PROTECTIA DATELOR PERSONALE GDPR
ANALIZA SCAMADVISER
Începând cu data de 25 mai 2018, Regulamentul 2016/679/UE privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date (în continuare "RGPD") va fi aplicat de toate statele Uniunii Europene. Prin intermediul RGPD se dorește crearea unui cadru legislativ unitar și uniform pe teritoriul Uniunii Europene.
Conform legii RGPD va informam ca datele dumneavoastra cu caracter personal (Nume, Prenume, Adresa, Date C.I, Date CNP) vor fi prelucrate conform legii, obligandu-ne sa nu furnizam datele dumneavoastra unor terti (personae fizice sau juridice) fara acordul dumneavoastra.
Prelucrarea datelor cu caracter personal
Definitii relevante în contextul protectiei datelor cu caracter personal.
Date cu caracter personal = orice informatie privind o persoană fizică identificată sau identificabilă; o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator on–line sau la unul sau mai multe elemente specifice, proprii identitătii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;
Prelucrarea datelor cu caracter personal = orice operatiune sau set de operatiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi: colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea ori modificarea, extragerea, consultarea, utilizarea, dezvăluirea către terti prin transmitere, diseminare sau în orice alt mod, alăturarea ori combinarea, blocarea/restrictionarea, ștergerea sau distrugerea;
Dreptul la informare = dreptul persoanei vizate de a fi informată cu privire la identitatea și datele de contact ale operatorului și ale Responsabilului cu protectia datelor, scopurile în care se face prelucrarea datelor, categoriile de date cu caracter personal vizate, destinatarii sau categoriile de destinatari ai datelor, existenta drepturilor prevăzute de legislatia privind protectia datelor cu caracter personal pentru persoana vizată și conditiile în care pot fi exercitate;
Dreptul de acces la date = dreptul persoanei vizate de a obtine de la operatorul de date la cerere și în mod gratuit, confirmarea faptului că datele cu caracter personal care o vizează, sunt sau nu prelucrate de către acesta;
Dreptul la rectificare = dreptul persoanei vizate de a obtine, la cerere și în mod gratuit, rectificarea datelor inexacte care o privesc, precum și completarea datelor incomplete;
Dreptul la ștergerea datelor (“dreptul de a fi uitat”) = dreptul persoanei vizate de a obtine, la cerere și în mod gratuit, în măsura în care sunt îndeplinite conditiile prevăzute de lege, ștergerea datelor cu caracter personal care privesc acea persoană;
Dreptul la restrictionarea prelucrării = dreptul persoanei vizate de a obtine, la cerere și în mod gratuit, în măsura în care sunt îndeplinite conditiile prevăzute de lege, marcarea datelor cu caracter personal stocate, cu scopul de a limita prelucrarea ulterioară a acestora;
Dreptul la portabilitatea datelor = dreptul persoanei vizate de a primi, la cerere și în mod gratuit, datele cu caracter personal într–o modalitate structurată, folosită în mod obișnuit și într–un format ușor de citit, precum și dreptul ca aceste date să fie transmise de către Happy Cards Management SRL, către alt operator de date, în măsura în care sunt îndeplinite conditiile prevăzute de lege;
Dreptul la opozitie = dreptul persoanei vizate de a se opune în orice moment, din motive întemeiate și legitime legate de situa]ia sa particulara, ca datele cu caracter personal care o vizează să facă obiectul unei prelucrări, în măsura în care sunt îndeplinite conditiile prevăzute de lege;
Dreptul de a nu fi supus unei decizii individuale = dreptul persoanei vizate de a cere și de a obtine retragerea, anularea sau reevaluarea oricărei decizii bazate exclusiv pe prelucrări efectuate prin mijloace automate (incluzând crearea de profiluri) care produce efecte juridice în privinta persoanei vizate sau o afectează în mod similar într–o măsură semnificativă;
De asemenea, adresa dumneavoastra de e-mail pe care primiti factura nu va fi folosita in alte scopuri (marketing, oferte, etc). Daca doriti oferte din partea firmei noastre va rugam sa solicitati explicit acest lucru printr-o adresa de e-mail.
Pentru îndeplinirea scopurilor de prelucrare, Happy Cards Management SRL poate dezvălui datele cu caracter personal către următoarele categorii de destinatari: Persoana vizată, reprezentantii legali, institutii ale statului.
Ce este GDPR
GDPR este un set de reguli care se aplica tuturor organizatiilor care colecteaza si retin date personale de la orice individ din Uniunea Europeana. Scopul este de a standardiza legea datelor personale si mecanismele lor in toate domeniile de activitate si pentru a se asigura ca drepturile individuale ale oamenilor sunt protejate. Acest lucru este esential intr-o economie care se bazeaza tot mai mult pe utilizarea datelor personale.
Principiile GDPR
Principiul 1: Legalitate, corectitudine si transparenta
Datele cu caracter personal trebuie sa fie prelucrate in mod legal, corect si transparent in raport cu persoanele vizate.
Principiul 2: Limitarea scopului
Datele cu caracter personal trebuie sa fie colectate numai in scopuri specificate, explicite si legitime.
Principiul 3: Colectarea minimului necesar
Datele cu caracter personal trebuie sa fie adecvate, relevante si limitate la ceea ce este necesar in raport cu scopurile pentru care sunt prelucrate.
Principiul 4: Mentinerea datelor actualizate
Datele personale trebuie sa fie corecte si actualizate.
Principiul 5: Limitarea stocarii datelor
Datele personale trebuiesc mentinute doar pentru scopul colectarii. De aceea, datele personale ar trebui sterse de indata ce scopul colectarii a fost atins (cu exceptia cazurilor unde legea impune altfel).
Principiul 6: Integritate si confidentialitate
Datele personale trebuiesc procesate intr-un mod care asigura protectia impotriva utilizarii neautorizate.
7 pasi pentru a te conforma cu regulile GDPR
Pasul 1: Inventarierea
Scopul inventarierii este de a intelege ce date personale detii, unde sunt procesate si care este fluxul lor. O buna inventariere ar trebui sa raspunda la urmatoarele intrebari:
Ce date personale detin si unde sunt ele localizate?
De unde provin aceste date personale si cine are acces la ele?
Cui apartin aceste date personale? Aici le clasifici in categorii precum: clienti, angajati sau furnizori.
Care este scopul acestor date?
Cat timp sunt pastrate si cand pot fi sterse?
De unde pot fi accesate aceste date?
Care este suportul pe care sunt pastrate aceste date?
Pasul 2: Expirarea
Conform GDPR, datele personale nu ar mai trebui retinute atunci cand scopul procesarii lor a incetat sa existe.
In era noastra digitala, stergerea, asa cum este prevazuta de GDPR, este definita ca:
Inactiv: datele exista insa nu sunt supuse procesarii.
In asteptare: datele sunt marcate spre stergere, insa sunt in continuare in sistem.
Arhivat: Datele sunt mutate intr-un alt sistem la care au acces doar anumite persoane.
Stergere definitiva: Datele sunt sterse si nu mai pot fi recuperate.
Pentru a trece acest pas, data de expirare trebuie pregatita si aprobata. Pentru data de expirare ar trebui sa raspunzi la urmatoarele intrebari:
Ce actiune va fi executata de indata ce s-a depasit data de retentie a datelor?
Cine va intreprinde o astfel de actiune?
Decizia de stergere este reversibila sau ireversibila?
Cine va fi notificat cand aceasta decizie este luata?
Cum vor fi documentate aceste actiuni? (Asta este foarte important deoarece, la cerere, se poate solicita dovada stergerii).
Pasul 3: Consimtamantul
GDPR impune ca pentru procesarea datelor personale sa obtii consimtamantul. Spre deosebire de practicile anterioare, consimtamantul nu poate fi obtinut prin casute prebifate sau abonari subintelese.
Iata care sunt aspectele importante stabilite de GDPR:
Consimtamantul trebuie sa fie pentru un scop specific
Consimtamantul sa fie dat in mod liber
Consimtamantul sa fie lipsit de ambiguitate
Consimtamantul sa nu fie obtinut in schimbul furnizarii unui produs sau serviciu
Consimtamantul trebuie sa fie clar si sunt interzise casutele prebifate
Furnizorul datelor personale sa poata retrage consimtamantul oricand
Consimtamantul trebuie sa fie verificabil (acest lucru este usor in mediul digital in functie de uneltele pe care le folosesti)
Cu toate acestea sunt situatii cand consimtamantul nu este necesar:
Cand exista o intelegere contractuala unde datele personale sunt necesare pentru a-l duce la bun sfarsit. (de exemplu un contract de asigurare)
Cand actiunea este luata pentru a proteja datele clientului (de exemplu criptarea)
Cand actionezi in interesul individului (de exemplu un angajat are un atac de cord si suni la ambulanta unde ii furnizezi datele personale)
Pasul 4: Drepturi
GDPR ofera indivizilor urmatoarele drepturi:
Dreptul de a fi informat
Asta presupune transparenta asupra modului in care datele vor fi procesate. Atata timp cat ai o declaratie de confidentialitate corect realizata (asa cum vei vedea la pasul 6) esti acoperit. Insa, in acelasi timp, individul ar trebuie sa fie clar informat de existenta acestei politici de confidentialitate.
Dreptul de acces
Asta inseamna ca o persoana are dreptul de acces la datele lui. Compania ta este obligata sa furnizeze la cerere si fara niciun cost o copie a informatiilor detinute. Cu toate acestea poti solicita o taxa rezonabila sau sa refuzi sa furnizezi informatiile daca cererile sunt repetitive si/sau inutile. In cazul refuzului trebuie sa informezi solicitantul ca se pot adresa unei autoritati superioare.
Dreptul de rectificare
Asta presupune ca o persoana are dreptul sa solicite modificarea sau completarea informatiilor. De asemenea, si aici poti refuza o astfel de cerere daca este complexa si/sau inutila cu informarea ca se poate adresa unei autoritati superioare.
Dreptul de a ridica obiectii
O persoana are dreptul de a se opune procesarii datelor personale in scopuri de marketing sau pentru realizarea de profiluri. Asta este, in general, o retragere a consimtamantului, caz in care individul ar trebui retras din actiunile de marketing.
Dreptul de a restrictiona prelucrarea datelor
Asta presupune ca individul poate interzice procesarea datelor personale. Cand acest drept este exercitat, datele personale raman in companie insa nu mai pot fi procesate.
Dreptul la portarea datelor
Asta inseamna ca individul poate solicita obtinerea datelor personale pentru a le folosi in achizitionarea produselor sau serviciilor de la alta companie. Practic este un mecanism similar cu portabilitatea numarului de telefon de la un furnizor de telefonie la altul. Cand dreptul este exercitat, ar trebui sa furnizezi datele personale intr-un format electronic (de exemplu in format CSV). Aceasta informatie se furnizeaza gratuit.
Dreptul la stergerea datelor
Acesta se mai numeste si “dreptul de a fi uitat”. Aceasta presupune ca individul poate solicita stergerea datelor personale daca nu exista un motiv valid pentru procesarea lor. De regula, “motivul valid” apare atunci cand scopul procesarii lor a luat sfarsit.
Pasul 5: Transferul
Scopul acestui pas este de a organiza procesarea datelor care nu sunt realizate in compania ta. Asta include date administrare de terte parti sau de inter companii.
GDPR spune ca, atunci cand 2 companii sunt implicate in procesarea datelor, una se numeste Controlor iar cealalta Procesator (cea care proceseaza datele in numele Controlorului). Partea buna este ca GDPR impune aceleasi responsabilitati ambelor parti. Cu toate acestea, controlorul trebuie sa se asigure ca Procesatorul respecta regulile GDPR.
Pentru acestea sunt 2 situatii:
1. Inter-companii.
Asta se intampla cand transferul de date se face catre entitati legale care apartin aceleiasi companie mama in scopul procesarii lor.
2.Terte parti
Cand procesarea datelor este externalizata catre terte parti, este important sa formalizati responsabilitatile in contract. Asta inseamna ca actualele contracte trebuiesc modificate. Iata ce trebuie sa incluzi in contract:
Definirea si clasificarea datelor personale
Lista a tipului de date personale si a categoriilor de date personale
Un acord de respectare a regulilor GDPR
Definirea responsabilitatilor pentru Controlor si Procesator
Obligatii pentru Procesator (de a utiliza datele personale doar cu sopul mentionat in contract, de a oferi protectie si de a preveni accidente care duc la pierderea sau distrugerea datelor personale ori la accesul neautorizat)
Obligatia Procesatorului de a nu transfera datele personale fara acordul Cotrolorului
Obligatia Procesatorului de a anunta Controlorul de accidente care au dus la pierderea sau distrugerea datelor sau care au condus la accesul neautorizat al altor persoane. In aceasta situatie Procesatorul (terta parte) este responsabil.
Obligatia ca Procesatorul sa anunte Controlorul de orice solicitare de dezvaluire a datelor
Obligatia ca Procesatorul sa stearga toate datele (cu exceptia cazului in care egea impune altfel) de indata ce contractul a luat sfarsit.
Pasul 6: Transparenta
Pentru a demonstra transparenta ai nevoie de o Declaratie de confidentialitate. Aceasta trebuie scrisa intr-un limbaj simplu si sa raspunda la urmatoarele intrebari:
Ce date personale ai despre mine?
De ce detii aceste date?
Ce faci cu aceste date personale? Cu alte cuvinte, in ce scop folosesti aceste date? Chiar ai nevoie de toate datele colectate?
Sunt aceste date impartasite cu terte parti? Daca da, cu cine?
Ce faci cu datele cand nu mai sunt relevante?
Cum respecti confidentialitatea si protectia datelor?
Care sunt drepturile mele? (le-am mentionat la pasul 4)
Cui ma adresez daca am mai multe intrebari sau daca vreau sa depun o plangere?
Pasul 7: Sustenabilitatea
GDPR vrea sa fie mai mult decat o simpla implementare. Vrea sa se asigure ca updatezi continuu acesti pasi, atunci cand este cazul. Personalul tau trebuie sa fie trainuit sa respecte aceste reguli.
Sustenabilitatea, in viziunea GDPR, presupune sa privesti in perspectiva, dincolo de scopul actual al proiectului si sa iti raspunzi la urmatoarele 3 intrebari:
Cum va respecta compania mea regulile GDPR?
Care sunt actiunile necesare pentru a ma asigura de respectarea lor si pe viitor?
Cine se va ocupa de asta si cum voi putea monitoriza aceste actiuni?