Ai intrebari cu privire la GDPR? Ti-a creat Regulamentul probleme? Iata raspunsuri si solutii gratuite pe care le poti pune in practica. Aceasta este partea intai a ghidului cuprinzator privind GDPR cu informatii gratuite. Partea a II-a este disponibila AICI!
Afla acum tot ce tine de GDPR si fii in permanenta cu un pas in fata.
GDPR se aplica in cazul:
In cazul in care societatea dvs. este o intreprindere mica sau mijlocie (IMM) care prelucreaza date conform descrierii de mai sus, trebuie sa respectati GDPR. Cu toate acestea, daca prelucrarea datelor cu caracter personal nu constituie o parte esentiala a derularii activitatilor comerciale, iar activitatea dvs. nu creeaza riscuri pentru persoanele fizice, atunci nu vi se aplica unele obligatii din GDPR [de exemplu, numirea unui responsabil cu protectia datelor (RPD)]. Retineti ca „activitatile principale” ar trebui sa includa activitati in cadrul carora prelucrarea de date reprezinta o parte inseparabila a activitatii operatorului sau a persoanei imputernicite de operator.
Exemplu cand se aplica GDPR
Societatea dvs. este o societate mica din domeniul invatamantului superior, cu activitate online si sediu in afara UE. Aceasta vizeaza in principal universitatile de limba spaniola si portugheza din UE. Ea ofera consultanta gratuita cu privire la mai multe cursuri universitare, iar studentii au nevoie de un nume de utilizator si o parola pentru a accesa materialele dvs. online. Societatea aloca numele de utilizator si parola dupa ce studentii completeaza un formular de inscriere.
Exemplu cand nu se aplica GDPR
Societatea dvs. este un furnizor de servicii cu sediul in afara UE. Ea ofera servicii unor clienti din afara UE. Clientii dvs. pot utiliza aceste servicii cand calatoresc in alte tari, inclusiv pe teritoriul UE. Atat timp cat serviciile prestate de societatea dvs. nu se adreseaza in mod specific persoanelor fizice din UE, societatea nu face obiectul normelor GDPR.
Modele de texte pentru nota 10 la Evaluarea Nationala clasa a VIII-a
Ghidul practic al contabilului din domeniul constructiilor
Registrul de Evidenta Fiscala PFA
Da, aplicarea regulamentului privind protectia datelor nu depinde de marimea societatii/organizatiei dvs., ci de natura activitatilor pe care le desfasurati. Activitatile care prezinta riscuri ridicate pentru drepturile si libertatile persoanelor fizice, indiferent daca sunt desfasurate de catre un IMM sau de catre o corporatie, atrag aplicarea unor norme mai stringente. Cu toate acestea, unele obligatii prevazute de GDPR nu li se aplica tuturor IMM-urilor.
De exemplu, societatile cu mai putin de 250 de angajati nu au obligatia sa pastreze evidente ale activitatilor lor de prelucrare decat daca prelucrarea datelor cu caracter personal este o activitate regulata, reprezinta o amenintare la adresa drepturilor si a libertatilor persoanelor fizice sau se refera la date sensibile ori la caziere judiciare.
Tot astfel, IMM-urile au obligatia de a numi un responsabil cu protectia datelor numai daca prelucrarea reprezinta activitatea lor principala si daca aceasta implica anumite amenintari la adresa drepturilor si a libertatilor persoanelor fizice (cum ar fi monitorizarea persoanelor fizice sau prelucrarea unor date sensibile ori a unor caziere judiciare), in special pentru ca se desfasoara la scara larga.
Evitati amenzi uriase apeland la serviciile oferite de PortalProtectiaDatelor.ro! In Portal sunt postate zilnic intrebari noi, cu solutiile aferente!
Conform articolelor 1, 2 si 3 din Regulamentul GDPR, normele se aplica numai datelor cu caracter personal privind persoanele fizice si nu reglementeaza datele referitoare la societati sau la alte entitati juridice. Cu toate acestea, informatiile legate de societati alcatuite dintr-o singura persoana pot constitui date cu caracter personal daca permit identificarea unei persoane fizice. Normele se aplica, de asemenea, tuturor datelor cu caracter personal referitoare la persoane fizice in cadrul unei activitati profesionale, cum ar fi angajatii unei societati/organizatii, precum adresele de e-mail de afaceri ca „prenume.nume@societate.eu” sau numerele de telefon ale angajatilor.
Tipul si cantitatea de date cu caracter personal pe care societatea/organizatia are dreptul sa le prelucreze depind de motivul pentru care sunt prelucrate (temeiul juridic in cauza) si de scopul in care sunt prelucrare. Societatea/organizatia trebuie sa respecte mai multe norme-cheie, inclusiv urmatoarele:
Exemplu
Societatea/organizatia dvs. administreaza o agentie de turism. Cand obtineti date cu caracter personal ale clientilor dvs., ar trebui sa le explicati intr-un limbaj clar si simplu de ce aveti nevoie de datele respective, cum le veti utiliza si cat timp intentionati sa le pastrati. Prelucrarea ar trebui adaptata la principiile-cheie de protectie a datelor.
Nu! Scopul in care sunt prelucrate datele cu caracter personal trebuie cunoscut, iar persoanele fizice ale caror date le prelucrati trebuie informate. Nu puteti mentiona pur si simplu ca se vor colecta si prelucra date cu caracter personal. Acesta este principiul „limitarilor legate de scop”.
Da, dar numai in unele cazuri. Daca societatea/organizatia dvs. a colectat date in baza unui interes legitim, a unui contract sau a unor interese vitale, le puteti folosi in alt scop, dar numai dupa ce va asigurati ca noul scop este compatibil cu scopul initial.
Trebuie luate in considerare urmatoarele aspecte:
Daca societatea/organizatia dvs. doreste sa utilizeze datele pentru statistici sau pentru cercetare, nu este obligatoriu sa testeze compatibilitatea.
Daca societatea/organizatia dvs. a colectat date in temeiul unui consimtamant sau al unei cerinte legislative, nu este posibila nicio prelucrare ulterioara care depaseste domeniile acoperite de consimtamantul initial sau de dispozitia legislativa. Prelucrarea ulterioara ar necesita obtinerea unui nou consimtamant sau un nou temei juridic.
Exemplu cand este posibila prelucrarea ulterioara
O banca are un contract cu un client pentru a-i oferi clientului un cont bancar si un imprumut de nevoi personale. La sfarsitul primului an, banca utilizeaza datele cu caracter personal ale clientului pentru a verifica daca acesta este eligibil pentru un tip de imprumut mai avantajos si pentru un sistem de economii. Banca informeaza clientul. Banca poate prelucra din nou datele clientului, deoarece noile scopuri sunt compatibile cu scopul initial.
Exemplu cand nu este posibila prelucrarea ulterioara
Aceeasi banca doreste sa transmita datele clientului unor firme de asigurari, in temeiul aceluiasi contract pentru constituirea unui cont bancar si acordarea unui imprumut de nevoi personale. Aceasta prelucrare nu este permisa fara consimtamantul explicit al clientului, deoarece scopul nu este compatibil cu scopul initial in care au fost prelucrate datele.
Aveti o nelamurire legata de GDPR si de obligatiile dvs.? Obtineti raspunsul in doar 3 pasi! DA, e chiar atat de simplu!
Datele cu caracter personal ar trebui prelucrate numai atunci cand nu este posibila in mod rezonabil efectuarea prelucrarii in alt mod. Daca este posibil, este preferabil sa se utilizeze date anonime. In cazul in care sunt necesare date cu caracter personal, acestea ar trebui sa fie adecvate, relevante si limitate la ceea ce este necesar in scopul respectiv („reducerea la minimum a datelor”). In calitate de operator, societatii/organizatiei dvs. ii revine responsabilitatea de a evalua ce volum de date este necesar si de a se asigura ca nu se colecteaza date irelevante.
Trebuie sa stocati datele pentru o perioada cat mai scurta posibil. Perioada ar trebui sa tina seama de motivele pentru care societatea/organizatia dvs. trebuie sa prelucreze datele, precum si de eventuale obligatii juridice de a pastra datele o perioada fixa de timp (de exemplu, legile privind ocuparea fortei de munca, legile fiscale sau legile antifrauda nationale care va impun pastrarea datelor cu caracter personal despre angajatii dvs. pentru o perioada determinata, durata garantiei produselor etc.).
Societatea/organizatia dvs. ar trebui sa stabileasca termene pentru stergerea sau revizuirea datelor stocate.
Ca exceptie, datele cu caracter personal pot fi pastrate o perioada mai indelungata in scopuri de arhivare in interes public ori in scopuri de cercetare stiintifica sau istorica, cu conditia sa fie puse in aplicare masuri de ordin tehnic si organizatoric adecvate (precum anonimizare, criptare etc.).
De asemenea, societatea/organizatia dvs. trebuie sa se asigure ca datele pe care le detine sunt exacte si sa le actualizeze.
Conform art. 13 din GDPR in momentul in care colectati datele, persoanele trebuie clar informate cel putin despre:
Aceste informatii trebuie furnizate in scris, oral la solicitarea persoanei vizate, daca identitatea acesteia a fost dovedita prin alte mijloace, sau prin mijloace electronice atunci cand este oportun. Societatea/organizatia dvs. trebuie sa furnizeze informatiile intr-un mod concis, transparent, inteligibil si usor accesibil, intr-un limbaj clar si simplu si in mod gratuit.
Cand datele sunt obtinute de la o alta societate/organizatie, societatea/organizatia dvs. ar trebui sa ii furnizeze persoanei informatiile mentionate mai sus in termen de o luna de la momentul la care societatea/organizatia dvs. a obtinut datele cu caracter personal; sau, in cazul in care societatea/organizatia dvs. comunica cu persoana fizica, in momentul in care datele sunt utilizate pentru comunicarea cu aceasta; sau, daca se intentioneaza divulgarea datelor catre o alta societate, la data la care datele cu caracter personal au fost divulgate pentru prima oara.
De asemenea, societatea/organizatia dvs. are obligatia de a informa persoana fizica in legatura cu categoriile de date si cu sursa din care a obtinut datele, inclusiv daca au fost obtinute din surse disponibile public. In anumite situatii enumerate la articolul 13 alineatul (4) si la articolul 14 alineatul (5) din GDPR, societatea/organizatia dvs. poate fi scutita de obligatia de a informa persoana fizica. Va rugam sa verificati daca aceasta exceptie se aplica societatii/organizatiei dvs.
Credeti ca sunteti la adapost de un control privind respectarea prevederilor GDPR? Va inselati! Dar adevarul este ca si dvs., o companie mica sau mijlocie, puteti primi ORICAND vizita organului de control abilitat in acest sens, indiferent de dimensiunea sau specificul activitatii pe care o desfasurati. Si veti intelege mai bine pericolul in care va aflati parcurgand "CD-ul Controlul de Protectia Datelor - cum sa va protejati firma", o lucrare cuprinzatoare de ultima ora.
Tipul si cantitatea de date cu caracter personal pe care societatea/organizatia are dreptul sa le prelucreze depind de motivul pentru care sunt prelucrate (temeiul juridic in cauza) si de scopul in care sunt prelucrare. Societatea/organizatia trebuie sa respecte mai multe norme-cheie, inclusiv urmatoarele:
O administratie publica face obiectul normelor GDPR atunci cand prelucreaza date cu caracter personal referitoare la o persoana fizica. Este responsabilitatea administratiilor nationale sa sprijine administratia regionala si locala in pregatirea pentru aplicarea GDPR.
Cele mai multe date cu caracter personal detinute de administratiile publice sunt prelucrate in mod obisnuit in temeiul unei obligatii legale sau in masura in care acest lucru este necesar pentru indeplinirea unor atributii de interes public sau in exercitarea autoritatii publice cu care este investita organismul.
Cand prelucreaza date cu caracter personal, o administratie publica trebuie sa respecte principii-cheie cum sunt:
In cazul prelucrarii in temeiul legii, aceasta lege ar trebui sa asigure deja respectarea acestor principii (spre exemplu, tipuri de date, perioada de stocare si masuri de protectie corespunzatoare).
Inainte de a prelucra date cu caracter personal, persoanele fizice trebuie informate cu privire la prelucrare, cum ar fi scopurile acesteia, tipurile de date colectate, destinatarii si drepturile care le revin in ceea ce priveste protectia datelor.
O administratie publica trebuie sa numeasca un responsabil cu protectia datelor (DPO), cu toate acestea un responsabil cu protectia datelor poate fi numit pentru mai multe organisme publice si prin urmare acesta sa fie comun, sau exista posibilitatea externalizarii acestei activitati unui DPO extern De asemenea, trebuie sa se asigure ca a pus in aplicare masuri tehnice si organizatorice adecvate pentru a securiza datele cu caracter personal. Daca se externalizeaza unele parti ale prelucrarii catre o organizatie externa (o asa-numita „persoana imputernicita de operator”), trebuie sa existe un contract sau un alt act juridic care sa garanteze faptul ca persoana imputernicita de operator ofera garantii suficiente pentru punerea in aplicare a unor masuri tehnice si organizatorice adecvate care intrunesc standardele GDPR.
In cazurile in care datele cu caracter personal detinute sunt dezvaluite in mod accidental sau ilegal catre destinatari neautorizati sau sunt indisponibile temporar ori sufera modificari, autoritatea de protectie a datelor (ANSPDCP) trebuie instiintata cu privire la incalcare fara intarzieri nejustificate, in termen de cel mult 72 de ore de la momentul la care ati luat cunostinta de incalcare. Poate fi necesar ca administratia publica sa informeze si persoanele fizice cu privire la incalcare.
Puteti gasi mai multe informatii despre obligatiile administratiilor publice in temeiul GDPR dand click AICI.
Persoanele fizice pot contacta o administratie publica pentru a-si exercita drepturile conferite de GDPR (dreptul de acces, de rectificare, de stergere, de restrictionare, de opozitie, dreptul de a nu face obiectul unui proces decizional automat).
Retineti ca persoanele fizice au dreptul de a se opune prelucrarii datelor cu caracter personal de catre o administratie publica pe motive de interes public. Persoanele respective trebuie sa prezinte administratiei publice motive referitoare la situatia lor particulara. Administratia publica poate continua sa prelucreze datele si deci poate respinge solicitarea daca demonstreaza motive legitime si imperioase care justifica prelucrarea si care prevaleaza asupra intereselor si a drepturilor persoanei fizice sau daca datele respective sunt necesare pentru constatarea, exercitarea sau apararea unui drept in instanta.
Persoanele fizice nu au drepturi asupra transmiterii acelor date referitoare la ele care sunt necesare pentru indeplinirea unei sarcini executate in interes public sau in cadrul exercitarii unei autoritati oficiale cu care este investit operatorul.
O administratie publica trebuie sa raspunda solicitarilor primite din partea persoanelor fizice fara intarzieri nejustificate, in principiu, in termen de o luna de la primirea solicitarii. Aceasta poate cere persoanelor care efectueaza solicitarea informatii suplimentare pentru a le confirma identitatea. Daca solicitarea este respinsa, persoanele in cauza trebuie informate cu privire la motivele respingerii si la dreptul acestora de a depune o plangere la APD, precum si la dreptul acestora la o cale de atac.
Puteti gasi mai multe informatii despre obligatiile care va revin in temeiul GDPR dand click AICI!
Autoritatile de protectie a datelor au la dispozitie diferite instrumente in caz de incalcare. In cazul unei posibile incalcari se poate emite un avertisment. In cazul unei incalcari, printre posibilitati se numara: o mustrare sau interzicerea temporara sau definitiva a prelucrarii. In unele tari, organismele publice pot face obiectul unor amenzi administrative. O administratie publica trebuie sa verifice legea privind protectia datelor din tara dvs.
Persoanele fizice pot cere despagubiri in cazul in care un organism public a incalcat GDPR, iar ele au suferit prejudicii materiale (de exemplu, pierderi financiare) sau morale (de exemplu, compromiterea reputatiei sau stres psihologic). GDPR asigura faptul ca aceste persoane vor primi despagubiri indiferent de numarul organizatiilor implicate in prelucrarea datelor lor. Cererea de despagubire poate fi adresata direct organismului public sau poate fi adusa in fata instantelor nationale competente din statul membru vizat.
Alegeti acum cea mai SIGURA sursa de informare pentru rezolvarea problemelor specifice! Specialistii Editurii Rentrop&Straton, lider de piata de peste 23 de ani si furnizor de legislatie comentata pentru mediul de afaceri, impreuna cu expertii Asociatiei Romane de Stiinte Juridice Savescu & Co. va ofera acum UNICUL ghid special creat pentru implementarea Regulamentului 679/2016 in primarii! Comandati acum exemplarul dvs. din Ghid GDPR pentru primarii!
Societatea/organizatia dvs. poate prelucra date cu caracter personal numai in situatiile urmatoare:
Stabilirea aspectului daca societatea/organizatia dvs. are interese legitime privind prelucrarea in raport cu cele ale persoanelor in cauza depinde de circumstantele individuale.
In calitate de societate/organizatie, aveti adesea nevoie sa prelucrati date cu caracter personal pentru a indeplini sarcini legate de activitatile dvs. de afaceri. Prelucrarea datelor cu caracter personal in acest context poate sa nu fie neaparat justificata de o obligatie legala sau de obligatia de executare a termenelor unui contract cu o persoana fizica. Prin urmare, in astfel de cazuri prelucrarea datelor poate fi justificata pe „interese legitime”.
Societatea/organizatia dvs. trebuie sa informeze persoanele in cauza cu privire la prelucrare in momentul in care sunt colectate datele lor cu caracter personal.
De asemenea, societatea/organizatia dvs. trebuie sa se asigure ca, urmarindu-si interesele legitime, nu afecteaza in mod grav drepturile si libertatile persoanelor fizice in cauza; in caz contrar, societatea/organizatia dvs.nu se poate baza pe interese legitime ca justificare a prelucrarii datelor si trebuie gasit un alt temei juridic.
Cand este necesar consimtamantul pentru prelucrarea datelor cu caracter personal, trebuie intrunite mai multe conditii pentru ca acest consimtamant sa fie valabil:
Pentru a fi acordat in mod liber consimtamantul, persoana fizica trebuie sa aiba libertatea de a alege si trebuie sa poata sa refuze sau sa isi retraga consimtamantul fara a fi pusa in dezavantaj. Consimtamantul nu este acordat in mod liber, de exemplu, daca exista un dezechilibru clar intre persoana fizica si societate/organizatie (de exemplu, relatia angajator-angajat) sau atunci cand o societate/organizatie le solicita persoanelor fizice sa aprobe prelucrarea unor date cu caracter personal care nu sunt necesare ca o conditie pentru executarea unui contract sau a unui serviciu.
Pentru ca o persoana sa isi dea consimtamantul in cunostinta de cauza, acesteia trebuie sa i se ofere cel putin urmatoarele informatii:
Retineti: in cazul in care cineva isi da consimtamantul privind prelucrarea datelor sale cu caracter personal, puteti prelucra datele numai in scopurile pentru care a fost dat consimtamantul.
In cazul in care consimtamantul acordat de catre o persoana anterior Regulamentului general privind protectia datelor (GDPR) intruneste conditiile GDPR, nu este necesar sa solicitati din nou consimtamantul persoanei fizice. Societatea/organizatia dvs. trebuie sa se asigure ca acel consimtamant acordat inainte de aplicarea GDPR intruneste conditiile stabilite in GDPR.
Este permisa o oarecare flexibilitate in ceea ce priveste gradul de specificatie si granularitatea consimtamantului in contextul cercetarilor stiintifice. Cand colecteaza date cu caracter personal, este posibil ca cercetatorii sa nu poata identifica pe deplin scopurile prelucrarii acestora. In aceste cazuri, ei le pot solicita persoanelor fizice sa isi dea consimtamantul pentru anumite domenii de cercetare stiintifica sau pentru anumite parti ale proiectelor de cercetare. Consimtamantul trebuie sa isi pastreze in orice caz elementele de baza: sa fie liber exprimat, in cunostinta de cauza, solicitat printr-o actiune fara echivoc si sa fie specific masurii permise de cercetarea in cauza. Cercetatorii trebuie sa se asigure ca respecta, de asemenea, standardele etice si metodologice impuse in domeniul lor.
Important! Informatiile gratuite de mai sus ne sunt oferite de catre Comisia Europeana. Citeste declinarea responsabilitatii publicata de Comisia Europeana pentru acest ghid la care subscrie si E-Juridic.
Redactia E-Juridic are un colectiv de 4 autori specializati din domeniul juridic cu toate ramificatiile sale. Zilnic aducem in atentia dvs. tot ce este nou legat de proiecte de legi, acte adoptate si noutati legislative. Va explicam in mod detaliat modificarile aparute si oferim solutii practice pentru orice dilema generata de noutatile cotidiene.
Sfaturi de la Experti - Intrebari si Raspunsuri