Drepturi pentru cetățeni și lanțuri pentru companii: oferind o protecție mai solidă și fermă cetățenilor săi, EU face prin GDPR treaba mai grea tuturor firmelor ce stochează, procesează și utilizează date personale. Începând cu 25 mai 2018, folosirea oricăror date personale fără un consimțământ obținut în prealabil va duce la amenzi consistente.

Regulamentul UE privind protecția datelor (GDPR – General Data Protection Regulation) înlocuiește Directiva 95/46/CE privind protecția datelor și a fost conceput pentru a armoniza legislația privind confidențialitatea datelor în Europa, pentru a proteja și a conferi cetățenilor UE libertatea de confidențialitate a datelor și pentru a reformula modul în care organizațiile din regiune abordează datele personale.

Tot ce trebuie să știți despre GDPR pentru a rămâne în sfera legală cu acțiunile prinvind datele personale este după cum urmează:

 

  1. Aplicabilitate

Acesta se aplică începând cu 25 mai 2018 și vi se aplică dacă, fie compania dvs. e în UE, fie nu este în UE, dar vinde produse/servicii în rândul persoanelor din UE sau urmărește comportamentul persoanelor din UE.

 

  1. Dreptul la colectare

Orice date personale vor putea fi stocate și prelucrate exclusiv sub autoritatea unui consimţământ dat de persoana în caz. Prin urmare, dreptul de a colecta date personale este condiționat de un răspuns pozitiv la una dintre urmatoarele întrebări:

  1. Aveți un contract cu persoana în caz în acest sens?
  2. Faceți asta pentru a respecta o lege?
  3. Încercați să-i salvați viața?
  4. Sunteți Guvernul sau altă Autoritate a Statului și aveți un motiv bun?
  5. Aveți un motiv foarte bun pe care îl puteți documenta?

 

  1. Consimțământul valid

Este luat în considerare din punct de vedere legal doar dacă persoana care și-l exprimă are o alegere reală, iar acesta se prezintă afirmativ și clar ca o indicație liberă, specifică, informată și lipsită de ambiguitate. Este documentat, și e la fel de ușor de retras ca și cum este de dat.

 

  1. Principiile procesării de date

Aceste principii descriu justificarea scopului GDPR-ului și servesc drept bază-model pentru parcurgerea procesării de date în mod legal:

  • Legalitate: cele 5 întrebări de mai sus au un răspuns afirmativ.
  • Limitarea la scop: motivul pentru care sunt procesate datele este unicul ținut în focus.
  • Minimizarea datelor: nu colecta mai multe date decât pot fi justificate prin scop.
  • Acuratețe: nu altera datele.
  • Limitarea stocării: șterge datele când nu este nevoie de ele.
  • Securitate: nu pierde/împărtăși datele.
  • Responsabilitate: documentează și dovedește respectarea celor de mai sus.

 

  1. Sfaturi pentru cetățeni:

Fiți conștienți de drepturile pe care le aveți în calitate de cetățeni ai UE și exercitați-le cu încredere. Persoanele ale căror date sunt procesate sub consimțământul lor, au dreptul la: acces, rectificare, ștergere, restricția procesării, portarea datelor, obiectare, și dreptul de a nu fi subiectul unei decizionalități automate, inculsiv a unei profilări.

 

  1. Sfaturi pentru companii

În practică, principiile enumerate mai sus presupun o serie de acțiuni. În primul rând, stabiliți ce, de ce, cum, unde, cât timp și de către cine sunt procesate datele. Informați în prealabil persoanele ale căror date le prelucrați și obțineți consimțământul lor dacă nu-l aveți deja (cereți ajutorul departamentului vostru judiciar). Fiți conștienți de drepturile pe care le au persoanele, unele dintre acestea fiind noi. Securizați datele și asigurați-vă că notificați responsabilului cu protecția datelor orice breșă de securitate dacă este cazul. Revizuiți contractele cu furnizorii*; sunteți responsabil pentru activitatea lor.

Informarea persoanelor în legătura cu procesarea datelor lor. Ce trebuie să cuprindă o informare completă conform GDPR:

  1. Detalii despre compania dvs., a departamentului care se interesează de datele personale și DPO-ul desemnat (responsabilul cu protecția datelor), precum și datele sale de contact.
  2. Cu ce scop și pe ce bază procesați datele? Dacă sunteți sub interes legitim, și dacă da, cum de?
  3. Urmăriți să profilați persoana? Dacă da, cum?
  4. Cine altcineva va primi/va avea acces la date?
  5. Luați datele în afara UE?
  6. Cat de mult țineți datele?
  7. Ce poate persoana în caz să facă în legătură cu acest proces și cum? Oferiți aici și o cale de contact pentru cazul în dorește să ceară ștergerea sau modificarea datelor sale.

 

*Contractele cu furnizorii

Firma care lucrează cu supplieri este responsabilă pentru acțiunile acestora. Odată cu intrarea în vigoare a reglementării, contractele cu aceștia trebuie să includă instrucțiuni documentate, furnizorii trebuie de asemenea să mențină securitatea adecvată a datelor, procesorul trebuie să informeze controlorul firmei în cazul breșelor de securitate, iar personalul să semneze un acord de confidențialitate. Sub-procesarea datelor este interzisă fără un acord în prealabil.

 

  1. Contravenții și amenzi

De la avertizări și până la amenzi administrative, suspendarea flow-ului datelor către alte țări și retragerea certificărilor, contravențiile impuse de DPA (Data Protection Act) sunt orice dar nu iertătoare. Suma amenzilor variază între 10 și 20 milioane de euro, în funcție de gravitatea și amplitudinea încălcării reglementării legislative.

http://clarvision.ro/solutii/clarvision-erp/