GDPR: ce este, norme de implementare, prevederi legale

În ultimii ani, Regulamentul General privind Prelucrarea Datelor cu Caracter Personal s-a transformat în, probabil, cea mai cunoscută reglementare, indiferent că am avut nevoie să înțelegem cum să o respectăm sau pentru că, pur și simplu, am auzit de la prieteni sau cunoștințe că au de implementat conformitatea cu Regulamentul. Iar dacă denumirea de la început te-a băgat în ceață, poate acronimul GDPR te ajută să-ți dai seama despre ce vorbim.

De la intrarea în vigoare a GDPR, au apărut articole, analize ori investigații, în România sau în alte state membre UE, și experți care se concentrează exclusiv pe aplicabilitatea și rezolvarea problemelor rezultate din aplicarea GDPR. Cu toate acestea, conformitatea cu GDPR pentru antreprenori sau firme mici și medii e încă un mister, mai ales dacă azi, când citești acest articol, faci primii pași în noul tău business. Așa că, la Digital 2 Law, ne-am gândit să creăm un ghid care sintetizează experiența noastră practică de lucru cu startup-uri și companii din zona de tehnologie pe probleme derivate din GDPR.


Pe scurt

  • Mai întâi, cum a apărut GDPR?
  • Cui se adresează GDPR
  • Ce obligații impune GDPR
  • Ce sancțiuni riscă persoanele care nu se conformează cu prevederile GDPR
  • Cum implementezi GDPR în afacerea ta

Mai întâi, cum a apărut GDPR?

GDPR (General Data Protection Regulation sau, în română, Regulamentul General privind Protecția Datelor) a intrat în vigoare la 25 mai 2018 și a fost conceput pentru a aduce într-un singur loc toate drepturile cetățenilor rezidenți ai UE  în legătură cu modul în care organizațiile prelucrează și utilizează datele lor cu caracter personal.

GDPR este cea mai cuprinzătoare legislație privind protecția datelor cu caracter personal elaborată la nivel mondial până în prezent și cuprinde reguli stricte privind modul în care organizațiile ar trebui să gestioneze datele cu caracter personal.

Citește și Proprietatea intelectuală | Particularități pentru business-urile cu mai mulți asociați

Cui se adreseaza GDPR

GDPR se aplică pentru două categorii de entități:

  • O societate care prelucrează datele cu caracter personale ca parte a activităților sale și are cel puțin o sucursală pe teritoriul Uniunii Europene, indiferent de locul în care se prelucrează datele;
  • O societate cu sediul în afara Uniunii Europene  și care oferă bunuri/servicii (gratuite sau plătite) și monitorizează datele persoanelor fizice din UE. 

La nivel mai mic, GDPR se aplică în cazul:

  • Operatorilor - entităților care stabilesc scopurile și mijloacele pentru prelucrarea datelor cu caracter personal;
  • Persoanelor împuternicite de operatori - acele persoanele care, sub regulamentul GDPR, sunt responsabile de prelucrarea datelor cu caracter personal în numele unui operator. 

Cu alte cuvinte, prevederile GDPR se aplică operatorilor și persoanelor împuternicite care activează în Uniunea Europeană, indiferent dacă sediul lor se află pe teritoriul UE sau nu. De exemplu, o companie de recrutare cu sediul în România dar care deține servere în Indonezia va trebui să pună în practică prevederile GDPR. 

Excepție de la regulamentul GDPR fac persoanele care prelucrează date cu caracter personal în scop de punere în aplicare a legii sau securitate națională. La acestea se adaugă prelucrarea datelor exclusiv pentru activități personale sau gospodărești. În general, dacă în bazele de date ale firmei există informații personale despre clienți, cel mai probabil trebuie să respecți prevederile GDPR. 

O altă excepție vizează companiile care își desfășoară activitatea și procesarea datelor în afara UE și oferă produse/servicii persoanelor din afara Uniunii Europene. În acest caz, nu ești supus regulilor GDPR. 

Pe de altă parte, în urma intrării în vigoare a prevederilor GDPR din 2018, regulamente similare au început să fie implementate în țări precum Turcia, Japonia, Chile, Brazilia, Coreea de SUd, Africa de Sud, Argentina și Kenya. Deși a ieșit din Uniunea Europeană, Regatul Unit păstrează regulamentul GDPR sub numele de UK GDPR, care a intrat în vigoare pe 1 ianuarie 2021. 

În SUA există legi similare mai ales la nivel de stat și nu la nivel federal; California Consumer Privacy Act (CCPA) care a fost adoptată pe 28 iunie 2018, Consumer Data Protection Act în Virginia, adoptat în martie 2021 și Colorado Privacy Act în același an. La nivel federal, există legi pentru protecția informațiilor medicale (mai ales Health Insurance Portability and Accountability Act) și Family Educational Rights and Privacy Act (FERPA) pentru informațiile personale ale elevilor și studenților.

👉 Vrei să afli mai multe despre provocările antreprenoriatului care țin de zona juridică, administrativă și fiscală? Urmează cursul Juridic și financiar | Cum începi și administrezi o afacere pentru a afla toate informațiile de care ai nevoie într-un mod intuitiv. 

Ce obligații impune GDPR

Regulamentul GDPR impune mai multe obligații pentru companiile care procesează datele personale ale clienților. Mai jos sunt obligațiile impuse de GDPR. 

Oferirea de informații transparente

Trebuie să oferi informații clare cu privire la ce entități procesează datele cu caracter personal și de ce. Vezi care sunt informațiile minime pe care trebuie să le oferi în scopuri de GDPR:

  • Cine ești;
  • De ce prelucrezi datele personale ale clienților;
  • Care este baza legală a procesării acestor informații;
  • Cine va avea acces la date (persoane și/sau alte companii).

În unele cazuri informarea oferită trebuie să includă și:

  • Datele de contact pentru persoana care se ocupă de GDPR (data protection officer);
  • Ce măsuri se aplică în cazul transferului de date spre o țară din afara spațiului comunitar (dacă este cazul);
  • Cât timp vor fi păstrate aceste date;
  • Drepturile indivizilor cu privire la accesul datelor (inclusiv drepturi de acces, corectare, ștergere, restricție, portabilitate);
  • În ce condiții se poate retrage consimțământul;
  • Dacă există o obligație statutară sau contractuală de a furniza datele.

Reguli speciale pentru copii

Dacă folosești informații cu caracter personal de la un copil, de exemplu, pentru descărcare și folosirea unei aplicații sau a unei platforme de social media, GDPR prevede că trebuie să obții consimțământul părintelui. Vârsta până când o persoană este considerată copil diferă de la o zonă la alta, însă este cuprinsă între 13 și 16 ani. 

Acces și portabilitate

Ca firmă ești obligată prin regulamentul GDPR să te asiguri că oamenii au acces gratuit și neîngrădit la datele lor personale. La orice solicitare din partea unei persoane ale cărei date se află în posesia ta trebuie să oferi informații precum:

  • Dacă le prelucrezi datele personale;
  • Motivul pentru prelucrarea datelor, ce categorii de informații sunt vizate, ce alte persoane sau firme au acces la informațiile personale;
  • O copie a datelor personale prelucrate de tine, într-un format ușor accesibil. 

Atunci când prelucrarea datelor are loc pe baza consimțământului conform prevederilor GDPR sau a unui contract, individul poate solicita returnarea datelor personale sau transmiterea lor unei alte companii (dreptul de portabilitate). În acest caz, regulamentul GDPR spune că trebuie să le transmiți într-un format ușor de citit de om sau de computer. 

Corectare sau obiecție

Dacă o persoană crede că datele personale sunt incorecte, incomplete sau neconforme, are dreptul și tu ești obligat conform GDPR să îi oferi dreptul de a completa sau rectifica datele fără întârzieri nejustificate. De asemenea, potrivit GDPR trebuie să anunți toți utilizatorii dacă datele care au ajuns la tine au suferit schimbări. Dacă datele personale prelucrate de tine au fost incorecte, ești obligat potrivit GDPR să informezi orice persoană sau companie implicată. 

Totodată, orice individ poate obiecta, în orice moment, ca tu să prelucrezi datele personale pentru o anumită utilizare atunci când compania le procesează pentru un anumit scop sau în scop public. Cu excepția cazului în care datele personale au o utilizare legitimă în conformitate cu prevederile GDPR și esențială pentru funcționarea businessului, ești obligat să încetezi prelucrarea datelor personale respetive.  

Similar, regulamentul GDPR prevede că o persoană poate solicita restricționarea prelucrării datelor personale dacă interesul companiei este mai presus decât al individului. Cu toate acestea, în cazul marketingului, ești obligat de prevederile GDPR să încetezi prelucrarea datelor la solicitarea directă a persoanei.

Ștergerea datelor (dreptul de a fi uitat)

În unele situații, anumiți indivizi pot solicita ștergerea datelor personale.De exemplu, atunci când informațiile nu mai sunt necesare pentru scopul procesării lor. Cu toate acestea, compania nu este obligată să șteargă datele în următoarele cazuri:

  • Prelucrarea este necesară pentru a respecta libertatea de expresie și informare, cum este prevăzut în GDPR;
  • Trebuie să păstrezi informațiile personale pentru a-ți respecta obligațiile legale;
  • Alte motive de interes public pentru a păstra datelor personale, precum cercetare științifică, de sănătate sau istorică.

Breșe de securitate

Breșele de securitate se referă la momentele în care datele personale pentru care ești responsabil sunt făcute publice accidental sau intenționat unor părți neautorizate, devin temporar indisponibile sau sunt alterate. 

Conform GDPR, ești obligat să anunți Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) în maximum 72 de ore de la detectarea breșei. În funcție de riscul existent, compania poate fi obligată, potrivit GDPR, și să dezvăluie aceste informații persoanelor ale căror date au fost afectate. 

Răspunsul la solicitări

Dacă primești o cerere prin care o persoană își cere drepturile asupra datelor personale prelucrate de compania ta, ești obligat potrivit prevederilor GDPR să răspunzi fără întârziere și în maximum o lună de la solicitare.

Perioada se poate prelungi la două luni, așa cum arată și prevederile GDPR, dacă cererea este complexă sau necesită mai multe activități consumatoare de timp. Acest lucru trebuie făcut public și solicitantului. De asemenea, astfel de solicitări trebuie rezolvate în mod gratuit.

Dacă cererea este respinsă, regulamentul GDPR spune că trebuie să informezi persoana cu privire la motivele respingerii și ești obligat să îi spui că are dreptul să depună o plângere la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal. 

Păstrarea unor copii ale datelor personale

Deseori este necesar să dovedești că datele cu caracter personal sunt prelucrate conform prevederilor GDPR și respectă toate obligațiile, mai ales atunci când sunt solicitate în timpul unei inspecții a Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal. Informațiile păstrate trebuie să conțină următoarele tipuri de date:

  • Numele și datele de contact ale firmei care se ocupă cu prelucrarea datelor;
  • Motivele pentru a prelucra datele cu caracter personal;
  • Descrierea categoriilor de persoane care oferă date personale;
  • Entitățile care au acces la datele personale;
  • Transferul datelor personale într-o altă companie sau țară (dacă este cazul);
  • Durata de păstrare a datelor personale;
  • Descrierea măsurilor de securitate puse în aplicare în prelucrarea datelor personale.

O altă obligație GDPR a companiilor vizează întocmirea unor proceduri sau ghiduri pentru a reacționa prompt la fiecare solicitare precum și însușirea acestor documente de către angajați. 

Ce sancțiuni riscă persoanele care nu se conformează cu prevederile GDPR

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) implementează regulamentul GDPR și se ocupă de domeniul protecției datelor personale, realizează inspecții, evaluează și aplică sancțiuni acolo unde este cazul. Potrivit regulamentului UE nr. 679/2016 există un avertisment și două praguri de amendă:

  • Pragul 1 - amenzi administrative mai mici de 10.000.000 euro sau până la 2% din cifra de afaceri în cazul încălcării obligațiilor potrivit articolelor nr. 8, 11, 25-39, 42, 43 din GDPR;
  • Pragul 2 - amenzi administrative până la 20.000.000 de euro sau până la 4% din cifra de afaceri pentru următoarele încălcări: 
    • Principii de bază pentru prelucrarea datelor personale inclusiv condițiile privind consimțământul (articolele nr. 5,6,7 și 9 din GDPR);
    • Drepturile persoanelor ale căror date personale sunt prelucrate (articolele nr. 12-22 din GDPR);
    • Transferul datelor personale către o persoană sau firmă dintr-o țară din afara UE sau o organizație internațională (articolele nr. 44-49 din GDPR);
    • Nerespectarea ordinelor ANSPDCP (articolul nr. 52 din GDPR);
    • Obligații referitoare la protecția datelor personale reglementate la nivel național (articolele nr. 85-91 din GDPR).

Se consideră contravenție potrivit GDPR și se sancționează cu amenzi de până la 20 de milioane de euro următoarele:

  • Prelucrarea datelor privind sănătatea, datele genetice, datele biometrice (articolul nr. 3 din Legea nr. 190/2018 privind măsuri de punere în aplicare a GDPR);
  • Prelucrarea unui număr de identificare național (articolul nr. 4 din Legea nr. 190/2018 privind măsuri de punere în aplicare a GDPR);
  • Prelucrarea datelor personale în relațiile de muncă (articolul nr. 5 din Legea nr. 190/2018 privind măsuri de punere în aplicare a GDPR);
  • Prelucrarea datelor personale și date personale din categorii speciale pentru a îndeplini sarcini în interes public (articolul nr. 6 din Legea nr. 190/2018 privind măsuri de punere în aplicare a GDPR);
  • Prelucrarea datelor personale în scopuri jurnalistice, academice, literare sau artistice (articolul nr. 7 din Legea nr. 190/2018 privind măsuri de punere în aplicare a GDPR);
  • Prelucrarea datelor personale în scopuri de cercetare științifică sau istorică, statistică sau arhivare în interes public (articolul nr. 8 din Legea nr. 190/2018 privind măsuri de punere în aplicare a GDPR);
  • Prelucrarea datelor personale de către partidele politice și organizațiile aparținând minorităților naționale precum și de către organizațiile neguvernamentale (articolul nr. 9 din Legea nr. 190/2018 privind măsuri de punere în aplicare a GDPR).

Având în vedere că orice firmă se poate confrunta cu un partener, client, concurent sau chiar un angajat mai puțin mulțumit, oricare dintre aceste categorii de persoane poate sesiza autoritățile pentru o inspecție care să vadă modul de implementare a politicilor GDPR. 

O altă variantă des întâlnită în ultimii ani este atacul cibernetic. Să luăm un exemplu simplu. Primești un email cu antetul sau ceea ce pare a fi antetul unui partener de afaceri și, fără a citi cu atenție, te poți alege cu un virus care îți afectează întreaga bază de date. În lipsa unor măsuri tehnice adecvate, vei fi obligat să anunți ANSPDCP în maximum 72 de ore de la incident iar autoritățile vor verifica modalitatea de implementare a prevederilor GDPR. 

În general, termenul de răspuns la solicitarea autorităților este de cinci zile lucrătoare. Un timp suficient pentru a realiza politica GDPR și pentru a o implementa, ți-ai putea spune, însă pentru o implementare adecvată a regulamentului GDPR este nevoie de câteva săptămâni sau chiar luni. Foarte important, întârzierea răspunsului la solicitarea ANSPDCP va costa compania 3.000 lei pentru fiecare zi de întârziere. 

Cum implementezi GDPR în afacerea ta

Implementarea GDPR pentru compania ta implică o serie de măsuri de natură tehnică, organizatorică și juridică. 

Măsuri tehnice

Este recomandată implementare de soluții IT&C în funcție de gradul de vulnerabilitate și gradul de risc identificat în timpul auditului informatic și offline potrivit prevederilor GDPR. Măsurile pot viza inclusiv neconformități ale sistemului fizic de securitate (camere video, securizarea arhivei fizice, restricționarea accesului în companie). 

Măsuri organizatorice

Măsurile organizatorice incluse în regulamentul GDPR includ:

  • Reducerea volumului de date prelucrate la minimum;
  • Stabilirea unor termene de păstrare a datelor personale;
  • Elaborarea de instrucțiuni de lucru pentru toate activitățile de prelucrare a datelor personale;
  • Adoptarea de măsuri de criptare și pseudonimizare (datele personale să nu poate fi atribuite unei persoane anume);
  • Adoptarea regulamentului intern și a anexelor la contractul de muncă;
  • Suport pentru evaluarea măsurilor tehnice necesare în contextul GDPR;
  • Crearea și actualizarea periodică a strategiei de training GDPR la nivel de companie;
  • Instruirea personalului responsabil pentru prelucrarea datelor personale (ofițerul de protecția datelor și echipa sa).

Măsuri juridice

Măsurile juridice în conformitate cu GDPR presupun:

  • Redactarea de politici și proceduri de lucru;
  • Actualizarea politicilor, a procedurilor și a documentației, inclusiv regulament intern, politici interne, politici online, dosare de personal etc;
  • Redactarea informărilor pentru clienți, angajați, candidați;
  • Evaluarea contractelor cu terții și modificarea lor în contextul GDPR;
  • Revizuirea și adaptarea anexelor la contractele comerciale conform politicilor GDPR;
  • Modificarea și actualizarea politicilor de confidențialitate, politici de cookies, termeni și condiții potrivit GDPR;
  • Registre GDPR;
  • Rapoarte de progres;
  • Metodologii, standarde și manuale de comunicare. 

Care sunt cele mai comune erori de percepție a GDPR pe care le-am întâlnit? 

„GDPR nu se aplică tuturor companiilor” - FALS

GDPR se aplică oricărei companii (indiferent de mărimea acesteia) care prelucrează date cu caracter personal în desfășurarea activității sale. Mai mult, GDPR se aplică și altor organizații (de exemplu, ONG-uri) sau persoanelor fizice care prelucrează date cu caracter personal pentru îndeplinirea unui scop profesional. 
Ca atare, chiar dacă ești freelancer, start-up, IMM sau corporație, ba chiar asociație sau fundație, și lucrezi cu angajați, colaboratori, clienți sau utilizatori (offline sau online), trebuie să respecți GDPR.

„Politicile de cookies și confidențialitate de pe site sunt suficiente” - FALS

Politicile de pe site-ul organizației tale sunt un început bun, dar nu suficient ca să poți fi sigur că respecți GDPR în întregime. Pe lângă aceste politici, mai sunt multe alte documente și proceduri GDPR ce trebuie implementate la nivelul organizației: note de informare angajați și candidați, furnizori, registre interne de prelucrare, proceduri privind breșele de securitate, contracte de transfer de date și așa mai departe. În plus, respectarea GDPR e un demers în constantă adaptare, în funcție de evoluția organizației tale – iar dacă ești un startup care caută tărâmul magic numit product-market fit, o dată cu fiecare pivotare e posibil să fie nevoie să te repoziționezi și cu privire la maniera în care te conformezi cu GDPR. Sunt câteva arii importante ce trebuie acoperite pe care le-am sintetizat în secțiunile acestui articol.

„Riscurile sunt scăzute dacă nu sunt conform GDPR” - FALS

Autoritatea română de protecție a datelor (ANSPDCP) începe sa fie din ce în ce mai activă și rezultatele se văd. De la amenzi de câteva mii/zeci de mii de euro pană la amenzi de sute de mii. În plus, dacă prelucrezi date cu caracter personal în mai multe state, autoritățile pot ajunge să colaboreze între ele în cadrul unei investigații.
Impactul poate să fie pe de o parte amenda în sine, însă și pierderea reputației companiei produce o vătămare importantă, fapt ce poate atrage după sine mai puțini clienți și implicit vânzări mai mici. 

„Mă descurc singur, caut pe net si adaptez documentele” - FALS

Abordarea este riscantă și consumatoare de timp. Trebuie să-ți dedici mult efort pentru înțelegerea terminologiei legale și personalizarea documentației găsite pentru organizația ta. Acest timp nu este deloc neglijabil – mai ales când ai de jonglat cu multe roluri în mica ta organizație - iar la final, cea mai mică eroare poate să invalideze toată munca depusă și te poate expune și mai mult prin iluzia unei false conformări. 

„Pot aștepta să fiu conform cu GDPR când situația financiară a organizației îmi va permite” - FALS

GDPR are în centrul său două principii: privacy by design și privacy by default. Scopul lor este să insufle ideea că, din momentul în care îți construiești organizația, serviciile și/sau produsele pe care le vei pune pe piață, ar trebui să ai în vedere ce date prelucrezi și dacă ai cu adevărat nevoie să le prelucrezi. Din fericire, există soluții pe piață care îți permit să începi procesul de conformare cu GDPR încă din primele luni ale activității sale, fie că discutăm de produse tech sau de soluții hibrid care implică avocați și software.

👉Vrei mai multe informații despre întocmirea politicilor GDPR? Descarcă Ghidul GDPR pentru a vedea ce presupune punerea în practică a GDPR pentru compania ta. 

PDF

Descarcă Ghidul GDPR


Acest articol a fost updatat cu informații actualizate, pe lângă cele adăugate inițial de Paul Băbuș .    

Newsletter-ul Startarium. Citește sinteza lunară direct pe e-mail