GDPR 2020. Intrebari si probleme la care avem raspunsuri si solutii (I)

  1. Home Consultanță GDPR 2020. Intrebari si probleme la care avem raspunsuri si solutii (I)
  • Post by :
  • Date :

GDPR 2020. Intrebari si probleme la care avem raspunsuri si solutii (I)

Ai intrebari cu privire la GDPR? Ti-a creat Regulamentul probleme? Iata raspunsuri si solutii gratuite pe care le poti pune in practica. Aceasta este partea intai a ghidului cuprinzator privind GDPR cu informatii gratuite. Partea a II-a este disponibila AICI!

Afla acum tot ce tine de GDPR si fii in permanenta cu un pas in fata. 

Cui i se aplica GDPR?

GDPR se aplica in cazul:

  • unei societati sau unei entitati care prelucreaza date cu caracter personal ca parte a activitatilor uneia dintre sucursalele sale cu sediul in UE, indiferent unde are loc prelucrarea datelor; sau
  • unei societati care are sediul in afara UE si ofera bunuri/servicii (contra cost sau gratuit) sau monitorizeaza comportamentul unor persoane fizice din UE.

In cazul in care societatea dvs. este o intreprindere mica sau mijlocie (IMM) care prelucreaza date conform descrierii de mai sus, trebuie sa respectati GDPR. Cu toate acestea, daca prelucrarea datelor cu caracter personal nu constituie o parte esentiala a derularii activitatilor comerciale, iar activitatea dvs. nu creeaza riscuri pentru persoanele fizice, atunci nu vi se aplica unele obligatii din GDPR [de exemplu, numirea unui responsabil cu protectia datelor (RPD)]. Retineti ca „activitatile principale” ar trebui sa includa activitati in cadrul carora prelucrarea de date reprezinta o parte inseparabila a activitatii operatorului sau a persoanei imputernicite de operator.

Exemplu cand se aplica GDPR
Societatea dvs. este o societate mica din domeniul invatamantului superior, cu activitate online si sediu in afara UE. Aceasta vizeaza in principal universitatile de limba spaniola si portugheza din UE. Ea ofera consultanta gratuita cu privire la mai multe cursuri universitare, iar studentii au nevoie de un nume de utilizator si o parola pentru a accesa materialele dvs. online. Societatea aloca numele de utilizator si parola dupa ce studentii completeaza un formular de inscriere.

Exemplu cand nu se aplica GDPR
Societatea dvs. este un furnizor de servicii cu sediul in afara UE. Ea ofera servicii unor clienti din afara UE. Clientii dvs. pot utiliza aceste servicii cand calatoresc in alte tari, inclusiv pe teritoriul UE. Atat timp cat serviciile prestate de societatea dvs. nu se adreseaza in mod specific persoanelor fizice din UE, societatea nu face obiectul normelor GDPR. 

Se aplica GDPR in cazul IMM-urilor?

Da, aplicarea regulamentului privind protectia datelor nu depinde de marimea societatii/organizatiei dvs., ci de natura activitatilor pe care le desfasurati. Activitatile care prezinta riscuri ridicate pentru drepturile si libertatile persoanelor fizice, indiferent daca sunt desfasurate de catre un IMM sau de catre o corporatie, atrag aplicarea unor norme mai stringente. Cu toate acestea, unele obligatii prevazute de GDPR nu li se aplica tuturor IMM-urilor.

De exemplu, societatile cu mai putin de 250 de angajati nu au obligatia sa pastreze evidente ale activitatilor lor de prelucrare decat daca prelucrarea datelor cu caracter personal este o activitate regulata, reprezinta o amenintare la adresa drepturilor si a libertatilor persoanelor fizice sau se refera la date sensibile ori la caziere judiciare.

Tot astfel, IMM-urile au obligatia de a numi un responsabil cu protectia datelor numai daca prelucrarea reprezinta activitatea lor principala si daca aceasta implica anumite amenintari la adresa drepturilor si a libertatilor persoanelor fizice (cum ar fi monitorizarea persoanelor fizice sau prelucrarea unor date sensibile ori a unor caziere judiciare), in special pentru ca se desfasoara la scara larga. 


Evitati amenzi uriase apeland la serviciile oferite de PortalProtectiaDatelor.ro! In Portal sunt postate zilnic intrebari noi, cu solutiile aferente!


Normele in vigoare se aplica in cazul datelor societatilor comerciale?

Conform articolelor 1, 2 si 3 din Regulamentul GDPR, normele se aplica numai datelor cu caracter personal privind persoanele fizice si nu reglementeaza datele referitoare la societati sau la alte entitati juridice. Cu toate acestea, informatiile legate de societati alcatuite dintr-o singura persoana pot constitui date cu caracter personal daca permit identificarea unei persoane fizice. Normele se aplica, de asemenea, tuturor datelor cu caracter personal referitoare la persoane fizice in cadrul unei activitati profesionale, cum ar fi angajatii unei societati/organizatii, precum adresele de e-mail de afaceri ca „prenume.nume@societate.eu” sau numerele de telefon ale angajatilor.

In ce conditii pot prelucra date personale si care sunt acestea?

Tipul si cantitatea de date cu caracter personal pe care societatea/organizatia are dreptul sa le prelucreze depind de motivul pentru care sunt prelucrate (temeiul juridic in cauza) si de scopul in care sunt prelucrare. Societatea/organizatia trebuie sa respecte mai multe norme-cheie, inclusiv urmatoarele:

  • datele cu caracter personal trebuie prelucrate intr-un mod legal si transparent, garantand echitatea in ceea ce priveste persoanele fizice ale caror date cu caracter personal sunt prelucrate („legalitate, echitate si transparenta”);
  • trebuie sa existe scopuri specifice ale prelucrarii datelor si societatea/organizatia trebuie sa informeze persoanele fizice in legatura cu scopurile respective atunci cand le colecteaza date cu caracter personal. Societatea/organizatia nu poate colecta pur si simplu date cu caracter personal in scopuri nedefinite („limitari legate de scop”);
  • societatea/organizatia trebuie sa colecteze si sa prelucreze numai acele date cu caracter personal care sunt necesare pentru indeplinirea scopului respectiv („reducerea la minimum a datelor”);
  • societatea/organizatia trebuie sa se asigure ca datele cu caracter personal sunt exacte si actualizate, avand in vedere scopurile pentru care sunt prelucrate, si sa fie corectate in caz contrar („exactitate”);
  • societatea/organizatia nu are dreptul sa utilizeze datele cu caracter personal in alte scopuri care nu sunt compatibile cu scopul initial;
  • societatea/organizatia trebuie sa se asigure ca datele cu caracter personal nu sunt stocate mai mult timp decat este necesar pentru scopurile in care au fost colectate („limitari legate de stocare”);
  • societatea/organizatia trebuie sa prevada garantii tehnice si organizationale adecvate care sa asigure securitatea datelor cu caracter personal, inclusiv protectia impotriva prelucrarii neautorizate sau ilegale si impotriva pierderii, a distrugerii sau a deteriorarii accidentale, prin luarea de masuri tehnologice adecvate („integritate si confidentialitate”).

Exemplu
Societatea/organizatia dvs. administreaza o agentie de turism. Cand obtineti date cu caracter personal ale clientilor dvs., ar trebui sa le explicati intr-un limbaj clar si simplu de ce aveti nevoie de datele respective, cum le veti utiliza si cat timp intentionati sa le pastrati. Prelucrarea ar trebui adaptata la principiile-cheie de protectie a datelor.

Pot fi prelucrate datele indiferent de scop?

Nu! Scopul in care sunt prelucrate datele cu caracter personal trebuie cunoscut, iar persoanele fizice ale caror date le prelucrati trebuie informate. Nu puteti mentiona pur si simplu ca se vor colecta si prelucra date cu caracter personal. Acesta este principiul „limitarilor legate de scop”.

Putem folosi date in alt scop fata de cel declarat in clar?

Da, dar numai in unele cazuri. Daca societatea/organizatia dvs. a colectat date in baza unui interes legitim, a unui contract sau a unor interese vitale, le puteti folosi in alt scop, dar numai dupa ce va asigurati ca noul scop este compatibil cu scopul initial.

Trebuie luate in considerare urmatoarele aspecte:

  • legatura dintre scopul initial si scopul nou/viitor;
  • contextul in care au fost colectate datele (care este relatia dintre societatea/organizatia dvs. si persoana fizica in cauza?);
  • tipul si natura datelor (sunt acestea sensibile?);
  • posibilele consecinte ale prelucrarii ulterioare preconizate (cum vor influenta acestea persoana fizica in cauza?);
  • existenta unor garantii adecvate (cum ar fi criptarea sau pseudonimizarea).

Daca societatea/organizatia dvs. doreste sa utilizeze datele pentru statistici sau pentru cercetare, nu este obligatoriu sa testeze compatibilitatea.

Daca societatea/organizatia dvs. a colectat date in temeiul unui consimtamant sau al unei cerinte legislative, nu este posibila nicio prelucrare ulterioara care depaseste domeniile acoperite de consimtamantul initial sau de dispozitia legislativa. Prelucrarea ulterioara ar necesita obtinerea unui nou consimtamant sau un nou temei juridic.

Exemplu cand este posibila prelucrarea ulterioara
O banca are un contract cu un client pentru a-i oferi clientului un cont bancar si un imprumut de nevoi personale. La sfarsitul primului an, banca utilizeaza datele cu caracter personal ale clientului pentru a verifica daca acesta este eligibil pentru un tip de imprumut mai avantajos si pentru un sistem de economii. Banca informeaza clientul. Banca poate prelucra din nou datele clientului, deoarece noile scopuri sunt compatibile cu scopul initial.

Exemplu cand nu este posibila prelucrarea ulterioara
Aceeasi banca doreste sa transmita datele clientului unor firme de asigurari, in temeiul aceluiasi contract pentru constituirea unui cont bancar si acordarea unui imprumut de nevoi personale. Aceasta prelucrare nu este permisa fara consimtamantul explicit al clientului, deoarece scopul nu este compatibil cu scopul initial in care au fost prelucrate datele.


Aveti o nelamurire legata de GDPR si de obligatiile dvs.? Obtineti raspunsul in doar 3 pasi! DA, e chiar atat de simplu! 


Cat de multe date personale se pot colecta?

Datele cu caracter personal ar trebui prelucrate numai atunci cand nu este posibila in mod rezonabil efectuarea prelucrarii in alt mod. Daca este posibil, este preferabil sa se utilizeze date anonime. In cazul in care sunt necesare date cu caracter personal, acestea ar trebui sa fie adecvate, relevante si limitate la ceea ce este necesar in scopul respectiv („reducerea la minimum a datelor”). In calitate de operator, societatii/organizatiei dvs. ii revine responsabilitatea de a evalua ce volum de date este necesar si de a se asigura ca nu se colecteaza date irelevante. 

citeste continuarea aici >>>

Sursa: www.e-juridic.manager.ro