Cele mai importante întrebări și răspunsuri legate de implementarea GDPR
1. Cui se adresează GDPR-ul?
Prin regulamentul GDPR se enunță drepturile persoanelor ale căror date sunt prelucrate, precum și obligațiile operatorilor de date. Deci practic GDPR-ul se adreseză tuturor!
2. Ce sunt datele personale?
"Date cu caracter personal" înseamnă orice informaţii privind o persoană fizică identificată sau identificabilă ("persoana vizată"); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de telefon, o adresă de email, un număr de identificare, date de localizare, un identificator online, ori la unul sau mai multe elemente specifice, proprii identităţii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.
3. Când trebuie desemnat un responsabil cu protecția datelor (DPO)?
Toate instituțiile publice trebuie să desemneze un responsabil cu protecția datelor, dar și operatorii privați atunci când activităţile lor constau în operaţiuni de prelucrare care, prin natura, domeniul de aplicare şi/sau scopurile lor, necesită o monitorizare periodică şi sistematică a persoanelor (în această categorie intră firme care emit facturi unui număr mare de persoane fizice, magazine online, firme care oferă servicii pe bază de abonament sau reduceri, agenții de turism sau hoteliere, agenții de forțe de muncă, agenții imobiliare, clinici medicale sau centre sportive, firme de transporturi marfă sau persoane, fabrici cu mulți angajați, etc.).
4. Cine poate să fie desemnat DPO?
DPO - responsabil cu protecția datelor poate să fie un colaborator extern (pe baza unui contract de prestări servicii), sau un angajat intern care este certificat să ocupe această funcție și are noțiuni în domeniul IT sau al dreptului (pentru că societatea tinde spre o informatizare completă). În cazul desemnării unui angajat din structura internă a firmei, acesta va avea un statut special: nu poate să intre în conflict de interese - adică nu poate să prelucreze date sau să dețină o funcție de conducere, trebuie să fie integrat într-un departament separat, nu poate fi influențat în procesul decizional de nimeni, nu poate sa fie dat afară și răspunde doar în fața conducerii firmei. De ex. un IT-ist nu poate să ocupe această poziție pentru ca el procesează date sau are acces la baza de date a companiei. De asemenea, administratorul firmei nu poate să fie DPO pentru că ar ajunge în situația să se verifice pe el însuși.
5. Ce face responsabilul cu protecția datelor?
Responsabilul cu protecția datelor elaborează împreună cu operatorul toată documentația și procedurile interne necesare conformării la Regulamentul GDPR. El este persoana de contact, reprezentantul Autorității Naționale de supraveghere a prelucrării datelor cu caracter personal pe lângă operator. DPO-ul trebuie să se asigure că toate persoanele implicate în procesarea de date cunosc obligațiile din Regulamentul GDPR.
6. Ce drepturi au persoanele vizate?
Regulamentul GDPR definește clar drepturile persoanelor vizate și condițiile în care se pot prelucra datele. Este esențial ca prelucrarea să se facă pe baza unui consimțământ care poate fi oricând retras sau restricționat. Persoanele vizate pot să solicite oricând portarea datelor către un alt operator sau un raport despre datele care îi sunt prelucrate. Operatorul trebuie să dovedească că respectă aceste drepturi și că prelucrarea se face în conformitate cu Regulamentul GDPR (de ex. operatorul trebuie să dovedească că are consimțământul pentru procesarea datelor).
7. Ce se întamplă în cazurile de nerespectare a Regulamentului GDPR?
Regulamentul prevede amenzi de până la 20 000 000 euro sau 4% din cifra de afaceri anuală.
8. Care sunt exemplele tipice de firme care trebuie să implementeze GDPR-ul?
Magazinele online.Acestea emit facturi cu date personale sau realizează profiluri cu datele clienților (profil cu nume, adresă de email și alte date suplimentare: telefon, adresă etc.). Pe profiluri se pot stoca informații legate de preferințele clienților (de exemplu legate de anumite produse). Aceste date pot să fie baza unor campanii de informare de tip newsletter, pe email sau SMS pe telefon.
Agențiile de turism.În cazul agențiilor de turism, clienții furnizează o cantitate foarte mare de date personale: lângă numele și datele de contact (telefon, email, adresă) se adaugă CNP-ul, datele din buletin sau pașaport sau date medicale pentru asigurări de călătorie. Agențiile trimit aceste date altor operatori (hoteluri, companii de transport, etc.) în spațiul UE sau în afara lui.
Operatorul are o imensă responsabilitate pentru protecția acestor date.
Hotelurile și pensiunile.La fel ca și în cazul agențiior de turism și hotelurile sau pensiunile prelucrează datele personale ale călătorilor, uneori direct - atunci când se face cazarea, alteori prin operatori terți (de exemplu prin sistem de rezervări online). Pentru unii din clienți se oferă facilități suplimentare (de tipul închiriere de mașini, diferite rezervări), care implică alte procesări de date.
Reprezentanțele auto.Vânzările auto reprezintă prelucrări de date personale, iar până se ajunge la actul efectiv de vânzare, de obicei se realizează un profil al clientului pentru care se colectează datele de contact precum și preferințele acestuia. Ulterior, în funcție de serviciul furnizat către client, acesta poate să fie subiectul altor abordări comerciale (oferirea de verificări periodice, piese de schimb etc.). Toate acestea constituie prelucrări de date.
Agențiile de recrutare forță de muncă și agențiile imobiliare.Toate aceste companii au ca activitate principală realizarea profilului clientului lor, cu preferințele sau aptitudinele sale. Aceste date pot să fie folosite în scopurile furnizării de oferte comerciale de către operator, dar poate de asemenea să apară riscul să fie oferite spre folosire altora. De exemplu, presupunem că există o bază de date cu proprietari dintr-un anumit cartier care pot sa primească oferte de la un nou magazin deschis în zonă. Sau, există o bază de date cu persoane care caută locuri de muncă în străinătate, iar datele lor pot fi folosite pentru oferte de asigurări medicale.
Clinicile medicale.Acești operatori, pe lângă prelucrarea de date personale de contact, prelucrează și date cu caracter sensibil: se fac analize medicale sau se prelevează probe biologice. Aceste date pot fi folosite în mod abuziv pentru oferte legate de medicamente, diferite tratamente sau pot fi chiar folosite de firme pentru a evita riscurile legate de angajare a unor persoane cu probleme (de pildă, o clinică vinde unei fabrici datele despre persoanele care au probleme cu spatele).
Centrele sportive.Aceste centre funcționează în general pe baza oferirii unui abonament al serviciilor lor, abonament legat de profilul clientului. Pe acest profil se pot face ulterior diferite alte oferte legate de preferințele clientului (de exemplu o reducere de preț în funcție de frecventare sau oferte la suplimenți nutritivi).
Companiile de transport de persoane sau marfă.De cele mai multe ori aceste companii folosesc metode de monitorizare a accesului (prin abonamente) sau monitorizări geografice (urmărire prin GPS în cazul transportului de marfă).
FabricileÎn general, companiile care au activitate principală producția și un număr mare de personal. În acest caz vorbim de date care sunt prelucrate constant: de la acte de angajare, acte salariale, concedii medicale etc. Unele firme oferă angajaților diferite bonusuri pe baza profilului de angajat: asigurări medicale, oferte turistice etc.