GDPR - tot ce trebuie să știi despre protecția datelor personale (P)

De-a lungul timpului, legislația specifică acestui domeniu a suferit mai multe modificări, însă una dintre problemele întâmpinate era lipsa armonizării acestei legislații cu prevederile legislative din fiecare stat. Pentru că astfel nu se putea ajunge la un numitor comun, a apărut necesitatea unui regulament unic la nivel european, care să fie aplicat în mod unitar în toate țările membre ale Uniunii Europene.

Ce înseamnă GDPR?

Ținând cont de această necesitate, pe data de 14 aprilie 2016 a fost adoptat un astfel de regulament denumit General Data Protection Regulation – pe scurt, GDPR. Noile prevederi nu au fost puse în practică imediat, companiilor și instituțiilor care prelucrau date cu caracter personal fiindu-le lăsată o perioadă de grație de doi ani, după care, la data de 25 mai 2018 respectarea GDPR a deveni obligatorie în toate statele membre UE.

Cine trebuie să respecte protecția datelor cu caracter personal?

GDPR se adresează tuturor companiilor, instituțiilor și altor entități de pe teritoriul Uniunii Europene sau din afara UE, care prelucrează date cu caracter personal ale cetatenilor europeni. În funcție de specificul activității și de tipul datelor prelucrate, fiecare dintre aceștia trebuie să adopte anumite seturi de măsuri, care se stabilesc în cadrul procedurii de implementare a GDPR.

Prin urmare, procedura de conformare cu regulamentul european este una personalizată pentru fiecare companie și operator în parte și se face în urma unui audit.

Care sunt datele care trebuie protejate?

Datele cu caracter personal, care fac obiectul GDPR, se referă la acele informații referitoare la o persoană, care pot duce la identificarea sa directă sau indirectă. Acestea se împart în două categorii distincte, mai precis datele personale și datele personale sensibile.

Prima categorie include numele, codul numeric personal, adresa, numărul de telefon, localizarea geografică, adresa IP, cea de e-mail și modulele Cookie, în timp ce datele personale sensibile se referă la starea de sănătate, rasa, informațiile genetice, cele biometrice, orientarea sexuală sau convingerile politice ale unei persoane.

Conform prevederilor GDPR, toate aceste date nu trebuie să fie păstrate mai mult decât este necesar pentru îndeplinirea scopurilor comerciale.

Ce obligații impune GDPR?

În mare, putem vorbi de patru obligații principale care se aplică tuturor companiilor și instituțiilor care prelucrează date cu caracter personal.

• Prima dintre ele prevede solicitarea consimțământului liber și informat al clientului atunci când i se colectează datele personale. Acest acord trebuie exprimat în mod distinct, fără a fi intercalat în restul condițiilor contractuale sau la secțiunea „Termeni și condiții”.
• O altă obligație se referă la desemnarea unui DPO care să se ocupe de protecția datelor cu caracter personal. Aceasta vizează următoarele entități:   

- instituțiile publice, cu excepția instanțelor de judecată; 

- firmele care prelucrează date cu caracter personal și necesită monitorizare sistematică și periodică a persoanelor vizate;

- companiile care prelucrează o cantitate mare de date personale sensibile sau de date care fac referire la condamnări penale sau infracțiuni.

• Cea de-a treia obligație cere companiilor să implementeze măsuri de protecție a datelor cu caracter personal, iar în cazul încălcării acestor măsuri, să raporteze incidentul în cel mult 72 de ore, către Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal.
• În fine, a patra obligație presupune că toți operatorii și persoanele împuternicite să stocheze și să prelucreze date cu caracter personal trebuie să fie înregistrate la autoritatea mai sus amintită.

În concluzie, GDPR este instrumentul prin care este protejată intimitatea și viața privată a cetățenilor Uniunii Europene, constituind totodată cel mai complex cadru legislativ din lume, pe acest domeniu.