GDPR acordă o serie de drepturi persoanelor vizate (adesea referite ca "subiecți ai datelor") pentru a le asigura controlul asupra datelor lor personale. Principalele drepturi ale persoanelor vizate sunt:

1. Dreptul de acces: Subiecții datelor au dreptul de a ști dacă datele lor personale sunt sau nu prelucrate și, în caz afirmativ, de a avea acces la aceste date și de a primi informații suplimentare despre modul în care sunt prelucrate.

2. Dreptul la rectificare: Dacă datele personale sunt inexacte sau incomplete, persoanele vizate au dreptul de a cere rectificarea acestora.

3. Dreptul la ștergere („dreptul de a fi uitat”): În anumite circumstanțe, subiecții datelor pot solicita ștergerea datelor lor personale.

4. Dreptul la restricționarea prelucrării: Persoanele vizate pot cere restricționarea prelucrării datelor lor personale în anumite situații.

5. Dreptul la portabilitatea datelor: Persoanele vizate pot solicita primirea datelor personale pe care le-au furnizat unei organizații într-un format structurat, uzual și care poate fi citit mecanic. Ei pot, de asemenea, cere ca datele să fie transferate direct unei alte organizații, dacă acest lucru este fezabil tehnic.

6. Dreptul de opoziție: Persoanele vizate au dreptul de a se opune prelucrării datelor lor personale în anumite situații, mai ales în cazul prelucrării pe bază de interes legitim sau pentru scopuri de marketing direct.

7. Drepturi în legătură cu deciziile individuale automate, inclusiv profilarea: Subiecții datelor au dreptul de a nu fi supuși unei decizii bazate exclusiv pe prelucrarea automată, inclusiv profilarea, dacă decizia produce efecte juridice asupra lor sau le afectează în mod similar într-o măsură semnificativă.

8. Dreptul de a depune o plângere la o autoritate de supraveghere: Dacă subiecții datelor consideră că prelucrarea datelor lor personale încalcă GDPR, au dreptul de a depune o plângere la o autoritate de supraveghere din statul membru în care locuiesc, lucrează sau unde presupusa încălcare a avut loc.

Organizațiile au obligația de a informa subiecții datelor cu privire la aceste drepturi și de a le facilita exercitarea acestor drepturi în mod efectiv.

Responsabilul cu protecția datelor (DPO - Data Protection Officer) este o persoană desemnată de o organizație pentru a supraveghea și a asigura conformitatea cu GDPR și alte legi privind protecția datelor. Desemnarea unui DPO este obligatorie în anumite cazuri, dar și organizațiile care nu sunt obligate pot alege să aibă un DPO pentru a se asigura că respectă reglementările privind protecția datelor.

Implicarea desemnării unui DPO include următoarele:

1. Obligatoriu în anumite situații: Conform GDPR, desemnarea unui DPO este obligatorie pentru:

   • Autoritățile publice sau organismele, cu excepția instanțelor judecătorești atunci când acționează în exercitarea funcțiilor lor judiciare;
   • Organizațiile care efectuează prelucrări care necesită o monitorizare regulată și sistematică a subiecților datelor pe scară largă;
   • Organizațiile care prelucrează pe scară largă date speciale de categorie (de ex., date biometrice, date despre sănătate, date etnice sau date despre convingeri religioase).

2. Independență: DPO trebuie să fie în măsură să își efectueze funcțiile în mod independent și să nu fie supus niciunei forme de presiune sau influență. El/ea nu ar trebui să aibă nicio conflict de interese în ceea ce privește îndeplinirea sarcinilor sale.

3. Resurse adecvate: Organizația trebuie să furnizeze DPO-ului resursele necesare pentru a îndeplini sarcinile sale, inclusiv formare continuă și acces la informații.

4. Acces la management: DPO ar trebui să aibă acces direct la cel mai înalt nivel de management al organizației.

5. Protecție împotriva represaliilor: Organizația nu trebuie să pedepsească DPO-ul pentru îndeplinirea sarcinilor sale.

6. Sarcini și responsabilități: Printre principalele responsabilități ale unui DPO se numără:

   • Informarea și consilierea organizației și angajaților săi cu privire la obligațiile lor conform GDPR și altor legi de protecție a datelor;
   • Supravegherea conformității organizației cu GDPR și cu alte reguli de protecție a datelor;
   • Oferirea de sfaturi în legătură cu evaluarea impactului asupra protecției datelor și monitorizarea implementării acesteia;
   • Cooperarea cu autoritățile de supraveghere;
   • Funcționarea ca punct de contact pentru autoritatea de supraveghere și pentru subiecții datelor.

7. Formare și expertiză: DPO ar trebui să aibă expertiză profesională în domeniul legislației și practicilor privind protecția datelor.

În esență, DPO-ul servește ca un intermediar între organizație, subiecții datelor și autoritățile de supraveghere, asigurându-se că organizația respectă reglementările privind protecția datelor și că drepturile subiecților datelor sunt respectate.

Nerespectarea GDPR poate avea consecințe serioase pentru organizații. Dacă organizația dvs. nu respectă GDPR, puteți întâmpina următoarele:

1. Amenzi financiare: GDPR prevede două niveluri de amenzi, în funcție de gravitatea încălcării:

   • Pentru încălcări mai puțin grave, amenzile pot fi de până la 10 milioane de euro sau 2% din cifra de afaceri globală anuală a companiei (folosindu-se valoarea cea mai mare).
   • Pentru încălcări mai grave, amenzile pot ajunge până la 20 de milioane de euro sau 4% din cifra de afaceri globală anuală (folosindu-se valoarea cea mai mare). Aceste amenzi pot fi aplicate, de exemplu, pentru încălcări ale drepturilor fundamentale ale subiecților datelor sau transferuri neautorizate de date în afara UE.

2. Daune reparatorii: Subiecții datelor pot solicita despăgubiri dacă au suferit un prejudiciu material sau nematerial ca urmare a unei încălcări a GDPR.

3. Reputație afectată: Scandalurile legate de protecția datelor pot avea un impact negativ semnificativ asupra reputației unei organizații, ceea ce poate duce la pierderea încrederii clienților sau partenerilor și la o scădere a veniturilor.

4. Interzicerea prelucrării datelor: În cazuri grave, autoritatea de supraveghere poate emite o ordonanță prin care se interzice organizației să prelucreze date personale.

5. Audituri și investigații: Dacă există suspiciuni cu privire la nerespectarea GDPR, organizația dvs. poate fi supusă auditurilor și investigațiilor efectuate de autoritățile de supraveghere.

6. Costuri administrative: Organizația poate fi nevoită să cheltuiască resurse semnificative pentru a răspunde la investigații, a furniza documentație și a demonstra conformitatea cu GDPR.

7. Notificări de încălcare: În cazul unei încălcări a securității datelor, organizația poate fi obligată să notifice autoritatea de supraveghere și, în anumite situații, să informeze și subiecții datelor despre această încălcare.

Este esențial ca organizațiile să înțeleagă pe deplin cerințele GDPR și să implementeze măsurile necesare pentru conformitate. Aceasta nu numai că reduce riscul de sancțiuni, dar și ajută la construirea încrederii cu clienții și partenerii, evidențiind angajamentul organizației față de protejarea datelor personale.

GDPR definește datele personale ca orice informație referitoare la o persoană fizică identificată sau identificabilă (cunoscută și ca „subiect al datelor”). O persoană poate fi identificată direct sau indirect, în special prin referire la un identificator, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online sau la unul sau mai mulți factori specifici identității fizice, fiziologice, genetice, mentale, economice, culturale sau sociale ale acelei persoane fizice.

Iată unele dintre tipurile de date personale protejate de GDPR:

1. Identificatori de bază: Cum ar fi numele, prenumele, adresa, numărul de telefon, adresa de e-mail.

2. Date de identitate: Fotografii, număr de identificare, număr de pașaport, număr de permis de conducere.

3. Date economice și tranzacționale: Detalii bancare, detalii ale cardului de credit, informații despre cumpărături și istoricul tranzacțiilor.

4. Date web: Adrese IP, cookie-uri, istoricul de navigare, locația geografică, datele de log.

5. Date sensibile sau de categorie specială: Acestea includ:

   • Originea rasială sau etnică
   • Opiniile politice
   • Convingerile religioase sau filozofice
   • Apartenența sindicală
   • Date genetice
   • Date biometrice (pentru identificarea unică a unei persoane fizice)
   • Date despre sănătate
   • Viața sexuală sau orientarea sexuală
   • Condamaări penale și infracțiuni (acestea necesită protecție suplimentară în anumite țări membre ale UE)

6. Date de localizare: Informații care arată locația fizică a unei persoane într-un moment dat.

7. Date sociale: Informații din rețelele sociale, istoricul de chat, e-mailuri.

Este important de menționat că, în contextul GDPR, chiar și informațiile care, în izolare, nu identifică o persoană pot fi considerate date personale dacă pot fi combinate cu alte informații pentru a identifica acea persoană. De asemenea, informațiile privind persoanele decedate nu sunt considerate date personale în contextul GDPR, deși statele membre pot avea legislație specifică care protejează informațiile privind persoanele decedate.

Consimțământul este una dintre bazele legale pe care organizațiile le pot folosi pentru a prelucra date personale conform GDPR. Cu toate acestea, nu este singura bază legală și nu este întotdeauna necesar sau chiar recomandat. Înainte de a decide să vă bazați pe consimțământ, este important să luați în considerare dacă este cel mai potrivit temei juridic pentru prelucrarea dvs.

Consimțământul trebuie să fie obținut în următoarele situații:

1. Prelucrarea datelor speciale de categorie (date sensibile): Acestea includ informații despre originea rasială sau etnică, opiniile politice, convingerile religioase sau filozofice, apartenența sindicală, datele genetice, datele biometrice, datele despre sănătate, viața sexuală sau orientarea sexuală. Pentru prelucrarea acestor categorii de date, consimțământul explicit este adesea necesar.

2. Marketing direct: Dacă doriți să trimiteți comunicări de marketing persoanelor pe baza datelor lor personale, de obicei este necesar să obțineți consimțământul lor în prealabil.

3. Cookie-uri și tehnologii similare: Pentru plasarea de cookie-uri neesențiale sau utilizarea altor tehnologii de urmărire pe dispozitivele utilizatorilor.

4. Când alte baze legale nu se aplică: Dacă nu puteți apela la nicio altă bază legală (cum ar fi executarea unui contract, obligații legale, interese legitime sau protecția intereselor vitale), atunci consimțământul poate fi necesar.

Când obțineți consimțământul, acesta trebuie să îndeplinească anumite criterii pentru a fi valid:

• Liber dat: Subiecții datelor trebuie să aibă o alegere reală și control. Consimțământul nu trebuie să fie forțat și persoanele nu trebuie să fie penalizate dacă aleg să nu consimtă.

• Specific: Consimțământul trebuie să fie acordat pentru un scop specific și clar definit. Nu puteți obține consimțământ pentru un scop și apoi să folosiți datele pentru un alt scop neașteptat.

• Informat: Persoanele trebuie să știe exact la ce consimt. Aceasta înseamnă că trebuie să li se furnizeze informații clare și accesibile despre cum vor fi folosite datele lor.

• Explicit: În special pentru datele sensibile, consimțământul trebuie să fie explicit. Acest lucru înseamnă că trebuie să fie o acțiune clară de a consimți, cum ar fi bifarea unei căsuțe.

• Retragerea consimțământului: Trebuie să fie la fel de ușor pentru persoane să retragă consimțământul pe cât este să îl acorde. Organizațiile trebuie să informeze persoanele despre acest drept și să le ofere mijloacele de a-l exercita.

În plus, organizațiile trebuie să păstreze o evidență a consimțămintelor acordate pentru a putea demonstra conformitatea cu GDPR în cazul în care acest lucru este necesar.

Evaluarea impactului asupra protecției datelor (EIPD) este un proces care ajută organizațiile să identifice și să minimizeze riscurile asociate cu prelucrarea datelor personale. Este o componentă esențială a abordării "proactive" și "centrate pe risc" a GDPR.

EIPD trebuie să analizeze, în detaliu, natura, scopul, contextul și severitatea potențialelor riscuri pentru drepturile și libertățile persoanelor fizice. Procesul trebuie să includă și măsuri, garanții și mecanisme de atenuare pentru gestionarea identificată a riscurilor.

Când este necesară EIPD?

Conform GDPR, EIPD este necesară în special când prelucrarea datelor, în special utilizând tehnologii noi, ar putea duce la un risc înalt pentru drepturile și libertățile persoanelor fizice. Acest lucru poate fi datorită naturii, scopului, contextului sau volumului prelucrării.

Iată câteva exemple de situații în care ar putea fi necesară o EIPD:

1. Evaluări sistematice și extensive, cum ar fi profilarea, care produce efecte juridice sau care afectează în mod similar persoana vizată într-o măsură semnificativă.

2. Prelucrarea pe scară largă a categoriilor speciale de date (sau a datelor cu privire la condamnări penale și infracțiuni). Aceasta ar putea include, de exemplu, prelucrarea datelor de sănătate pentru un spital.

3. Monitorizarea sistematică pe scară largă a zonelor publice. Un exemplu ar putea fi supravegherea video într-o zonă urbană.

4. Utilizarea de tehnologii noi sau emergente, dacă acestea implică un risc înalt pentru drepturile persoanelor vizate.

5. Transferuri de date pe scară largă la țări sau organizații internaționale care nu au o decizie de adecvare.

6. Baze de date care combină seturi de date provenite din diferite surse.

Este esențial să se menționeze că, în cazul în care o organizație decide că EIPD nu este necesară, aceasta trebuie să documenteze această decizie și motivele care o susțin, pentru a putea demonstra conformitatea cu GDPR în cazul în care este interogată de autorități.

Dacă, în urma unei EIPD, se constată că prelucrarea ar conduce la un risc înalt și că organizația nu poate atenua suficient riscul, aceasta trebuie să consulte autoritatea de supraveghere competentă (de exemplu, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal în cazul României) înainte de a continua prelucrarea.

GDPR se bazează pe un set de principii fundamentale care trebuie respectate atunci când se prelucrează date personale. Aceste principii constituie coloana vertebrală a regulamentului și toate activitățile de prelucrare a datelor personale ar trebui să adere la ele:

1. Legalitate, echitate și transparență: Datele personale trebuie să fie prelucrate legal, echitabil și într-un mod transparent față de persoana vizată.

2. Limitarea scopului: Datele personale trebuie colectate în scopuri specifice, explicite și legitime și nu trebuie prelucrate ulterior într-un mod care nu este compatibil cu acele scopuri.

3. Minimizarea datelor: Datele personale trebuie să fie adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate.

4. Exactitate: Datele personale trebuie să fie exacte și, acolo unde este necesar, să fie păstrate la zi; trebuie luate măsuri rezonabile pentru a asigura că datele personale inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt șterse sau rectificate fără întârziere.

5. Limitarea stocării: Datele personale trebuie să fie păstrate într-o formă care permite identificarea persoanelor vizate pentru o perioadă care nu depășește durata necesară scopurilor pentru care sunt prelucrate datele personale.

6. Integritate și confidențialitate: Datele personale trebuie prelucrate într-un mod care asigură securitatea adecvată a datelor personale, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, distrugerii sau deteriorării accidentale, utilizând măsuri tehnice sau organizatorice adecvate.

7. Responsabilitate: Operatorul de date este responsabil și trebuie să fie în măsură să demonstreze conformitatea cu principiile de mai sus.

Respectarea acestor principii este esențială pentru conformitatea cu GDPR. Nerespectarea lor poate duce la sancțiuni semnificative, dar, mai important, poate submina încrederea persoanelor în modul în care o organizație gestionează datele lor personale.

Dacă organizația dvs. a avut parte de o încălcare a securității datelor, există proceduri specifice care trebuie urmate conform GDPR. Iată pașii de bază pe care trebuie să îi considerați:

1. Evaluarea încălcării: În primul rând, trebuie să evaluați natura încălcării. Nu toate încălcrile de securitate necesită raportare, doar acele încălcări care reprezintă un risc pentru "drepturile și libertățile persoanelor fizice". Dacă încălcarea ar putea duce la discriminare, furt de identitate, pierdere financiară, pierderea de confidențialitate sau alte consecințe economice sau sociale semnificative, atunci trebuie raportată.

2. Raportarea către autoritatea de supraveghere: Dacă determinați că există un risc pentru drepturile și libertățile individuale:

   • Trebuie să raportați încălcarea autorității naționale de supraveghere relevante în termen de 72 de ore de la descoperirea încălcării, cu excepția cazurilor în care riscul pentru drepturile și libertățile persoanelor fizice este improbabil.
   • Raportul ar trebui să includă detalii despre natura încălcării, categoriile și numărul aproximativ de persoane vizate, categoriile și numărul aproximativ de înregistrări de date personale afectate, măsurile propuse sau luate pentru a remedia încălcarea și orice alte informații relevante.

3. Comunicarea cu persoanele vizate: Dacă încălcarea reprezintă un risc înalt pentru drepturile și libertățile persoanelor vizate, va trebui să informați, de asemenea, persoanele afectate fără întârziere nejustificată. Aceasta ar trebui să includă o descriere clară și simplă a naturii încălcării și recomandări pentru măsurile pe care persoanele le-ar putea lua pentru a se proteja.

4. Documentația: Este esențial să documentați toate încălcrile de securitate, indiferent dacă au fost sau nu raportate autorității de supraveghere. Aceasta ar trebui să includă efectele, cauzele și măsurile de remediere luate.

5. Implementarea măsurilor corective: În urma unei încălcări, organizația ar trebui să analizeze cauzele subiacente și să ia măsuri pentru a preveni încălcări similare în viitor.

6. Cooperarea cu autoritatea de supraveghere: Dacă autoritatea de supraveghere decide să investigheze încălcarea, va trebui să cooperați în totalitate cu aceasta.

Este bine să aveți un plan de reacție în caz de încălcare înainte de a se produce vreun incident. Acesta ar trebui să includă persoanele de contact din organizație, cum să documentați și să evaluați încălcarea și procedurile de raportare și comunicare. Acest plan vă poate ajuta să reacționați rapid și eficient în cazul unei încălcări, minimizând daunele potențiale și demonstrând conformitatea cu GDPR.

În contextul GDPR, termenii "operator de date" și "responsabil cu prelucrarea datelor" au semnificații distincte și roluri diferite în prelucrarea datelor personale:

1. Operator de date (Data Controller în engleză):

   • Este entitatea (persoana, compania, organizația sau alt organism) care determină scopurile și mijloacele de prelucrare a datelor personale. Cu alte cuvinte, decide de ce și cum se prelucrează datele personale.
   • Are responsabilitatea primară în ceea ce privește respectarea GDPR, inclusiv asigurarea legalității prelucrării, protejarea drepturilor persoanelor vizate și informarea lor despre prelucrare.
   • Dacă două sau mai multe entități decid împreună despre scopurile și mijloacele de prelucrare, acestea sunt considerate operatori de date "conjointi".

2. Responsabil cu prelucrarea datelor (Data Processor în engleză):

   • Este o entitate (persoană, companie, organizație sau alt organism) care prelucrează datele personale în numele operatorului de date.
   • Responsabilul cu prelucrarea datelor acționează în baza instrucțiunilor primite de la operatorul de date și nu are autonomie în a decide scopurile sau mijloacele prelucrării.
   • Deși responsabilitatea primară pentru conformitatea cu GDPR revine operatorului de date, responsabilul cu prelucrarea datelor are și el obligații specifice în temeiul regulamentului, inclusiv asigurarea securității datelor și notificarea operatorului de date în cazul unei încălcări a securității datelor.

O analogie simplă ar putea fi aceea că operatorul de date este similar cu un client care dorește să construiască o casă (și decide unde și cum ar trebui să fie construită), în timp ce responsabilul cu prelucrarea datelor este constructorul care efectuează efectiv construcția în conformitate cu planurile și specificațiile furnizate de client.

Este important ca relația dintre operatorul de date și responsabilul cu prelucrarea datelor să fie clar definită, de obicei printr-un contract sau un alt act juridic, care specifică responsabilitățile și obligațiile fiecăreia dintre părți în ceea ce privește prelucrarea datelor personale.

Organizațiile trebuie să implementeze măsuri de securitate adecvate și proporționale cu riscul asociat prelucrării datelor personale. Aceste măsuri pot include: criptarea datelor, gestionarea accesului la date, securitatea fizică a spațiilor de stocare, realizarea de copii de siguranță și planuri de recuperare în caz de dezastre, actualizarea regulată a software-ului și a hardware-ului și instruirea angajaților în ceea ce privește securitatea datelor și conformitatea GDPR.

Portabilitatea datelor este un drept garantat de GDPR, care permite persoanelor vizate să obțină și să utilizeze datele lor personale într-un format structurat, comun și lizibil în mod automat. Acest drept le permite să transfere datele de la un operator de date la altul, fără a întâmpina obstacole sau întârzieri nejustificate, facilitând astfel migrarea către alte servicii sau concurență.

Transferul de date personale în afara Uniunii Europene este permis doar dacă se asigură un nivel adecvat de protecție a datelor. Acest lucru poate fi realizat prin utilizarea de mecanisme adecvate, cum ar fi Clauzele Contractuale Standard (SCC), acordurile de transfer bazate pe decizii de adecvare ale Comisiei Europene sau aderarea la principiile Scutului de Confidențialitate (Privacy Shield) în cazul transferurilor către Statele Unite, deși Scutul de Confidențialitate a fost invalidat în iulie 2020 și organizațiile trebuie să se bazeze pe alte mecanisme pentru transferuri transfrontaliere de date.

O politică de confidențialitate este un document care descrie modul în care o organizație colectează, utilizează, dezvăluie și protejează datele personale ale utilizatorilor. În contextul GDPR, o politică de confidențialitate trebuie să furnizeze informații clare și accesibile despre: identitatea și datele de contact ale operatorului de date și, dacă este cazul, ale responsabilului cu protecția datelor (DPO); scopurile și bazele legale ale prelucrării datelor; categoriile de date personale colectate; durata păstrării datelor; destinatarii sau categoriile de destinatari ai datelor; drepturile persoanelor vizate și modul în care acestea pot fi exercitate; procedurile de depunere a plângerilor la autoritățile de supraveghere; și orice alte informații relevante pentru a asigura transparența și responsabilitatea în prelucrarea datelor.

O politică de păstrare a datelor este un set de reguli și proceduri care stabilesc perioadele de retenție pentru diferitele tipuri de date personale în cadrul unei organizații. Aceasta este importantă în contextul GDPR, deoarece reglementarea impune ca datele personale să fie păstrate numai pentru perioada necesară realizării scopurilor pentru care au fost colectate. Prin stabilirea unor termene clare de păstrare și prin respectarea acestora, organizațiile se asigură că nu păstrează datele personale în mod inutil și, în același timp, reduc riscurile de încălcare a securității datelor.

Pentru a verifica dacă furnizorii și partenerii de afaceri sunt conformi cu GDPR, puteți solicita informații despre politicile și procedurile lor de protecție a datelor, precum și despre certificările și acreditările în domeniul securității informației. De asemenea, puteți solicita să revizuiți contractele cu aceștia și să vă asigurați că includ clauze care abordează conformitatea GDPR, responsabilitățile fiecărei părți și procedurile de gestionare a incidentelor de securitate. Dacă este necesar, puteți solicita și o evaluare independentă a conformității lor cu GDPR.