GDPR 2020. Intrebari si probleme la care avem raspunsuri si solutii (II)

Afla acum tot ce tine de GDPR si fii in permanenta cu un pas in fata.

Date cu caracter personal considerate sensibile

Urmatoarele date cu caracter personal sunt considerate „sensibile” si fac obiectul unor conditii de prelucrare speciale:

• date cu caracter personal care dezvaluie originea rasiala sau etnica, opiniile politice, confesiunea religioasa sau convingerile filozofice;
• apartenenta la sindicate;
• date genetice, datele biometrice prelucrate doar pentru identificare a unei fiinte umane;
• date privind sanatatea;
• date privind viata sexuala sau orientarea sexuala a unei persoane.

Datele sensibile pot fi prelucrate numai daca:

• a fost obtinut consimtamantul explicit al persoanei fizice (in anumite cazuri, o lege poate elimina aceasta optiune);
• dreptul UE sau dreptul national ori un acord colectiv impune societatii/organizatiei dvs. sa prelucreze datele pentru a indeplini obligatiile si drepturile sale, precum si cele ale persoanelor fizice, in domeniul ocuparii fortei de munca, al securitatii sociale si al legislatiei privind protectia sociala;
• sunt in joc interesele vitale ale persoanei respective sau ale unei persoane care se afla in incapacitate fizica sau juridica de a-si da consimtamantul;
• sunteti o fundatie, o asociatie sau un alt organism fara scop lucrativ si cu specific politic, filozofic, religios sau sindical si prelucrati date referitoare la membrii dvs. sau la persoane care au contacte permanente cu organizatia dvs.;
• datele cu caracter personal au fost facute publice in mod manifest de catre persoana fizica in cauza;
• datele sunt necesare pentru constatarea, exercitarea sau apararea unui drept in instanta;
• datele sunt prelucrate din motive de interes public major in baza dreptului UE sau a dreptului intern;
• datele sunt prelucrate in scopuri legate de: medicina preventiva sau a muncii; evaluarea capacitatii de munca a angajatului; stabilirea unui diagnostic medical; furnizarea de asistenta medicala sau sociala sau a unui tratament medical ori gestionarea sistemelor si serviciilor de sanatate sau de asistenta sociala, in temeiul dreptului UE sau al dreptului national sau in temeiul unui contract incheiat cu un cadru medical;
• datele sunt prelucrate din motive de interes public in domeniul sanatatii publice in temeiul dreptului UE sau al dreptului national;
• datele sunt prelucrate in scopuri de arhivare sau de cercetare stiintifica ori istorica sau in scopuri statistice, in baza dreptului UE sau a dreptului national.

Prelucrarea datelor personale ale copiilor

Societatea/organizatia dvs. poate prelucra datele cu caracter personal ale unui copil pe baza consimtamantului numai daca aveti consimtamantul explicit al parintelui sau al tutorelui acestuia, pana la o anumita varsta. Limita de varsta pentru obtinerea consimtamantului parintilor variaza intre 13 si 16 ani, in functie de varsta stabilita in fiecare stat membru al UE. Consultati autoritatea nationala de protectie a datelor.

Trebuie sa depuneti eforturi rezonabile, tinand seama de tehnologiile disponibile, pentru a va asigura ca respectivul consimtamant a fost intr-adevar acordat in conformitate cu prevederile legii. Cu alte cuvinte, societatea/organizatia dvs. trebuie sa puna in aplicare masuri de verificare a varstei (de exemplu, intrebari de control, actiuni efectuate pe site-ul web).

Trebuie obtinut consimtamantul parintelui sau al tutorelui daca lucrati la site-uri de retele sociale care pun la dispozitie jocuri gratuite pentru copii sau asigurari pentru familii, de exemplu.

Daca sunteti o organizatie care vizeaza copiii, trebuie sa va asigurati ca orice informatii si comunicari adresate unui copil sunt usor accesibile si sunt exprimate intr-un limbaj simplu si clar, astfel incat copilul sa il poata intelege cu usurinta.

Declaratia Unica 2024 Impozit pe venit Contributii CAS si CASS

Vezi AICI detalii

Teste rezolvate la limba si literatura romana clasa a VIII-a

Vezi AICI detalii

Marea Carte Verde a Monografiilor Contabile 2024 varianta tiparita

Vezi AICI detalii

Serviciile de prevenire sau de consiliere oferite direct unui copil nu necesita autorizare din partea unui parinte, deoarece ele urmaresc protejarea intereselor copiilor.

Ati numit in firma dvs. un Responsabil cu Protectia Datelor (DPO)? Atentie, DPO-ul are un rol crucial in evitarea amenzilor colosale introduse de GDPR!

Poate altcineva sa prelucreze datele in numele organizatiei dumneavoastra?

Altcineva (o persoana fizica sau juridica ori un alt organism) poate sa prelucreze date cu caracter personal in numele dvs. cu conditia sa existe un contract sau un alt act juridic. Este important ca persoana imputernicita de operator pe care o numiti sa ofere suficiente garantii de aplicare a unor masuri tehnice si organizationale adecvate pentru a se asigura ca prelucrarea va intruni standardele Regulamentului general privind protectia datelor (GDPR) si pentru a garanta protectia drepturilor persoanelor fizice.

Persoana imputernicita de operator nu poate numi in continuare o alta persoana imputernicita de operator fara a primi in prealabil o autorizatie scrisa, specifica sau generala, din partea dvs. Contractul sau actul juridic dintre societatea/organizatia dvs. si persoana imputernicita de operator ar trebui sa includa urmatoarele elemente:

• posibilitatea de a efectua prelucrarea numai pe baza unor instructiuni documentate din partea operatorului;
• asigurarea de catre persoana imputernicita de operator a faptului ca persoanele autorizate sa prelucreze datele cu caracter personal s-au angajat sa respecte confidentialitatea sau au o obligatie statutara adecvata de confidentialitate;
• obligatia persoanei imputernicite de operator de a oferi un nivel de securitate minim definit de catre operator;
• obligatia persoanei imputernicite de operator de a va ajuta sa asigurati respectarea GDPR.

Ce este si cum se procedeaza in cazul incalcarii securitatii datelor?

O incalcare a securitatii datelor se produce atunci cand datele pentru care societatea/organizatia dvs. este responsabila sufera un incident de securitate care duce la compromiterea confidentialitatii, a disponibilitatii sau a integritatii. Daca se intampla acest lucru si exista probabilitatea ca incalcarea sa prezinte un risc pentru drepturile si libertatile unei persoane fizice, societatea/organizatia dvs. trebuie sa instiinteze autoritatea de supraveghere fara intarzieri nejustificate, in termen de cel mult 72 de ore de la momentul la care ati luat cunostinta de incalcare. Daca societatea/organizatia dvs. este persoana imputernicita de operator, trebuie sa instiintati operatorul cu privire la fiecare incalcare a securitatii datelor.

Daca incalcarea securitatii datelor prezinta un risc ridicat pentru persoanele fizice afectate, atunci trebuie sa fie informate si toate aceste persoane (cu exceptia cazului in care s-au aplicat masuri de protectie tehnice si organizatorice eficace sau alte masuri care asigura faptul ca riscul nu mai este susceptibil sa se materializeze).

Ca organizatie, este vital sa puneti in aplicare masuri tehnice si organizatorice adecvate pentru a evita posibile incalcari ale securitatii datelor. 

Evaluarea impactului asupra protectiei datelor cu caracter personal (EIPD)

O EIPD este necesara ori de cate ori prelucrarea este susceptibila de a genera un risc ridicat pentru drepturile si libertatile persoanelor fizice. Este necesara o EIPD cel putin in urmatoarele cazuri:

• o evaluare sistematica si cuprinzatoare a aspectelor personale referitoare la o persoana fizica, inclusiv crearea de profiluri;
• prelucrarea pe scara larga a unor date sensibile;
• monitorizarea sistematica pe scara larga a unor zone accesibile publicului. 

Autoritatile nationale de protectie a datelor, actionand in coordonare cu Comitetul european pentru protectia datelor, pot furniza liste cu situatiile in care ar fi necesara o EIPD. EIPD ar trebui efectuata inainte de prelucrare si ar trebui considerata un instrument viu, nu doar un exercitiu izolat. In cazul in care exista riscuri reziduale care nu pot fi atenuate prin masurile puse in aplicare, este necesara consultarea APD inainte de inceperea prelucrarii.

Trebuie sa numim un DPO?

Societatea/organizatia dvs. trebuie sa numeasca un DPO, indiferent daca este operator de date sau persoana imputernicita de operator, daca activitatile sale principale implica prelucrarea de date sensibile pe scara larga sau implica o monitorizare regulata si sistematica pe scara larga a persoanelor fizice. In acest sens, monitorizarea comportamentului persoanelor vizate include toate formele de urmarire si de creare de profiluri pe internet, inclusiv in scopuri de publicitate comportamentala.

Administratiile publice au mereu obligatia de a numi un DPO (cu exceptia instantelor care actioneaza in exercitiul functiei lor jurisdictionale).

DPO poate fi un membru al personalului organizatiei dvs. sau poate fi o persoana din exterior angajata pe baza unui contract de servicii. DPO poate fi o persoana fizica sau o organizatie.

Afla responsabilitatile unui DPO care isi face treaba cu brio dand click AICI!

Transferul de date din afara UE

In lumea globalizata actuala, se transfera in plan transfrontalier cantitati mari de date cu caracter personal, care sunt stocate uneori pe servere aflate in tari diferite. Protectia conferita de Regulamentul general privind protectia datelor (GDPR) insoteste datele in calatoria lor, ceea ce inseamna ca normele care protejeaza datele continua sa se aplice indiferent unde ajung aceste date. Acest lucru este valabil si cand datele se transfera intr-o tara care nu este membra a UE (denumita in continuare „tara terta”).

GDPR pune la dispozitie diferite instrumente pentru incadrarea transferurilor de date din UE intr-o tara terta:

• uneori, o tara terta poate fi declarata ca oferind un nivel adecvat de protectie printr-o decizie a Comisiei Europene („decizie privind caracterul adecvat al nivelului de protectie”), ceea ce inseamna ca se pot transfera date cu o alta societate in acea tara terta fara ca exportatorul datelor sa aiba obligatia de a asigura garantii suplimentare sau sa fie supus unor conditii suplimentare. Cu alte cuvinte, transferurile intr-o tara terta cu „un caracter adecvat al nivelului de protectie” va fi asimilata unei transmiteri de date in interiorul UE.
• in absenta unei decizii privind caracterul adecvat al nivelului de protectie, transferul se poate face prin asigurarea unor garantii adecvate si cu conditia ca persoanele fizice sa beneficieze de drepturi opozabile si de cai de atac eficace. Printre asemenea garantii adecvate se numara:
• in cazul unui grup de intreprinderi sau de societati implicat intr-o activitate economica comuna, societatile pot transfera datele cu caracter personal pe baza unor reguli corporatiste obligatorii;
• acorduri contractuale cu destinatarul datelor cu caracter personal, folosind, de exemplu, clauzele contractuale standard aprobate de Comisia Europeana;
• aderarea la un cod de conduita sau la un mecanism de certificare, precum si obtinerea unor angajamente obligatorii si executorii din partea destinatarului de a aplica garantii adecvate pentru protectia datelor transferate.
• in sfarsit, daca se are in vedere un transfer de date cu caracter personal intr-o tara terta care nu face obiectul unei decizii privind caracterul adecvat al nivelului de protectie si daca lipsesc garantiile adecvate, transferul se poate realiza pe baza mai multor derogari pentru situatii specifice, de exemplu, in cazul in care o persoana fizica si-a exprimat in mod explicit acordul cu privire la transferul propus dupa ce a primit toate informatiile necesare privind riscurile asociate transferului.

Pot demonstra ca respect GDPR?

Principiul responsabilitatii reprezinta o piatra de temelie a Regulamentului general privind protectia datelor (GDPR). Potrivit GDPR, o societate/organizatie are responsabilitatea de a respecta toate principiile privind protectia datelor, precum si de a demonstra aceasta respectare. GDPR pune la dispozitia societatilor/organizatiilor un set de instrumente care sa le ajute sa demonstreze responsabilitatea, unele dintre acestea fiind obligatorii.

De exemplu, in anumite cazuri poate fi obligatorie numirea unui DPO sau efectuarea unor evaluari a impactului asupra protectiei datelor (EIPD). Operatorii de date pot alege sa utilizeze alte instrumente, cum ar fi coduri de conduita si mecanisme de certificare, pentru a demonstra conformitatea cu principiile de protectie a datelor.

Puteti adera la un cod de conduita intocmit de o asociatie de afaceri aprobata de o APD. Un cod de conduita poate fi declarat valid in intreaga UE printr-un act de punere in aplicare al Comisiei.

Puteti adera la un mecanism de certificare operat de catre unul dintre organismele de certificare ce a primit o acreditare din partea unei APD sau a unui organism national de acreditare sau din partea amandurora, dupa cum se stabileste in legislatia fiecarui stat membru al UE.

Atat codurile de conduita, cat si certificarea sunt instrumente optionale, deci societatea/organizatia dvs. poate decide daca sa adera la un anumit cod de conduita sau solicita certificarea. Cu toate ca societatea/organizatia dvs. are in continuare obligatia de a respecta si de a va conforma la GDPR, aderarea la asemenea instrumente ar putea fi luata in considerare in cazul unei masuri de aplicare a legii luate impotriva dvs. pentru o incalcare a GDPR.

Solicitarile persoanelor fizice privind datele cu caracter personal

Persoanele fizice pot contacta societatea/organizatia dvs. pentru a-si exercita drepturile conferite de GDPR (dreptul de acces, de rectificare, de stergere, dreptul la portabilitate etc.). In cazul in care datele cu caracter personal sunt prelucrate prin mijloace electronice, societatea/organizatia dvs. trebuie sa faca posibila formularea solicitarilor pe cale electronica. Societatea/organizatia dvs. trebuie sa raspunda solicitarilor acestora fara intarzieri nejustificate, in principiu, in termen de o luna de la primirea solicitarii.

Persoanei care efectueaza solicitarea i se pot cere informatii suplimentare pentru a-i confirma identitatea.

Daca societatea/organizatia dvs. respinge solicitarea, persoana vizata trebuie informata cu privire la motivele respingerii si la dreptul sau de a depune o plangere la autoritatea de protectie a datelor, precum si la dreptul acesteia la o cale de atac.

Tratarea solicitarilor persoanelor fizice ar trebui efectuata gratuit. In cazul in care solicitarile sunt vadit nefondate sau excesive, in special din cauza caracterului lor repetitiv, puteti percepe o taxa rezonabila sau puteti refuza sa le dati curs.

Suntem obligati intotdeauna sa stergem datele personale daca ni se cere?

Regulamentul general privind protectia datelor (GDPR) le acorda persoanelor fizice dreptul de a solicita stergerea datelor proprii, iar organizatiile au obligatia de a da curs solicitarii, cu exceptia urmatoarelor cazuri:

• datele cu caracter personal pe care societatea/organizatia dvs. le detine sunt necesare pentru exercitarea dreptului la libertatea de exprimare;
• exista o obligatie legala care va impune sa pastrati datele;
• din motive de interes public (de exemplu, sanatate publica, scopuri de cercetare stiintifica, statistica sau istorica).

Daca societatea/organizatia dvs. a prelucrat date in mod ilegal, trebuie sterse. In cazul unei solicitari a unei persoane fizice, datele colectate cand persoana era inca minora trebuie sterse.

In ceea ce priveste dreptul de a fi uitat online, organizatiile au obligatia de a lua masuri rezonabile (de exemplu, masuri tehnice) pentru a informa alte site-uri ca o anumita persoana a solicitat stergerea datelor sale cu caracter personal.

De asemenea, datele pot fi pastrate daca au fost supuse unui proces adecvat de anonimizare.

Ce trebuie facut cand cineva se opune la prelucrarea datelor sale cu caracter personal?

Persoanele fizice au dreptul de a se opune prelucrarii datelor cu caracter personal pentru motive concrete. Existenta unei asemenea situatii specifice trebuie examinata de la caz la caz.

Persoana in cauza poate obiecta numai in cazurile in care o administratie publica prelucreaza datele in contextul atributiilor sale publice sau in cazul in care o societate prelucreaza datele in temeiul intereselor sale legitime. In asemenea cazuri, societatea/organizatia dvs. nu mai are dreptul de a prelucra datele decat daca demonstreaza ca trebuie sa fie prelucrate din motive care prevaleaza asupra drepturilor si a libertatilor persoanei in cauza sau daca are nevoie de date pentru constatarea, exercitarea sau apararea unui drept in instanta.

De asemenea, persoanele fizice au dreptul de a se opune in orice moment prelucrarii datelor lor cu caracter personal in scopuri de marketing direct. In contextul Regulamentului general privind protectia datelor, marketingul direct este inteles ca fiind orice actiune intreprinsa de o societate pentru a comunica material publicitar sau de marketing si adresata anumitor persoane fizice. Societatea/organizatia dvs. trebuie sa informeze persoanele fizice, in anuntul sau privind confidentialitatea sau cel tarziu in momentul primei comunicari cu persoanele respective, ca le va folosi datele cu caracter personal pentru marketing direct si ca au dreptul de a se opune gratuit. Daca o persoana se opune prelucrarii in scopuri de marketing direct, societatea/organizatia dvs. nu mai poate prelucra datele acesteia in scopurile respective.

Procesul decizional automat

Persoanele fizice nu ar trebui sa faca obiectul unei decizii bazate exclusiv pe prelucrare automata (cum sunt algoritmii) daca decizia este obligatorie din punct de vedere juridic sau o afecteaza intr-o masura semnificativa.

Se poate considera ca o decizie produce efecte juridice atunci cand aceasta influenteaza drepturile juridice ale persoanei fizice sau statutul sau juridic (de exemplu, dreptul la vot). In plus, prelucrarea poate afecta semnificativ o persoana fizica daca influenteaza circumstantele personale, comportamentul sau alegerile sale (de exemplu, o prelucrare automata poate duce la refuzul unei cereri de credit online).

Utilizarea prelucrarii automate pentru luarea deciziilor este autorizata numai in urmatoarele cazuri:

• daca decizia bazata pe un algoritm este necesara (adica trebuie sa nu existe nicio alta modalitate de a atinge acelasi obiectiv) pentru incheierea sau derularea unui contract cu persoana fizica ale carei date societatea/organizatia dvs. le-a prelucrat prin intermediul algoritmului (de exemplu, o cere de credit online);
• daca o anumita lege (o lege europeana sau nationala) permite utilizarea algoritmilor si prevede garantii adecvate pentru a proteja drepturile, libertatile si interesele legitime ale persoanei fizice (de exemplu, regulamentele de combatere a evaziunii fiscale);
• daca persoana fizica si-a dat in mod explicit consimtamantul pentru o decizie bazata pe algoritm.

Cu toate acestea, decizia luata trebuie sa protejeze drepturile, libertatile si interesele legitime ale persoanei fizice prin punerea in aplicare a unor garantii adecvate. Cu exceptia cazului in care procesul decizional respectiv este bazat pe o lege, persoana fizica trebuie cel putin informata in legatura cu (i) logica utilizata in procesul decizional, (ii) dreptul sau de a obtine o interventie umana, (iii) consecintele potentiale ale prelucrarii si (iv) dreptul sau de a contesta decizia. Prin urmare, societatea/organizatia dvs. trebuie sa faca demersurile procedurale necesare pentru a-i permite persoanei sa isi exprime punctul de vedere si sa conteste decizia.

In sfarsit, e nevoie de atentie deosebita daca algoritmul utilizeaza categorii speciale de date cu caracter personal: procesul decizional automat este permis in urmatoarele conditii:

• daca persoana fizica si-a dat consimtamantul explicit sau
• daca prelucrarea este necesara din motive de interes public major, in temeiul dreptului UE sau national.

In plus, daca persoana fizica in cauza este copil, ar trebui evitata luarea unor decizii, bazate exclusiv pe procesare automata, care produc efecte juridice sau efecte semnificative similare asupra sa, deoarece copiii reprezinta un grup mai vulnerabil al societatii.

Profitati de ocazia care vi se ofera de a va pune la punct politicile de GDPR! Lucrarea Manual de Politici GDPR va ofera prilejul alcatuirii propriului set de politici GDPR pentru activitati in care gestionarea datelor cu caracter personal trebuie sa respecte intocmai reglementarile europene in vigoare.

Ce este ANSPDCP?
Afla totul dand click AICI!

Ce se intampla daca nu respectam GDPR?

Regulamentul general privind protectia datelor (GDPR) pune la dispozitia autoritatilor de protectie a datelor diferite instrumente in caz de nerespectare a normelor de protectie a datelor:

• posibila incalcare – se poate emite un avertisment;
• incalcare: printre posibilitati se numara o mustrare, interzicerea temporara sau definitiva a prelucrarii si o amenda de pana la 20 de milioane EUR sau 4 % din totalul global al cifrei de afaceri anuale a societatii.

Trebuie mentionat ca, in cazul unei incalcari, ANSPDCP poate impune o amenda pecuniara in locul sau in completarea mustrarii si/sau a interzicerii prelucrarii.

Autoritatea trebuie sa se asigure ca amenzile impuse in fiecare caz individual sunt eficace, proportionale si disuasive. Aceasta va lua in considerare mai multi factori, cum ar fi natura, gravitatea si durata incalcarii, daca incalcarea a fost comisa intentionat sau din neglijenta, precum si orice actiuni intreprinse pentru a reduce prejudiciul suferit de catre persoanele fizice, gradul de cooperare cu organizatia etc.

Despagubiri catre persoane fizice

Persoanele fizice pot cere despagubiri daca o societate sau organizatie a incalcat Regulamentul general privind protectia datelor (GDPR), iar persoanele respective au suferit prejudicii materiale (de exemplu, pierderi financiare) sau morale (de exemplu, compromiterea reputatiei sau stres psihologic). GDPR asigura faptul ca aceste persoane vor primi despagubiri indiferent de numarul organizatiilor implicate in prelucrarea datelor lor. Cererea de despagubire poate fi adresata direct organizatiei sau poate fi adusa in fata instantelor nationale competente. Actiunile sunt aduse in fata instantelor din statul membru al UE in care este stabilit operatorul sau persoana imputernicita de operator sau in care locuieste (resedinta obisnuita) cetateanul care cere despagubiri.

Informatiile si indrumarile din cuprinsul acestor doua articole sunt menite sa contribuie la o mai buna intelegere a normelor UE privind protectia datelor.

Instrumentul acesta are un rol pur orientativ – numai textul Regulamentului general privind protectia datelor (GDPR) are efect juridic. In consecinta, numai GDPR poate crea drepturi si obligatii pentru persoanele fizice. Acest ghid nu creeaza niciun drept si nicio asteptare care sa se poata pune in aplicare.

Competenta privind interpretarea cu caracter obligatoriu a legislatiei UE ii revine exclusiv Curtii de Justitie a Uniunii Europene. Opiniile exprimate in acest ghid nu pot aduce atingere pozitiei pe care ar putea-o adopta Comisia in fata Curtii de Justitie.

Nici Comisia Europeana, nici vreo persoana care actioneaza in numele Comisiei Europene nu este responsabila pentru posibila utilizare a informatiilor urmatoare.

Avand in vedere ca acest ghid reflecta situatia actuala la momentul redactarii, el trebuie privit ca „instrument viu”, deschis la perfectionare, iar continutul sau poate fi modificat fara nicio notificare.