Ai intrebari cu privire la GDPR? Ti-a creat Regulamentul probleme? Iata raspunsuri si solutii gratuite pe care le poti pune in practica. Aceasta este partea a doua a ghidului cuprinzator privind GDPR cu informatii gratuite. Partea I este disponibila AICI!
Afla acum tot ce tine de GDPR si fii in permanenta cu un pas in fata.
Urmatoarele date cu caracter personal sunt considerate „sensibile” si fac obiectul unor conditii de prelucrare speciale:
Datele sensibile pot fi prelucrate numai daca:
Societatea/organizatia dvs. poate prelucra datele cu caracter personal ale unui copil pe baza consimtamantului numai daca aveti consimtamantul explicit al parintelui sau al tutorelui acestuia, pana la o anumita varsta. Limita de varsta pentru obtinerea consimtamantului parintilor variaza intre 13 si 16 ani, in functie de varsta stabilita in fiecare stat membru al UE. Consultati autoritatea nationala de protectie a datelor.
Trebuie sa depuneti eforturi rezonabile, tinand seama de tehnologiile disponibile, pentru a va asigura ca respectivul consimtamant a fost intr-adevar acordat in conformitate cu prevederile legii. Cu alte cuvinte, societatea/organizatia dvs. trebuie sa puna in aplicare masuri de verificare a varstei (de exemplu, intrebari de control, actiuni efectuate pe site-ul web).
Trebuie obtinut consimtamantul parintelui sau al tutorelui daca lucrati la site-uri de retele sociale care pun la dispozitie jocuri gratuite pentru copii sau asigurari pentru familii, de exemplu.
Daca sunteti o organizatie care vizeaza copiii, trebuie sa va asigurati ca orice informatii si comunicari adresate unui copil sunt usor accesibile si sunt exprimate intr-un limbaj simplu si clar, astfel incat copilul sa il poata intelege cu usurinta.
Culegere pentru invatarea limbii engleze - Fise de lucru practice Clasele 0-IV
Compuneri perfecte pentru clasele III-IV
Cartea Verde a Contabilitatii
Serviciile de prevenire sau de consiliere oferite direct unui copil nu necesita autorizare din partea unui parinte, deoarece ele urmaresc protejarea intereselor copiilor.
Ati numit in firma dvs. un Responsabil cu Protectia Datelor (DPO)? Atentie, DPO-ul are un rol crucial in evitarea amenzilor colosale introduse de GDPR!
Altcineva (o persoana fizica sau juridica ori un alt organism) poate sa prelucreze date cu caracter personal in numele dvs. cu conditia sa existe un contract sau un alt act juridic. Este important ca persoana imputernicita de operator pe care o numiti sa ofere suficiente garantii de aplicare a unor masuri tehnice si organizationale adecvate pentru a se asigura ca prelucrarea va intruni standardele Regulamentului general privind protectia datelor (GDPR) si pentru a garanta protectia drepturilor persoanelor fizice.
Persoana imputernicita de operator nu poate numi in continuare o alta persoana imputernicita de operator fara a primi in prealabil o autorizatie scrisa, specifica sau generala, din partea dvs. Contractul sau actul juridic dintre societatea/organizatia dvs. si persoana imputernicita de operator ar trebui sa includa urmatoarele elemente:
O incalcare a securitatii datelor se produce atunci cand datele pentru care societatea/organizatia dvs. este responsabila sufera un incident de securitate care duce la compromiterea confidentialitatii, a disponibilitatii sau a integritatii. Daca se intampla acest lucru si exista probabilitatea ca incalcarea sa prezinte un risc pentru drepturile si libertatile unei persoane fizice, societatea/organizatia dvs. trebuie sa instiinteze autoritatea de supraveghere fara intarzieri nejustificate, in termen de cel mult 72 de ore de la momentul la care ati luat cunostinta de incalcare. Daca societatea/organizatia dvs. este persoana imputernicita de operator, trebuie sa instiintati operatorul cu privire la fiecare incalcare a securitatii datelor.
Daca incalcarea securitatii datelor prezinta un risc ridicat pentru persoanele fizice afectate, atunci trebuie sa fie informate si toate aceste persoane (cu exceptia cazului in care s-au aplicat masuri de protectie tehnice si organizatorice eficace sau alte masuri care asigura faptul ca riscul nu mai este susceptibil sa se materializeze).
Ca organizatie, este vital sa puneti in aplicare masuri tehnice si organizatorice adecvate pentru a evita posibile incalcari ale securitatii datelor.
O EIPD este necesara ori de cate ori prelucrarea este susceptibila de a genera un risc ridicat pentru drepturile si libertatile persoanelor fizice. Este necesara o EIPD cel putin in urmatoarele cazuri:
Autoritatile nationale de protectie a datelor, actionand in coordonare cu Comitetul european pentru protectia datelor, pot furniza liste cu situatiile in care ar fi necesara o EIPD. EIPD ar trebui efectuata inainte de prelucrare si ar trebui considerata un instrument viu, nu doar un exercitiu izolat. In cazul in care exista riscuri reziduale care nu pot fi atenuate prin masurile puse in aplicare, este necesara consultarea APD inainte de inceperea prelucrarii.
Societatea/organizatia dvs. trebuie sa numeasca un DPO, indiferent daca este operator de date sau persoana imputernicita de operator, daca activitatile sale principale implica prelucrarea de date sensibile pe scara larga sau implica o monitorizare regulata si sistematica pe scara larga a persoanelor fizice. In acest sens, monitorizarea comportamentului persoanelor vizate include toate formele de urmarire si de creare de profiluri pe internet, inclusiv in scopuri de publicitate comportamentala.
Administratiile publice au mereu obligatia de a numi un DPO (cu exceptia instantelor care actioneaza in exercitiul functiei lor jurisdictionale).
DPO poate fi un membru al personalului organizatiei dvs. sau poate fi o persoana din exterior angajata pe baza unui contract de servicii. DPO poate fi o persoana fizica sau o organizatie.
Afla responsabilitatile unui DPO care isi face treaba cu brio dand click AICI!
In lumea globalizata actuala, se transfera in plan transfrontalier cantitati mari de date cu caracter personal, care sunt stocate uneori pe servere aflate in tari diferite. Protectia conferita de Regulamentul general privind protectia datelor (GDPR) insoteste datele in calatoria lor, ceea ce inseamna ca normele care protejeaza datele continua sa se aplice indiferent unde ajung aceste date. Acest lucru este valabil si cand datele se transfera intr-o tara care nu este membra a UE (denumita in continuare „tara terta”).
GDPR pune la dispozitie diferite instrumente pentru incadrarea transferurilor de date din UE intr-o tara terta:
Principiul responsabilitatii reprezinta o piatra de temelie a Regulamentului general privind protectia datelor (GDPR). Potrivit GDPR, o societate/organizatie are responsabilitatea de a respecta toate principiile privind protectia datelor, precum si de a demonstra aceasta respectare. GDPR pune la dispozitia societatilor/organizatiilor un set de instrumente care sa le ajute sa demonstreze responsabilitatea, unele dintre acestea fiind obligatorii.
De exemplu, in anumite cazuri poate fi obligatorie numirea unui DPO sau efectuarea unor evaluari a impactului asupra protectiei datelor (EIPD). Operatorii de date pot alege sa utilizeze alte instrumente, cum ar fi coduri de conduita si mecanisme de certificare, pentru a demonstra conformitatea cu principiile de protectie a datelor.
Puteti adera la un cod de conduita intocmit de o asociatie de afaceri aprobata de o APD. Un cod de conduita poate fi declarat valid in intreaga UE printr-un act de punere in aplicare al Comisiei.
Puteti adera la un mecanism de certificare operat de catre unul dintre organismele de certificare ce a primit o acreditare din partea unei APD sau a unui organism national de acreditare sau din partea amandurora, dupa cum se stabileste in legislatia fiecarui stat membru al UE.
Atat codurile de conduita, cat si certificarea sunt instrumente optionale, deci societatea/organizatia dvs. poate decide daca sa adera la un anumit cod de conduita sau solicita certificarea. Cu toate ca societatea/organizatia dvs. are in continuare obligatia de a respecta si de a va conforma la GDPR, aderarea la asemenea instrumente ar putea fi luata in considerare in cazul unei masuri de aplicare a legii luate impotriva dvs. pentru o incalcare a GDPR.
Persoanele fizice pot contacta societatea/organizatia dvs. pentru a-si exercita drepturile conferite de GDPR (dreptul de acces, de rectificare, de stergere, dreptul la portabilitate etc.). In cazul in care datele cu caracter personal sunt prelucrate prin mijloace electronice, societatea/organizatia dvs. trebuie sa faca posibila formularea solicitarilor pe cale electronica. Societatea/organizatia dvs. trebuie sa raspunda solicitarilor acestora fara intarzieri nejustificate, in principiu, in termen de o luna de la primirea solicitarii.
Persoanei care efectueaza solicitarea i se pot cere informatii suplimentare pentru a-i confirma identitatea.
Daca societatea/organizatia dvs. respinge solicitarea, persoana vizata trebuie informata cu privire la motivele respingerii si la dreptul sau de a depune o plangere la autoritatea de protectie a datelor, precum si la dreptul acesteia la o cale de atac.
Tratarea solicitarilor persoanelor fizice ar trebui efectuata gratuit. In cazul in care solicitarile sunt vadit nefondate sau excesive, in special din cauza caracterului lor repetitiv, puteti percepe o taxa rezonabila sau puteti refuza sa le dati curs.
Regulamentul general privind protectia datelor (GDPR) le acorda persoanelor fizice dreptul de a solicita stergerea datelor proprii, iar organizatiile au obligatia de a da curs solicitarii, cu exceptia urmatoarelor cazuri:
Daca societatea/organizatia dvs. a prelucrat date in mod ilegal, trebuie sterse. In cazul unei solicitari a unei persoane fizice, datele colectate cand persoana era inca minora trebuie sterse.
In ceea ce priveste dreptul de a fi uitat online, organizatiile au obligatia de a lua masuri rezonabile (de exemplu, masuri tehnice) pentru a informa alte site-uri ca o anumita persoana a solicitat stergerea datelor sale cu caracter personal.
De asemenea, datele pot fi pastrate daca au fost supuse unui proces adecvat de anonimizare.
Persoanele fizice au dreptul de a se opune prelucrarii datelor cu caracter personal pentru motive concrete. Existenta unei asemenea situatii specifice trebuie examinata de la caz la caz.
Persoana in cauza poate obiecta numai in cazurile in care o administratie publica prelucreaza datele in contextul atributiilor sale publice sau in cazul in care o societate prelucreaza datele in temeiul intereselor sale legitime. In asemenea cazuri, societatea/organizatia dvs. nu mai are dreptul de a prelucra datele decat daca demonstreaza ca trebuie sa fie prelucrate din motive care prevaleaza asupra drepturilor si a libertatilor persoanei in cauza sau daca are nevoie de date pentru constatarea, exercitarea sau apararea unui drept in instanta.
De asemenea, persoanele fizice au dreptul de a se opune in orice moment prelucrarii datelor lor cu caracter personal in scopuri de marketing direct. In contextul Regulamentului general privind protectia datelor, marketingul direct este inteles ca fiind orice actiune intreprinsa de o societate pentru a comunica material publicitar sau de marketing si adresata anumitor persoane fizice. Societatea/organizatia dvs. trebuie sa informeze persoanele fizice, in anuntul sau privind confidentialitatea sau cel tarziu in momentul primei comunicari cu persoanele respective, ca le va folosi datele cu caracter personal pentru marketing direct si ca au dreptul de a se opune gratuit. Daca o persoana se opune prelucrarii in scopuri de marketing direct, societatea/organizatia dvs. nu mai poate prelucra datele acesteia in scopurile respective.
Persoanele fizice nu ar trebui sa faca obiectul unei decizii bazate exclusiv pe prelucrare automata (cum sunt algoritmii) daca decizia este obligatorie din punct de vedere juridic sau o afecteaza intr-o masura semnificativa.
Se poate considera ca o decizie produce efecte juridice atunci cand aceasta influenteaza drepturile juridice ale persoanei fizice sau statutul sau juridic (de exemplu, dreptul la vot). In plus, prelucrarea poate afecta semnificativ o persoana fizica daca influenteaza circumstantele personale, comportamentul sau alegerile sale (de exemplu, o prelucrare automata poate duce la refuzul unei cereri de credit online).
Utilizarea prelucrarii automate pentru luarea deciziilor este autorizata numai in urmatoarele cazuri:
Cu toate acestea, decizia luata trebuie sa protejeze drepturile, libertatile si interesele legitime ale persoanei fizice prin punerea in aplicare a unor garantii adecvate. Cu exceptia cazului in care procesul decizional respectiv este bazat pe o lege, persoana fizica trebuie cel putin informata in legatura cu (i) logica utilizata in procesul decizional, (ii) dreptul sau de a obtine o interventie umana, (iii) consecintele potentiale ale prelucrarii si (iv) dreptul sau de a contesta decizia. Prin urmare, societatea/organizatia dvs. trebuie sa faca demersurile procedurale necesare pentru a-i permite persoanei sa isi exprime punctul de vedere si sa conteste decizia.
In sfarsit, e nevoie de atentie deosebita daca algoritmul utilizeaza categorii speciale de date cu caracter personal: procesul decizional automat este permis in urmatoarele conditii:
In plus, daca persoana fizica in cauza este copil, ar trebui evitata luarea unor decizii, bazate exclusiv pe procesare automata, care produc efecte juridice sau efecte semnificative similare asupra sa, deoarece copiii reprezinta un grup mai vulnerabil al societatii.
Profitati de ocazia care vi se ofera de a va pune la punct politicile de GDPR! Lucrarea Manual de Politici GDPR va ofera prilejul alcatuirii propriului set de politici GDPR pentru activitati in care gestionarea datelor cu caracter personal trebuie sa respecte intocmai reglementarile europene in vigoare.
Ce este ANSPDCP?
Afla totul dand click AICI!
Regulamentul general privind protectia datelor (GDPR) pune la dispozitia autoritatilor de protectie a datelor diferite instrumente in caz de nerespectare a normelor de protectie a datelor:
Trebuie mentionat ca, in cazul unei incalcari, ANSPDCP poate impune o amenda pecuniara in locul sau in completarea mustrarii si/sau a interzicerii prelucrarii.
Autoritatea trebuie sa se asigure ca amenzile impuse in fiecare caz individual sunt eficace, proportionale si disuasive. Aceasta va lua in considerare mai multi factori, cum ar fi natura, gravitatea si durata incalcarii, daca incalcarea a fost comisa intentionat sau din neglijenta, precum si orice actiuni intreprinse pentru a reduce prejudiciul suferit de catre persoanele fizice, gradul de cooperare cu organizatia etc.
Persoanele fizice pot cere despagubiri daca o societate sau organizatie a incalcat Regulamentul general privind protectia datelor (GDPR), iar persoanele respective au suferit prejudicii materiale (de exemplu, pierderi financiare) sau morale (de exemplu, compromiterea reputatiei sau stres psihologic). GDPR asigura faptul ca aceste persoane vor primi despagubiri indiferent de numarul organizatiilor implicate in prelucrarea datelor lor. Cererea de despagubire poate fi adresata direct organizatiei sau poate fi adusa in fata instantelor nationale competente. Actiunile sunt aduse in fata instantelor din statul membru al UE in care este stabilit operatorul sau persoana imputernicita de operator sau in care locuieste (resedinta obisnuita) cetateanul care cere despagubiri.
Informatiile si indrumarile din cuprinsul acestor doua articole sunt menite sa contribuie la o mai buna intelegere a normelor UE privind protectia datelor.
Instrumentul acesta are un rol pur orientativ – numai textul Regulamentului general privind protectia datelor (GDPR) are efect juridic. In consecinta, numai GDPR poate crea drepturi si obligatii pentru persoanele fizice. Acest ghid nu creeaza niciun drept si nicio asteptare care sa se poata pune in aplicare.
Competenta privind interpretarea cu caracter obligatoriu a legislatiei UE ii revine exclusiv Curtii de Justitie a Uniunii Europene. Opiniile exprimate in acest ghid nu pot aduce atingere pozitiei pe care ar putea-o adopta Comisia in fata Curtii de Justitie.
Nici Comisia Europeana, nici vreo persoana care actioneaza in numele Comisiei Europene nu este responsabila pentru posibila utilizare a informatiilor urmatoare.
Avand in vedere ca acest ghid reflecta situatia actuala la momentul redactarii, el trebuie privit ca „instrument viu”, deschis la perfectionare, iar continutul sau poate fi modificat fara nicio notificare.
Florin Amariei scrie pentru E-Juridic.ro din anul 2018, explicand noutatile legislative si prezentand cele mai relevente stiri din domeniu. Si-a inceput activitatea la 9AM.ro, a continuat la legestart.ro si a acoperit dintotdeauna cele mai relevante subiecte din domeniile politica, social si justitie. In prezent, scrie pentru dumneavoastra despre tot ceea ce inseamna domeniile legislativ, justitie si politico-social, cu accent pe explicarea detaliata a ce este important de retinut, cum ne afecteaza aceste informatii si de ce este bine sa aplicam legea in forma ei la zi.
Sfaturi de la Experti - Intrebari si Raspunsuri