eventuala existenta a unui proces decizional automatizat si logica utilizata, inclusiv consecintele acestui fapt.

Aceste informatii trebuie furnizate in scris, oral la solicitarea persoanei vizate, daca identitatea acesteia a fost dovedita prin alte mijloace, sau prin mijloace electronice atunci cand este oportun. Societatea/organizatia dvs. trebuie sa furnizeze informatiile intr-un mod concis, transparent, inteligibil si usor accesibil, intr-un limbaj clar si simplu si in mod gratuit.

Cand datele sunt obtinute de la o alta societate/organizatie, societatea/organizatia dvs. ar trebui sa ii furnizeze persoanei informatiile mentionate mai sus in termen de o luna de la momentul la care societatea/organizatia dvs. a obtinut datele cu caracter personal; sau, in cazul in care societatea/organizatia dvs. comunica cu persoana fizica, in momentul in care datele sunt utilizate pentru comunicarea cu aceasta; sau, daca se intentioneaza divulgarea datelor catre o alta societate, la data la care datele cu caracter personal au fost divulgate pentru prima oara.

De asemenea, societatea/organizatia dvs. are obligatia de a informa persoana fizica in legatura cu categoriile de date si cu sursa din care a obtinut datele, inclusiv daca au fost obtinute din surse disponibile public. In anumite situatii enumerate la articolul 13 alineatul (4) si la articolul 14 alineatul (5) din GDPR, societatea/organizatia dvs. poate fi scutita de obligatia de a informa persoana fizica. Va rugam sa verificati daca aceasta exceptie se aplica societatii/organizatiei dvs.

Credeti ca sunteti la adapost de un control privind respectarea prevederilor GDPR? Va inselati! Dar adevarul este ca si dvs., o companie mica sau mijlocie, puteti primi ORICAND vizita organului de control abilitat in acest sens, indiferent de dimensiunea sau specificul activitatii pe care o desfasurati. Si veti intelege mai bine pericolul in care va aflati parcurgand "CD-ul Controlul de Protectia Datelor - cum sa va protejati firma", o lucrare cuprinzatoare de ultima ora.

Ce date personale pot fi prelucrate si in ce conditii?

Tipul si cantitatea de date cu caracter personal pe care societatea/organizatia are dreptul sa le prelucreze depind de motivul pentru care sunt prelucrate (temeiul juridic in cauza) si de scopul in care sunt prelucrare. Societatea/organizatia trebuie sa respecte mai multe norme-cheie, inclusiv urmatoarele:

• datele cu caracter personal trebuie prelucrate intr-un mod legal si transparent, garantand echitatea in ceea ce priveste persoanele fizice ale caror date cu caracter personal sunt prelucrate („legalitate, echitate si transparenta”);
• trebuie sa existe scopuri specifice ale prelucrarii datelor si societatea/organizatia trebuie sa informeze persoanele fizice in legatura cu scopurile respective atunci cand le colecteaza date cu caracter personal. Societatea/organizatia nu poate colecta pur si simplu date cu caracter personal in scopuri nedefinite („limitari legate de scop”);
• societatea/organizatia trebuie sa colecteze si sa prelucreze numai acele date cu caracter personal care sunt necesare pentru indeplinirea scopului respectiv („reducerea la minimum a datelor”);
• societatea/organizatia trebuie sa se asigure ca datele cu caracter personal sunt exacte si actualizate, avand in vedere scopurile pentru care sunt prelucrate, si sa fie corectate in caz contrar („exactitate”);
• societatea/organizatia nu are dreptul sa utilizeze datele cu caracter personal in alte scopuri care nu sunt compatibile cu scopul initial;
• societatea/organizatia trebuie sa se asigure ca datele cu caracter personal nu sunt stocate mai mult timp decat este necesar pentru scopurile in care au fost colectate („limitari legate de stocare”);
• societatea/organizatia trebuie sa prevada garantii tehnice si organizationale adecvate care sa asigure securitatea datelor cu caracter personal, inclusiv protectia impotriva prelucrarii neautorizate sau ilegale si impotriva pierderii, a distrugerii sau a deteriorarii accidentale, prin luarea de masuri tehnologice adecvate („integritate si confidentialitate”).

Principalele aspecte ale GDPR pe care trebuie sa le stie o administratie publica

O administratie publica face obiectul normelor GDPR atunci cand prelucreaza date cu caracter personal referitoare la o persoana fizica. Este responsabilitatea administratiilor nationale sa sprijine administratia regionala si locala in pregatirea pentru aplicarea GDPR.

Cele mai multe date cu caracter personal detinute de administratiile publice sunt prelucrate in mod obisnuit in temeiul unei obligatii legale sau in masura in care acest lucru este necesar pentru indeplinirea unor atributii de interes public sau in exercitarea autoritatii publice cu care este investita organismul.

Cand prelucreaza date cu caracter personal, o administratie publica trebuie sa respecte principii-cheie cum sunt:

• o prelucrare echitabila si legala;
• limitarea scopului;
• reducerea la minimum a datelor si pastrarea datelor.

In cazul prelucrarii in temeiul legii, aceasta lege ar trebui sa asigure deja respectarea acestor principii (spre exemplu, tipuri de date, perioada de stocare si masuri de protectie corespunzatoare).

Inainte de a prelucra date cu caracter personal, persoanele fizice trebuie informate cu privire la prelucrare, cum ar fi scopurile acesteia, tipurile de date colectate, destinatarii si drepturile care le revin in ceea ce priveste protectia datelor.

O administratie publica trebuie sa numeasca un responsabil cu protectia datelor (DPO), cu toate acestea un responsabil cu protectia datelor poate fi numit pentru mai multe organisme publice si prin urmare acesta sa fie comun, sau exista posibilitatea externalizarii acestei activitati unui DPO extern De asemenea, trebuie sa se asigure ca a pus in aplicare masuri tehnice si organizatorice adecvate pentru a securiza datele cu caracter personal. Daca se externalizeaza unele parti ale prelucrarii catre o organizatie externa (o asa-numita „persoana imputernicita de operator”), trebuie sa existe un contract sau un alt act juridic care sa garanteze faptul ca persoana imputernicita de operator ofera garantii suficiente pentru punerea in aplicare a unor masuri tehnice si organizatorice adecvate care intrunesc standardele GDPR.

In cazurile in care datele cu caracter personal detinute sunt dezvaluite in mod accidental sau ilegal catre destinatari neautorizati sau sunt indisponibile temporar ori sufera modificari, autoritatea de protectie a datelor (ANSPDCP) trebuie instiintata cu privire la incalcare fara intarzieri nejustificate, in termen de cel mult 72 de ore de la momentul la care ati luat cunostinta de incalcare. Poate fi necesar ca administratia publica sa informeze si persoanele fizice cu privire la incalcare.

Puteti gasi mai multe informatii despre obligatiile administratiilor publice in temeiul GDPR dand click AICI.

Raspuns la solicitarile persoanelor fizice privind GDPR din partea administratiei publice

Persoanele fizice pot contacta o administratie publica pentru a-si exercita drepturile conferite de GDPR (dreptul de acces, de rectificare, de stergere, de restrictionare, de opozitie, dreptul de a nu face obiectul unui proces decizional automat).

Retineti ca persoanele fizice au dreptul de a se opune prelucrarii datelor cu caracter personal de catre o administratie publica pe motive de interes public. Persoanele respective trebuie sa prezinte administratiei publice motive referitoare la situatia lor particulara. Administratia publica poate continua sa prelucreze datele si deci poate respinge solicitarea daca demonstreaza motive legitime si imperioase care justifica prelucrarea si care prevaleaza asupra intereselor si a drepturilor persoanei fizice sau daca datele respective sunt necesare pentru constatarea, exercitarea sau apararea unui drept in instanta.

Persoanele fizice nu au drepturi asupra transmiterii acelor date referitoare la ele care sunt necesare pentru indeplinirea unei sarcini executate in interes public sau in cadrul exercitarii unei autoritati oficiale cu care este investit operatorul.

O administratie publica trebuie sa raspunda solicitarilor primite din partea persoanelor fizice fara intarzieri nejustificate, in principiu, in termen de o luna de la primirea solicitarii. Aceasta poate cere persoanelor care efectueaza solicitarea informatii suplimentare pentru a le confirma identitatea. Daca solicitarea este respinsa, persoanele in cauza trebuie informate cu privire la motivele respingerii si la dreptul acestora de a depune o plangere la APD, precum si la dreptul acestora la o cale de atac.

Puteti gasi mai multe informatii despre obligatiile care va revin in temeiul GDPR dand click AICI!

Ce se poate intampla daca Primaria nu respecta GDPR?

Autoritatile de protectie a datelor au la dispozitie diferite instrumente in caz de incalcare. In cazul unei posibile incalcari se poate emite un avertisment. In cazul unei incalcari, printre posibilitati se numara: o mustrare sau interzicerea temporara sau definitiva a prelucrarii. In unele tari, organismele publice pot face obiectul unor amenzi administrative. O administratie publica trebuie sa verifice legea privind protectia datelor din tara dvs.

Persoanele fizice pot cere despagubiri in cazul in care un organism public a incalcat GDPR, iar ele au suferit prejudicii materiale (de exemplu, pierderi financiare) sau morale (de exemplu, compromiterea reputatiei sau stres psihologic). GDPR asigura faptul ca aceste persoane vor primi despagubiri indiferent de numarul organizatiilor implicate in prelucrarea datelor lor. Cererea de despagubire poate fi adresata direct organismului public sau poate fi adusa in fata instantelor nationale competente din statul membru vizat.

Alegeti acum cea mai SIGURA sursa de informare pentru rezolvarea problemelor specifice! Specialistii Editurii Rentrop&Straton, lider de piata de peste 23 de ani si furnizor de legislatie comentata pentru mediul de afaceri, impreuna cu expertii Asociatiei Romane de Stiinte Juridice Savescu & Co. va ofera acum UNICUL ghid special creat pentru implementarea Regulamentului 679/2016 in primarii! Comandati acum exemplarul dvs. din Ghid GDPR pentru primarii!

Cand pot fi prelucrate datele?

Societatea/organizatia dvs. poate prelucra date cu caracter personal numai in situatiile urmatoare:

• cu consimtamantul persoanelor fizice in cauza;
• cand exista o obligatie contractuala (un contract intre societatea/organizatia dvs. si un client);
• pentru a respecta o obligatie legala (prevazuta in legislatia UE sau in legislatia nationala);
• cand prelucrarea este necesara pentru indeplinirea unei sarcini care serveste unui interes public (prevazute in legislatia UE sau in legislatia nationala);
• pentru a proteja interesele vitale ale unei persoane fizice;
• in scopul intereselor legitime ale organizatiei dvs., dar numai dupa ce v-ati asigurat ca acest lucru nu are un impact grav asupra drepturilor si a libertatilor fundamentale ale persoanei ale carei date le prelucrati. Daca drepturile persoanei respective prevaleaza in raport cu interesele dvs., prelucrarea nu poate fi efectuata in temeiul unui interes legitim.

Stabilirea aspectului daca societatea/organizatia dvs. are interese legitime privind prelucrarea in raport cu cele ale persoanelor in cauza depinde de circumstantele individuale. 

Temeiul unui interes legitim, conform GDPR

In calitate de societate/organizatie, aveti adesea nevoie sa prelucrati date cu caracter personal pentru a indeplini sarcini legate de activitatile dvs. de afaceri. Prelucrarea datelor cu caracter personal in acest context poate sa nu fie neaparat justificata de o obligatie legala sau de obligatia de executare a termenelor unui contract cu o persoana fizica. Prin urmare, in astfel de cazuri prelucrarea datelor poate fi justificata pe „interese legitime”.

Societatea/organizatia dvs. trebuie sa informeze persoanele in cauza cu privire la prelucrare in momentul in care sunt colectate datele lor cu caracter personal.

De asemenea, societatea/organizatia dvs. trebuie sa se asigure ca, urmarindu-si interesele legitime, nu afecteaza in mod grav drepturile si libertatile persoanelor fizice in cauza; in caz contrar, societatea/organizatia dvs.nu se poate baza pe interese legitime ca justificare a prelucrarii datelor si trebuie gasit un alt temei juridic.

Cand este valabil consimtamantul?

Cand este necesar consimtamantul pentru prelucrarea datelor cu caracter personal, trebuie intrunite mai multe conditii pentru ca acest consimtamant sa fie valabil:

• acesta trebuie sa fie liber exprimat;
• trebuie sa fie acordat in cunostinta de cauza;
• trebuie acordat pentru un scop specific;
• toate motivele prelucrarii trebuie precizate clar;
• trebuie sa fie explicit si acordat printr-un act pozitiv (de exemplu, o casuta pe care persoana fizica trebuie sa o bifeze explicit online sau o semnatura pe un formular);
• trebuie sa foloseasca un limbaj clar si simplu si sa fie clar vizibil;
• consimtamantul poate fi retras, iar acest lucru trebuie sa fie explicat (de exemplu, un link pentru dezabonare la sfarsitul unui e-mail care contine un buletin informativ electronic).

Pentru a fi acordat in mod liber consimtamantul, persoana fizica trebuie sa aiba libertatea de a alege si trebuie sa poata sa refuze sau sa isi retraga consimtamantul fara a fi pusa in dezavantaj. Consimtamantul nu este acordat in mod liber, de exemplu, daca exista un dezechilibru clar intre persoana fizica si societate/organizatie (de exemplu, relatia angajator-angajat) sau atunci cand o societate/organizatie le solicita persoanelor fizice sa aprobe prelucrarea unor date cu caracter personal care nu sunt necesare ca o conditie pentru executarea unui contract sau a unui serviciu.

Pentru ca o persoana sa isi dea consimtamantul in cunostinta de cauza, acesteia trebuie sa i se ofere cel putin urmatoarele informatii:

• informatii privind identitatea organizatiei care prelucreaza datele;
• informatii privind scopurile in care sunt prelucrate datele;
• informatii privind tipul de date care se va prelucra;
• posibilitatea de retragere a consimtamantului dat (exemplu: un link pentru dezabonare la sfarsitul unui e-mail);
• daca este cazul, informatii privind faptul ca datele vor fi utilizate pentru luarea de decizii bazate exclusiv pe prelucrarea automata, inclusiv crearea de profiluri;
• in cazul in care consimtamantul se refera la un transfer international, informatii privind riscurile posibile ale transferurilor de date in tari terte care nu fac obiectul unei decizii a Comisiei privind caracterul adecvat si nu exista garantii adecvate.

Retineti: in cazul in care cineva isi da consimtamantul privind prelucrarea datelor sale cu caracter personal, puteti prelucra datele numai in scopurile pentru care a fost dat consimtamantul. 

Consimtamantul dat inainte de 25 mai 2018 ramane valabil?

In cazul in care consimtamantul acordat de catre o persoana anterior Regulamentului general privind protectia datelor (GDPR) intruneste conditiile GDPR, nu este necesar sa solicitati din nou consimtamantul persoanei fizice. Societatea/organizatia dvs. trebuie sa se asigure ca acel consimtamant acordat inainte de aplicarea GDPR intruneste conditiile stabilite in GDPR.

Consimtamantul pentru cercetari stiintifice

Este permisa o oarecare flexibilitate in ceea ce priveste gradul de specificatie si granularitatea consimtamantului in contextul cercetarilor stiintifice. Cand colecteaza date cu caracter personal, este posibil ca cercetatorii sa nu poata identifica pe deplin scopurile prelucrarii acestora. In aceste cazuri, ei le pot solicita persoanelor fizice sa isi dea consimtamantul pentru anumite domenii de cercetare stiintifica sau pentru anumite parti ale proiectelor de cercetare. Consimtamantul trebuie sa isi pastreze in orice caz elementele de baza: sa fie liber exprimat, in cunostinta de cauza, solicitat printr-o actiune fara echivoc si sa fie specific masurii permise de cercetarea in cauza. Cercetatorii trebuie sa se asigure ca respecta, de asemenea, standardele etice si metodologice impuse in domeniul lor.

Important! Informatiile gratuite de mai sus ne sunt oferite de catre Comisia Europeana. Citeste declinarea responsabilitatii publicata de Comisia Europeana pentru acest ghid la care subscrie si E-Juridic.