GDPR sau The General Data Protection Regulation este un regulament european ce a intrat in vigoare la data de 25 mai 2018 (a fost publicat acum doi ani), in toate țările membre UE; este vorba de o legislație unitara, ce armonizează aspecte legate de protejarea datelor cu caracter personal si care înlocuiește/completează legislația deja existenta in materie.
Are caracter obligatoriu si trebuie sa fie aplicata in cadrul tuturor organizațiilor care procesează astfel de date in cadrul UE, amenzile de nerespectare fiind considerabile.
Regulamentul este disponibil public atât in limba română sau in limba engleză.
Ce sunt Datele cu Caracter Personal?
Înseamnă orice informații privind o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale (Art.4 Reg.679/2016).
Cu alte cuvinte, date de identificare (nume, adresa, CNP), date de identificare electronica (adrese IP, cookie-uri, locație GPS), date de identificare biometrica (datele ADN, amprente, imaginea retinei, recunoașterea vocii, etc), date de financiare (conturi banca, număr cărți credit, detalii legate de asigurări, datorii, cheltuieli, etc), descriere fizica, descriere psihica, obiceiuri de viată (calatorii, deplasări, stil de viată), date juridice (sancțiuni, condamnări, etc), date privind sănătatea fizica si starea psihica, orientarea sexuala, opinii politice, filozofice sau religioase si altele.
Ce înseamnă o prelucrare de Date cu Caracter Personal?
“Orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără̆ utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea” (Cap. I Art.4-Reg.679/2016)
Ce trebuie sa facă companiile pentru a se conforma cu cerințele GDPR?
Companiile trebuie sa își creeze propriul sistem de conformare cu cerințele regulamentului, înainte de data intrării in vigoare, astfel încât sa poată demonstra îndeplinirea tuturor cerințelor prevăzute in cadrul GDPR si in acord cu principiile de mai jos (Cap.II Art.5-Reg.679/2016). Astfel, Datele cu Caracter Personal trebuie sa fie:
- prelucrate în mod legal, echitabil și transparent față de persoana vizată („legalitate, echitate si transparență”)
- colectate în scopuri determinate, explicite și legitime și nu sunt prelucrate ulterior într-un mod incompatibil cu aceste scopuri
- adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate („reducerea la minimum a datelor”)
- exacte și, în cazul în care este necesar, să fie actualizate; trebuie să se ia toate măsurile necesare pentru a se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt șterse sau rectificate fără întârziere („exactitate”)
- păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele;
- prelucrate într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale si împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare („integritate și confidențialitate”)
Sistemul de management implementat in protejarea Datelor cu Caracter Personal poate cuprinde atât masuri organizatorice cat si tehnice, pornind de la alocare resurse si trasare de politici si proceduri interne pana la posibile investiții in soluții de securitate IT, in funcție de riscuri si necesități, cu rol sistemic în a proteja Datele cu Caracter Personal prelucrate in cadrul companiei. Totul pentru a tine sub control confidențialitatea, integritatea si disponibilitatea acestora.
Exista mai multe surse de informare publice, dintre care enumerăm câteva:
Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal