Regulamentul general privind protecția datelor stabilește cerințe detaliate pentru companii și organizații în ceea ce privește colectarea, stocarea și gestionarea datelor cu caracter personal. Cerințele se aplică organizațiilor europene care prelucrează date cu caracter personal ale persoanelor din UE și organizațiilor din afara UE care vizează persoanele care trăiesc în UE.

pune

Când se aplică regulamentul general privind protecția datelor?

Regulamentul general privind protecția datelor se aplică atunci când:

  • compania dumneavoastră prelucrează date cu caracter personal și are sediul în UE, indiferent de locul în care are loc prelucrarea efectivă a datelor,
  • compania dvs. este stabilită în afara UE, dar prelucrează date cu caracter personal în legătură cu oferta de bunuri sau servicii către persoane fizice din UE sau monitorizează comportamentul persoanelor din UE.

Întreprinderile din afara UE și procesează datele cetățenilor UE, aceștia trebuie să îi numească reprezentant în UE.

Atunci când nu se aplică regulamentul general privind protecția datelor?

Regulamentul general privind protecția datelor nu se aplică atunci când:

  • persoana în cauză este moartă,
  • persoana în cauză este o persoană juridică,
  • prelucrarea este efectuată de o persoană care acționează în scopuri care nu au legătură cu meseria, afacerea sau profesia sa.

Ce sunt informațiile personale?

Datele personale sunt toate informațiile despre o persoană identificată sau identificabilă, numite și ele persoana în cauză. Datele personale includ informații precum:

  • Nume,
  • abordare,
  • Număr OP/pașaport,
  • sursa de venit,
  • profil cultural,
  • adresa de protocol internet (IP),
  • date deținute de un spital sau medic (care identifică individual o persoană în scopuri medicale).

Categorii speciale de date

Este posibil să nu prelucrați informații personale despre:

  • origine rasială sau etnică,
  • orientarea sexuală,
  • Opinii Politice,
  • credințe religioase sau filosofice,
  • apartenență la sindicat,
  • informații genetice, biometrice sau de sănătate, cu excepția cazurilor specifice (de exemplu, dacă ați primit consimțământul explicit sau prelucrarea este necesară din motive de interes public imperativ în conformitate cu legislația UE sau națională),
  • vinovat de infracțiuni și contravenții, cu excepția cazului în care este permis de legislația UE sau națională.

Cine prelucrează datele cu caracter personal?

În timpul prelucrării, datele personale pot fi transmise prin diferite companii sau organizații. În cadrul acestui ciclu, există două profiluri principale care se ocupă cu prelucrarea datelor cu caracter personal:

  • Operator - decide asupra scopului și modului în care sunt prelucrate datele cu caracter personal.
  • Agent - stochează și prelucrează date în numele operatorului.

Cine monitorizează modul în care datele personale sunt prelucrate în cadrul companiei?

Este responsabil de monitorizarea prelucrării datelor cu caracter personal și de furnizarea de informații și sfaturi angajaților care prelucrează datele cu caracter personal în legătură cu atribuțiile lor. o persoană responsabilă care poate fi desemnată de companie. Persoana responsabilă cooperează, de asemenea, cu autoritatea pentru protecția datelor, servind ca punct de contact pentru autoritatea pentru protecția datelor și a persoanelor.

Când trebuie să numiți o persoană responsabilă?

Compania dvs. este obligată să numească o persoană responsabilă dacă:

  • monitorizează în mod regulat sau sistematic persoane sau prelucrează categorii specifice de date,
  • această procesare este principala activitate de afaceri,
  • prelucrează date pe scară largă.

De exemplu, dacă procesați informații personale pentru a viza publicitatea în căutare pe baza comportamentului oamenilor pe Internet, vi se cere să identificați o persoană responsabilă. Cu toate acestea, dacă trimiteți materiale promoționale clienților dvs. doar o dată pe an, nu este nevoie să aveți o persoană responsabilă. În mod similar, dacă sunteți medic și primiți informații despre sănătatea pacientului, probabil că nu este nevoie să aveți o persoană responsabilă. Cu toate acestea, dacă procesați date personale de genetică sau de sănătate pentru un spital, atunci vi se cere să aveți o persoană responsabilă.

Persoana responsabilă poate fi un angajat al organizației dvs. sau o persoană externă în baza unui contract de servicii. Persoana responsabilă poate fi o persoană sau o parte a unei organizații.

Prelucrarea datelor pentru o altă companie

Operatorul poate folosi doar un intermediar care oferă garanții suficiente, care ar trebui să facă parte dintr-un contract scris între părțile implicate. De asemenea, contractul trebuie să conțină mai multe clauze obligatorii, cum ar fi că intermediarul va prelucra datele cu caracter personal numai dacă operatorul îi va solicita acest lucru.

Transfer de date în afara UE

Atunci când transferați date cu caracter personal în afara UE, datele ar trebui să fie protejate în continuare prin Regulamentul general privind protecția datelor. Aceasta înseamnă că, dacă vă exportați datele în străinătate, compania dvs. trebuie să se asigure că este respectată una dintre următoarele măsuri:

  • Protecția datelor aplicată într-o țară din afara UE este considerată adecvată din perspectiva UE.
  • Compania dvs. va lua măsurile necesare pentru a asigura garanții adecvate, precum clauze speciale în baza unui contract convenit cu o entitate din afara UE care importă date cu caracter personal.
  • Compania dvs. face motive speciale pentru transfer (abateri), cum ar fi consimțământul persoanei.

Când este permisă prelucrarea datelor?

În conformitate cu normele UE privind protecția datelor, ar trebui să prelucrați datele în mod echitabil și legal în scopuri specifice și legitime și să prelucrați numai datele necesare pentru îndeplinirea acestui scop. Prelucrarea datelor cu caracter personal necesită îndeplinirea uneia dintre următoarele condiții:

  • tu ai consimţământ persoana în cauză,
  • aveți nevoie de date personale pentru a le îndeplini obligatii contractuale împotriva persoanei în cauză,
  • datele personale pe care trebuie să le respectați obligatie legala,
  • aveți nevoie de date cu caracter personal pentru protecție interese vitale persoana în cauză,
  • prelucrați date personale în scopuri de performanță sarcini în interes public,
  • acționezi în interese legitime drepturile și libertățile fundamentale ale persoanei căreia îi sunt prelucrate datele. Dacă drepturile persoanei vizate depășesc interesele companiei dvs., este posibil să nu prelucrați datele personale în cauză.

Consimțământul pentru prelucrarea datelor

Conform Regulamentului general privind protecția datelor, regulile stricte se aplică prelucrării datelor de consimțământ. Scopul acestor reguli este asigurați-vă că persoana în cauză își înțelege consimțământul. Aceasta înseamnă că consimțământul ar trebui dat într-un mod gratuit, concret, informat și fără echivoc, pe baza unei cereri clare și simple. Consimțământul trebuie acordat sub formă de consimțământ, cum ar fi bifând o casetă de pe site sau semnând un formular.

Dacă cineva își dă consimțământul pentru prelucrarea datelor sale personale, puteți prelucra aceste date numai în scopurile pentru care a fost acordat consimțământul. De asemenea, trebuie să permiteți revocarea consimțământului dat.

Furnizarea de informații transparente

Trebuie să oferiți persoanelor informații clare despre cine își procesează datele personale și de ce. Informațiile trebuie să includă cel puțin următoarele:

  • Cine ești tu,
  • de ce prelucrați date cu caracter personal,
  • care este temeiul legal,
  • (posibil) cine obține aceste date.

În unele cazuri, informațiile furnizate trebuie să includă, de asemenea:

  • datele de contact ale oricărei persoane responsabile,
  • ce interes legitim urmărește compania, dacă acesta este un motiv legal pentru prelucrarea datelor,
  • măsurile aplicate transferurilor de date către o țară din afara UE,
  • cât timp vor fi păstrate datele,
  • drepturi individuale de protecție a datelor (adică dreptul de acces, rectificare, ștergere, restricție, obiecție, portabilitate etc.)
  • modul în care consimțământul poate fi revocat (dacă consimțământul este un motiv legal pentru prelucrare),
  • dacă există o obligație legală sau contractuală de a furniza datele,
  • în cazul unei decizii automatizate, informații despre procedura utilizată, semnificația și consecințele pentru decizia respectivă.

Informațiile furnizate ar trebui să fie clare și simple.

Reguli speciale pentru copii

Dacă primiți date personale de la un copil cu consimțământul dvs., de exemplu în legătură cu utilizarea unui cont de social media sau a unui cont de descărcare, trebuie mai întâi să obțineți consimțământul părinților, de exemplu. prin trimiterea unei notificări către părinte sau tutore. Vârsta la care o persoană este considerată copil depinde de locul de reședință, dar variază între 13 și 16 ani.

Dreptul de acces și dreptul de portabilitate a datelor

Trebuie să vă asigurați că toți indivizii le au dreptul la acces gratuit la datele dvs. personale. Dacă primiți o astfel de solicitare, trebuie să:

  • spuneți dacă prelucrați datele sale personale,
  • furnizați detalii despre prelucrare (scopul prelucrării, categoriile de date cu caracter personal în cauză, destinatarii datelor etc.),
  • furnizați o copie a datelor cu caracter personal procesate (într-un format accesibil).

Dacă prelucrarea se bazează pe consimțământ sau pe un contract, persoana vizată poate solicita returnarea datelor sale personale sau transferul acestora către o altă companie. Aceasta se numește dreptul la portabilitatea datelor. Ar trebui să furnizați datele într-un format utilizat în mod obișnuit și care poate fi citit de mașină.

Dreptul de rectificare și dreptul de a obiecta

Dacă cineva este convins că datele sale personale sunt incorecte, incomplete sau inexacte, are dreptul de a asigura reparații fără întârziere nejustificată.

În acest caz, ar trebui să anunțați toți destinatarii cu privire la datele cărora le-au fost furnizate astfel de date personale, cu privire la orice modificări sau ștergeri. Dacă oricare dintre informațiile personale pe care le furnizați mai jos au fost incorecte, este posibil să vi se solicite să anunțați pe oricine a intrat în contact cu acestea (cu excepția cazului în care este vorba de eforturi nejustificate).

Individual de asemenea, poate obiecta în orice moment asupra prelucrării datelor sale personale pentru un scop specific atunci când compania dvs. le prelucrează pe baza interesului dvs. legitim sau în contextul unei sarcini de interes public. Dacă nu aveți un interes legitim care depășește interesul unei persoane, trebuie să încetați prelucrarea datelor cu caracter personal.

În mod similar, o persoană vă poate cere să limitați prelucrarea datelor dvs. personale până când se stabilește dacă interesul dvs. legitim depășește interesul său. Cu toate acestea, în cazul marketingului direct, sunteți întotdeauna obligat să opriți prelucrarea datelor cu caracter personal dacă persoana respectivă solicită acest lucru.

Dreptul de ștergere (dreptul de a fi uitat)

În anumite circumstanțe, o persoană poate solicita operatorului să își șteargă datele personale, de exemplu dacă aceste date nu mai sunt necesare pentru a îndeplini scopul prelucrării. Cu toate acestea, compania dvs. nu este obligată să o facă dacă:

  • prelucrarea este necesară în scopul respectării libertății de exprimare și a dreptului la informație,
  • trebuie să păstrați aceste date cu caracter personal pentru a vă respecta obligațiile legale,
  • există și alte motive de interes public pentru păstrarea acestor date cu caracter personal, cum ar fi sănătatea publică sau în scopul cercetării științifice sau istorice,
  • trebuie să păstrați aceste date personale în scopul dovedirii unei cereri legale.

Luare automată de decizii și profilare

Indivizii au dreptul de a nu fi supus unei decizii bazate exclusiv pe prelucrarea automată. Cu toate acestea, există unele excepții de la această regulă, de exemplu, dacă și-au dat consimțământul explicit pentru o decizie automată. Cu excepția cazului în care soluția automatizată se bazează pe orice legislație, compania dvs. trebuie:

  • furnizați persoanei informații despre luarea automată a deciziilor,
  • acordați individului dreptul de a revizui această decizie automată de către o persoană,
  • oferiți individului posibilitatea de a face apel împotriva unei decizii automate.

De exemplu, dacă o bancă își automatizează decizia cu privire la acordarea sau nu a unui împrumut unei persoane fizice, persoana respectivă ar trebui să fie informată că decizia este automatizată și să poată face apel împotriva deciziei și să solicite intervenția umană.

Încălcări de date - furnizarea unei notificări adecvate

O încălcare a datelor are loc atunci când datele cu caracter personal pentru care sunteți responsabil, fie accidental, fie ilegal, sunt furnizate destinatarilor neautorizați., accesul la acestea va fi blocat sau modificat temporar.

Dacă apare o încălcare a datelor și încălcarea prezintă un risc pentru drepturile și libertățile persoanelor, ar trebui să anunțați Autoritatea pentru Protecția Datelor în termen de 72 de ore de la conștientizarea încălcării.

În funcție de faptul dacă această încălcare a datelor prezintă un risc ridicat pentru persoanele afectate, companiei dumneavoastră li se poate cere să informeze toate persoanele afectate.

Răspuns la solicitări

Dacă compania dvs. primește o cerere de la o persoană care dorește să își exercite drepturile, trebuie să răspundeți la cerere fără întârzieri nejustificate și, în orice caz, în termen de o lună de la primirea cererii. Termenul de răspuns poate fi prelungit cu două luni în cazul cererilor complexe sau multiple, cu condiția ca individul să fie informat despre această prelungire. Cererile ar trebui tratate gratuit.

Dacă cererea este respinsă, trebuie să informați persoana cu privire la motivele respingerii și cu privire la dreptul său de a depune o reclamație la Autoritatea pentru Protecția Datelor.

Evaluări de impact

Efectuarea unei evaluări a impactului asupra protecției datelor este obligatorie ori de câte ori este planificată prelucrarea datelor a prezentat un risc ridicat pentru drepturile și libertățile persoanelor, de ex. când se utilizează noi tehnologii.

Un risc atât de mare există dacă:

  • procesarea automată a datelor și mecanisme de profilare sunt utilizate pentru a evalua indivizii,
  • un loc accesibil publicului este monitorizat în mare măsură (de exemplu, de un sistem de camere),
  • categoriile speciale de date sau datele personale referitoare la infracțiuni de vinovăție și infracțiuni (de exemplu, date de sănătate) sunt prelucrate pe scară largă.

Notă: Autoritățile de protecție a datelor cu caracter personal pot include alte categorii de prelucrare a datelor cu risc ridicat.

Dacă măsurile identificate pe baza evaluării impactului asupra protecției datelor nu reușesc să elimine toate riscurile ridicate identificate, autoritatea pentru protecția datelor cu caracter personal va fi consultată înainte de a avea loc prelucrarea planificată a datelor.

Păstrarea evidenței

Trebuie să puteți demonstra că compania dvs. respectă regulamentul general privind protecția datelor și îndeplinește toate obligațiile aplicabile - în special la cerere sau ca parte a unei inspecții de către o autoritate de protecție a datelor.

O modalitate de a face acest lucru este de a păstra evidențe detaliate ale unor aspecte precum:

  • numele și datele de contact ale companiei dvs. de prelucrare a datelor,
  • motiv (e) pentru prelucrarea datelor cu caracter personal,
  • o descriere a categoriilor de persoane care furnizează date cu caracter personal,
  • categorii de organizații care primesc date cu caracter personal,
  • transferul de date cu caracter personal către o altă țară sau organizație,
  • perioada de păstrare a datelor cu caracter personal,
  • o descriere a măsurilor de securitate utilizate în prelucrarea datelor cu caracter personal.

Compania dvs. ar trebui să aibă la dispoziție proceduri și instrucțiuni scrise, să le actualizeze în mod regulat și să le familiarizeze cu angajații.

Avertizare

În cazul în care compania dvs. este o IMM sau o microîntreprindere, nu trebuie să țineți evidența activităților de prelucrare decât dacă:

  • nu sunt efectuate regulat,
  • nu afectează drepturile sau libertățile persoanelor în cauză,
  • nu se referă la date sensibile sau înregistrări păstrate în cazierul judiciar.

Protecția datelor proiectată special și standard

Protecția datelor proiectată special Aceasta înseamnă că compania dvs. ar trebui să ia în considerare protecția datelor în primele etape ale planificării unui nou mod de prelucrare a datelor cu caracter personal. În conformitate cu acest principiu, operatorul trebuie să ia toate măsurile tehnice și organizatorice necesare pentru a pune în aplicare principiile protecției datelor și protecția drepturilor persoanelor. Astfel de pași ar putea include, de exemplu, utilizarea pseudonimizării.

Protecția standard a datelor Acest lucru înseamnă că compania dvs. ar trebui să furnizeze întotdeauna setări implicite care să țină cont cât mai mult de confidențialitate. De exemplu, dacă sunt posibile două tipuri de setări de confidențialitate, dintre care unul nu permite accesul la datele personale ale celorlalți, acesta ar trebui utilizat ca setare implicită.

Încălcări de reguli și sancțiuni

Nerespectarea regulamentului general privind protecția datelor poate duce la o amendă ridicată de până la 20 de milioane EUR sau 4% din cifra de afaceri totală a companiei dvs. pentru unele încălcări. Autoritatea pentru protecția datelor poate impune măsuri corective suplimentare, cum ar fi să vă ordone să încetați prelucrarea datelor cu caracter personal.