GDPR: ce este, norme de implementare, prevederi legale

În ultimii ani, Regulamentul General privind Prelucrarea Datelor cu Caracter Personal s-a transformat, probabil, în cea mai cunoscută reglementare, indiferent că a fost nevoie să înțelegem cum să o respectăm sau pentru că – pur și simplu – am auzit de la prieteni sau cunoștințe că trebuie să se conformeze cu Regulamentul. Iar dacă denumirea de la început te-a băgat în ceață, poate acronimul GDPR te ajută să-ți dai seama despre ce vorbim.

De la intrarea în vigoare a GDPR, atât în România, cât și în alte state membre UE, au apărut o serie de articole, analize și experți care se concentrează exclusiv pe aplicabilitatea și rezolvarea problemelor rezultate din aplicarea GDPR. Cu toate acestea, conformitatea cu GDPR pentru antreprenori sau firme mici și medii poate fi încă un mister, mai ales dacă azi, când citești acest articol, faci primii pași în noul tău business. Așa că, la Law of Tech, ne-am gândit să creăm un ghid care sintetizează experiența noastră practică de lucru (cu startupuri și companii din zona de tehnologie), pe probleme derivate din GDPR. 


Pe scurt

  • Cum a apărut GDPR
  • Cui se adresează GDPR
  • Ce obligații impune GDPR
  • Ce sancțiuni riscă persoanele care nu se conformează cu prevederile GDPR
  • Cum implementezi GDPR în afacerea ta

Cum a apărut GDPR

Regulamentul General privind Protecția Datelor sau GDPR (în engleză, „General Data Protection Regulation”) a intrat în vigoare pe 25 mai 2018 și a fost conceput pentru a aduce într-un singur loc toate drepturile cetățenilor rezidenți ai Uniunii Europene, în legătură cu modul în care companiile prelucrează și utilizează datele lor cu caracter personal.

GDPR este cea mai cuprinzătoare legislație privind protecția datelor cu caracter personal elaborată la nivel mondial (până în prezent) și cuprinde reguli stricte privind modul în care companiile ar trebui să gestioneze datele cu caracter personal.

Citește și Proprietatea intelectuală | Particularități pentru businessurile cu mai mulți asociați

Cui se adresează GDPR

GDPR se aplică:

  • operatorilor (persoane fizice sau juridice, autorități publice etc.) sau persoanelor împuternicite care prelucrează date cu caracter personal și au un sediu în UE (de exemplu, o sucursală, un birou etc.), indiferent de locul unde prelucrează datele;
  • operatorilor sau persoanelor împuternicite din afara UE care oferă bunuri/servicii (gratuite sau contra cost) și/sau monitorizează date ale rezidenților UE.

Cu alte cuvinte, prevederile GDPR se aplică operatorilor și persoanelor împuternicite care activează în UE, indiferent dacă sediul lor se află pe teritoriul uniunii sau nu. De exemplu, o companie de recrutare care are sediul în România și deține servere în Indonezia va trebui să pună în practică prevederile GDPR. 

Care este diferența dintre operator și persoană împuternicită

Pe scurt, operatorii sunt cei care stabilesc scopurile și mijloacele de prelucrare – adică de ce și cum sunt prelucrate datele. Persoanele împuternicite prelucrează datele în numele operatorilor și numai la instrucțiunile acestora. Atât operatorii, cât și persoanele împuternicite pot fi persoane juridice sau fizice.

Excepții de la aplicarea GDPR

Totodată, regulamentul prevede și o serie de situații exceptate de la aplicarea sa, cum ar fi:

  • datele sunt prelucrate de către o persoană fizică în cadrul unei activități exclusiv personale sau domestice (gospodărești);
  • datele sunt prelucrate de către autoritățile competente în scopul prevenirii, investigării, depistării sau urmăririi penale a infracțiunilor ori al executării sancțiunilor penale (inclusiv al protejării împotriva amenințărilor la adresa siguranței publice și al prevenirii acestora).

👉 Vrei să afli mai multe despre provocările antreprenoriatului care țin de zona juridică, administrativă și fiscală? Urmează cursul Juridic și financiar | Cum începi și administrezi o afacere, pentru a afla toate informațiile de care ai nevoie într-un mod intuitiv. 

Protecția datelor cu caracter personal în alte țări

Reglementări în domeniul protecției datelor cu caracter personal există nu doar în UE, ci și în alte state, ca Turcia, Japonia, Chile, Brazilia, Coreea de Sud, Africa de Sud și Egipt. Deși a ieșit din UE, Marea Britanie a incorporat GDPR în propria legislație, sub numele de UK GDPR. 

În SUA, protecția datelor este reglementată mai ales la nivel național (de exemplu, în California, Virginia și Colorado). La nivel federal, există legi pentru protecția datelor medicale ale pacienților și a informațiilor de natură educațională privind elevii.

Ce obligații impune GDPR

GDPR impune mai multe obligații pentru companiile care prelucrează datele personale ale persoanelor fizice, fie că vorbim despre angajați, clienți sau furnizori. Mai jos sunt câteva exemple: 

Oferirea de informații în mod transparent

Trebuie să oferi informații clare, concise și în mod transparent cu privire la prelucrarea datelor cu caracter personal, precum:

  • cine ești;
  • de ce prelucrezi datele cu caracter personal și în baza cărui temei legal;
  • dacă și către cine vei transfera datele;
  • pentru ce durată de timp vei stoca datele;
  • ce drepturi au persoanele ale căror date sunt prelucrate.

Răspunsul la solicitări

Dacă primești o cerere prin care o persoană își exercită drepturile asupra datelor personale prelucrate de compania ta, ești obligat (potrivit prevederilor GDPR) să îi răspunzi fără întârziere și în maximum o lună de la solicitare. Perioada se poate prelungi la două luni dacă cererea este complexă sau necesită mai multe activități consumatoare de timp. Acest lucru trebuie adus și la cunoștința solicitantului. De asemenea, astfel de solicitări trebuie rezolvate, ca regulă, în mod gratuit.

Dacă cererea este respinsă, trebuie să informezi solicitantul cu privire la motivele respingerii și despre faptul că are dreptul să depună o plângere la ANSPDCP. 

Breșe de securitate

Compania ta trebuie să implementeze măsuri de securitate adecvate, care să asigure protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale a datelor cu caracter personal. Breșele de securitate se referă, de exemplu, la momentele în care datele personale sunt (accidental sau intenționat) aduse la cunoștința unor părți neautorizate, devin temporar indisponibile sau sunt alterate. 

Conform GDPR, ești obligat să anunți ANSPDCP în cel mai scurt timp, fără să treacă mai mult de 72 de ore de la detectarea breșei. În funcție de riscul existent, compania ta poate fi obligată (potrivit GDPR) și să anunțe persoanele ale căror date au fost afectate de respectiva breșă de securitate. 

Păstrarea unor evidențe ale activităților de prelucrare

Operatorii și persoanele împuternicite trebuie să păstreze evidențe ale activităților de prelucrare, care vor cuprinde, printre altele:

  • scopurile prelucrării;
  • o descriere a categoriilor de persoane vizate și a categoriilor de date cu caracter personal;
  • categoriile de destinatari;
  • durata de stocare;
  • o descriere a măsurilor tehnice și organizatorice de securitate a datelor.

De asemenea, potrivit GDPR, toate companiile care prelucrează date cu caracter personal trebuie să implementeze măsuri organizatorice care să asigure respectarea GDPR, inclusiv redactarea unor politici și proceduri interne care să reflecte obligațiile companiei și ale personalului companiei (cu privire la prelucrarea datelor cu caracter personal). 

Drepturile persoanelor vizate

Potrivit GDPR, persoanele vizate au următoarele drepturi cu privire la datele lor cu caracter personal: acces, rectificare, ștergere, restricționarea prelucrării, portabilitatea datelor, opoziție, retragerea consimțământului, dreptul de a nu fi supus unor decizii bazate exclusiv pe prelucrarea automată, dreptul de a se adresa autorității de supraveghere. Descoperă mai multe detalii despre fiecare, mai jos.

Acces

Persoanele vizate au dreptul de a obține din partea ta o confirmare dacă le prelucrezi sau nu datele și, dacă da, acces la o serie de informații, precum:

  • scopurile prelucrării datelor; 
  • ce categorii de date sunt prelucrate; 
  • destinatarii sau categoriile de destinatari ai datelor;
  • durata stocării datelor. 

Rectificare

Dacă o persoană consideră că datele sale personale sunt inexacte sau incomplete, are dreptul de a solicita completarea sau rectificarea datelor fără întârzieri nejustificate. 

Ștergerea datelor (dreptul de a fi uitat)

În unele situații, persoanele vizate pot solicita ștergerea datelor (de exemplu, atunci când informațiile nu mai sunt necesare pentru scopurile prelucrării lor). Cu toate acestea, compania nu este obligată să șteargă datele în următoarele cazuri:

  • prelucrarea este necesară pentru exercitarea dreptului la liberă de exprimare și informare; 
  • prelucrarea este necesară pentru respectarea unei obligații legale;
  • prelucrarea este necesară din motive de interes public, în domeniul sănătății publice.

Restricționarea prelucrării

Potrivit GDPR, persoana vizată poate solicita restricționarea prelucrării datelor personale în anumite cazuri expres prevăzute de Regulament (de exemplu, în cazul în care contestă corectitudinea datelor)9, pentru o perioadă care permite verificarea exactității datelor în cauză.

Portabilitate

Atunci când prelucrarea datelor are loc prin mijloace automate, pe baza consimțământului sau a executării unui contract, persoana vizată are dreptul de a obține datele personale care o privesc într-un format structurat (utilizat în mod curent și care poate fi citit automat) și dreptul de a transmite aceste date altui operator. 

Opoziție

Persoana vizată se poate opune prelucrării datelor personale care o privesc, atunci când temeiul în baza căruia realizezi acea prelucrare este interesul public sau interesul legitim. Cu excepția cazului în care există motive care justifică prelucrarea potrivit GDPR, ești obligat să încetezi prelucrarea datelor personale respective. În cazul mesajelor de marketing, ești obligat să încetezi prelucrarea datelor la solicitarea persoanei vizate.

Revocarea consimțământului

Atunci când datele sunt prelucrate în temeiul consimțământului, persoana vizată își poate revoca oricând consimțământul, fără a afecta legalitatea prelucrării bazate pe consimțământ înainte de retragerea acestuia.

Procesul decizional individual automatizat

Persoanele vizate au dreptul de a nu fi supuse unei decizii bazate exclusiv pe prelucrarea automată (inclusiv crearea de profiluri), care produce efecte juridice în privința lor sau le afectează în mod similar, într-o măsură semnificativă. Acest drept nu este aplicabil dacă decizia: 

  • este necesară pentru executarea unui contract;
  • este autorizată de lege care prevede și garanții adecvate; 
  • are la bază consimțământul explicit al persoanei.

Dreptul de a se adresa autorității de supraveghere

Persoanele vizate au dreptul de a depune o plângere înaintea Autorității Naționale pentru Supravegherea Prelucrării Datelor cu Caracter Personal (ANSPDCP), în legătură cu orice încălcare a drepturilor lor privind prelucrarea datelor personale.

Ce sancțiuni riscă persoanele care nu se conformează cu prevederile GDPR

ANSPDCP supraveghează aplicarea GDPR; în acest sens, efectuează inspecții, evaluează și aplică sancțiuni, unde este cazul. De regulă, sancțiunile constau în avertismente și amenzi care pot ajunge până la 4% din cifra de afaceri globală anuală a unei companii sau 20 de milioane de euro (sancțiunea va fi suma care este mai mare), în funcție de gravitatea încălcării GDPR.

Pe lângă impactul financiar, nerespectarea regulamentului poate afecta negativ și reputația unei companii. Pierderea încrederii clienților și a partenerilor poate avea efecte de lungă durată asupra succesului afacerii.

Astfel se aplică:

  • amenzi administrative de până la 10 milioane euro sau, în cazul întreprinderilor, de până la 2% din cifra de afaceri mondială totală anuală corespunzătoare exercițiului financiar anterior, luându-se în calcul cea mai mare valoare, în cazul următoarelor încălcări:
    a. condițiile aplicabile în ceea ce privește consimțământul copiilor în legătură cu serviciile societății informaționale (Art. 8 din GPDR);
    b. prevederile privind prelucrarea care nu necesită identificare (Art. 11 din GDPR);
    c. obligațiile generale privind operatorul și persoana împuternicită de operator (Art. 25-31 din GDPR);
    d. securitatea datelor cu caracter personal (Art. 32-34 din GDPR);
    e. evaluarea impactului asupra protecției datelor și consultarea prealabilă (Art. 35-36 din GDPR);
    f. responsabilul cu protecția datelor (Art. 37-39 din GDPR);
    g. dispozițiile privind certificarea și organismele de certificare (Art. 42-43 din GDPR).
  • amenzi administrative de până la 20 de milioane de euro sau, în cazul întreprinderilor, de până la 4% din cifra de afaceri mondială totală anuală corespunzătoare exercițiului financiar anterior, luându-se în calcul cea mai mare valoare, pentru următoarele încălcări: 
    a. principiile de bază pentru prelucrarea datelor personale, inclusiv condițiile privind consimțământul (Art. 5, 6, 7 și 9 din GDPR);
    b. drepturile persoanelor ale căror date personale sunt prelucrate (Art. 12-22 din GDPR);
    c. transferurile de date personale către o persoană sau firmă dintr-o țară din afara UE/SEE sau o organizație internațională (Art. 44-49 din GDPR);
    d. obligațiile adoptate în temeiul legislației naționale potrivit dispozițiilor GDPR referitoare la situații specifice de prelucrare (Art. nr. 85-91 din GDPR);
    e. nerespectarea ordinelor autorității de supraveghere emise în temeiul Art. 58, alin. (2) sau neacordarea accesului încălcând Art. 58, alin. (1) din GDPR.

Legea nr. 190/2018 privind măsuri de punere în aplicare a GDPR (adoptată la nivel național) conține o serie de reglementări specifice, privind:

  • prelucrarea datelor privind sănătatea, datelor genetice, datelor biometrice (Art. 3 din Legea nr. 190/2018);
  • prelucrarea unui număr de identificare național (Art. 4 din Legea nr. 190/2018);
  • prelucrarea datelor personale în relațiile de muncă (Art. 5 din Legea nr. 190/2018);
  • prelucrarea datelor personale și categoriilor speciale de date personale pentru a îndeplini sarcini în interes public (Art. 6 din Legea nr. 190/2018);
  • prelucrarea datelor personale în scopuri jurnalistice, academice, literare sau artistice (Art. 7 din Legea nr. 190/2018);
  • prelucrarea datelor personale în scopuri de cercetare științifică sau istorică, statistică sau arhivare în interes public (Art. 8 din Legea nr. 190/2018);
  • prelucrarea datelor personale de către partidele politice și organizațiile aparținând minorităților naționale precum și de către organizațiile neguvernamentale (Art. 9 din Legea nr. 190/2018). 

Cum implementezi GDPR în afacerea ta

Implementarea GDPR în compania ta implică o serie de măsuri de natură tehnică, organizatorică și juridică. 

Măsuri tehnice

Este recomandată implementarea de soluții IT&C, în funcție de gradul de vulnerabilitate și gradul de risc identificate în timpul auditului informatic și offline, potrivit prevederilor GDPR. Măsurile pot viza inclusiv neconformități ale sistemului fizic de securitate (camere video, securizarea arhivei fizice, restricționarea accesului în companie).  

Măsuri organizatorice

Măsurile organizatorice incluse în GDPR includ:

  • reducerea volumului de date prelucrate la minimum;
  • stabilirea unor termene de păstrare a datelor personale;
  • elaborarea de instrucțiuni de lucru pentru toate activitățile de prelucrare a datelor personale;
  • adoptarea de măsuri de criptare și pseudonimizare (datele personale să nu poată fi atribuite unei persoane anume);
  • adoptarea regulamentului intern și a anexelor la contractul de muncă;
  • suport pentru evaluarea măsurilor tehnice necesare în contextul GDPR;
  • crearea și actualizarea periodică a strategiei de training GDPR la nivel de companie;
  • instruirea personalului responsabil pentru prelucrarea datelor personale (ofițerul de protecția datelor și echipa sa).

Măsuri juridice

Măsurile juridice în conformitate cu GDPR presupun:

  • redactarea de politici și proceduri de lucru;
  • actualizarea politicilor, a procedurilor și a documentației, inclusiv regulament intern, politici interne, politici online, dosare de personal etc;
  • redactarea informărilor pentru clienți, angajați, candidați;
  • evaluarea contractelor cu terții și modificarea lor în contextul GDPR;
  • revizuirea și adaptarea anexelor la contractele comerciale conform politicilor GDPR; 
  • modificarea și actualizarea politicilor de confidențialitate, politici de cookies, termeni și condiții potrivit GDPR;
  • registre GDPR;
  • rapoarte de progres;
  • metodologii, standarde și manuale de comunicare. 

Care sunt cele mai comune erori de percepție a GDPR pe care le-am întâlnit? 

„GDPR nu se aplică tuturor companiilor/persoanelor fizice”. FALS!

GDPR se aplică oricărei companii (indiferent de mărimea acesteia) care prelucrează date cu caracter personal, în desfășurarea activității sale. Mai mult, GDPR se aplică și altor organizații (de exemplu, ONG-uri) sau persoanelor fizice care prelucrează date cu caracter personal, pentru îndeplinirea unui scop profesional. 

Ca atare, chiar dacă ești freelancer, startup, IMM, corporație, asociație sau fundație și lucrezi cu angajați, colaboratori, clienți sau utilizatori (offline sau online), trebuie să respecți GDPR.

„Politicile de cookies și confidențialitate de pe site sunt suficiente”. FALS!

Politicile de pe website sunt un început bun, dar nu suficient, ca să poți fi sigur că respecți în întregime GDPR. Pe lângă aceste politici, mai sunt multe alte documente și proceduri GDPR care trebuie implementate, la nivelul organizației tale: note de informare angajați și candidați, furnizori, registre interne de prelucrare, proceduri privind breșele de securitate, contracte de transfer de date etc. 

În plus, respectarea GDPR este un demers în constantă adaptare, în funcție de evoluția organizației tale – iar dacă ești un startup care caută tărâmul magic numit product-market fit, o dată cu fiecare pivotare este posibil să fie nevoie să te repoziționezi și cu privire la maniera în care te conformezi cu GDPR. Sunt câteva arii importante care trebuie acoperite, pe care le-am sintetizat în secțiunile acestui articol.

„Riscurile sunt scăzute dacă nu sunt conform GDPR”. FALS!

ANSPDCP începe sa fie din ce în ce mai activă și rezultatele se văd. De la amenzi de câteva mii/zeci de mii de euro, până la amenzi de sute de mii de euro. În plus, dacă prelucrezi date cu caracter personal în mai multe state, autoritățile pot ajunge să colaboreze între ele, în cadrul unei investigații.

Impactul este amenda în sine, dar și pierderea reputației companiei produce o vătămare importantă, fapt ce poate atrage după sine mai puțini clienți și (implicit) vânzări mai mici. 

„Mă descurc singur, caut pe net si adaptez documentele”. FALS!

Abordarea este riscantă și consumatoare de timp. Trebuie să dedici mult efort înțelegerii terminologiei legale și personalizării documentației găsite, pentru organizația ta. Acest timp nu este deloc neglijabil – mai ales când ai de jonglat cu multe roluri în mica ta organizație – iar, la final, cea mai mică eroare poate să invalideze toată munca depusă și te poate expune și mai mult, prin iluzia unei false conformări. 

„Pot aștepta să fiu conform cu GDPR când situația financiară a organizației îmi va permite”. FALS!

GDPR are în centrul său două principii: privacy by design și privacy by default. Scopul lor este să insufle ideea că, din momentul în care îți construiești organizația, serviciile și/sau produsele pe care le vei pune pe piață, ar trebui să ai în vedere ce date prelucrezi și dacă ai cu adevărat nevoie să le prelucrezi. Din fericire, există soluții pe piață care îți permit să începi procesul de conformare cu GDPR încă din primele luni ale activității tale, fie că discutăm de produse tech sau de soluții hibrid, care implică avocați și software.

👉Vrei mai multe informații despre întocmirea politicilor GDPR? Descarcă Ghidul GDPR, pentru a vedea ce presupune punerea în practică a GDPR, pentru compania ta. 

PDF

Descarcă Ghidul GDPR


Acest articol a fost updatat cu informații actualizate, pe lângă cele adăugate inițial de Paul Băbuș .