GDPR IMPLEMENTARE, EXTERNALIZARE

Ce este GDPR

GDPR este un acronim al Regulamentului Uniunii Europene privind protecţia datelor cu personal ce urmează în intre în vigoare la 25 mai 2018. Regulamentul introduce în premieră în dreptul român o serie de drepturi ale persoanei, corelativ cu o serie de obligaţii ale persoanelor juridice care operează sau procesează date cu caracter personal. Prin date cu caracter personal se înţeleg orice date pe baza căreia poate fi identificată o persoană, inclusiv numele, CNP-ul sau adresa acesteia. Unele date privitoare la o persoană, precum cele privind starea sa de sănătate, antecedenţa penală, apartenenţa la un grup dezavorizat etc. sunt considerate date sensibile şi se bucură de o protecţie sporită.

Noile obligaţii impuse prin Regulament vor afecta toate persoanele care operează cu astfel de date, dar mai ales pe cele care operează cu date sensibile (clinici medicale, farmacii, instituţii şcolare, notarii şi avocaţii etc.) sau pe cele care operează cu astfel de date prin natura afacerii (companii de recrutare, magazine online etc.).

Aplicabilitate

Regulamentul este aplicabil prelucrării datelor cu caracter personal, efectuată total sau parțial prin mijloace automatizate, precum și neautomatizate. Acesta sa va aplica aproape oricărei activităţi de prelucrare de date personale. Aplicarea Regulamentului se întinde asupra prelucrării datelor cu caracter personal în cadrul activităților unui sediu al unui operator sau al unei persoane împuternicite de operator pe teritoriul Uniunii, indiferent dacă prelucrarea are loc sau nu pe teritoriul Uniunii. De asemenea, Regulamentul se aplică prelucrării datelor cu caracter personal ale unor persoane vizate care se află în Uniune de către un operator sau o persoană împuternicită de operator care nu este stabilit(ă) în Uniune, atunci când activitățile de prelucrare sunt legate de: (a) oferirea de bunuri sau servicii unor persoane vizate din Uniune; (b) monitorizarea comportamentului lor, dacă acesta se manifestă în cadrul Uniunii.În concluzie, Regulamentul se va aplica aproape oricărei organizaţii care, fie este stabilită în Uniunea Europeană, fie oferă bunuri sau servicii, sau monitorizează comportamentul persoanelor din Uniunea Europeană, chiar dacă respectiva organizaţie nu are sediul în Uniune.

Ce presupune

GDPR stabileşte o nouă viziune asupra datelor cu caracter personal şi anume: persoana vizată este proprietarul datelor sale personale şi orice operator care le prelucrează este, de fapt, un custode al acestor date. Dacă prelucrarea datelor se face în altă parte, cel ce face prelucrarea este împuternicit (procesator) al operatorului. Răspunderea privind protecţia datelor este a operatorului, chiar dacă prelucrările sunt efectuate de către împuternicit. Amenzile prevazute pentru nerespectarea acestui Regulament nu sunt deloc de neglijat. Din acestă viziune rezultă drepturile personei vizate şi obligaţiile operatorului de date. Pentru a putea prelucra datele cu caracter personal operatorul trebuie sa aibă consimţământul persoanei vizate. Acest consimţământ nu este necesar în anumite situatii reglementate legislativ sau pentru executarea unor contracte, dacă datele reţinute sunt minimale. Persona vizată are dreptul de acces (cum/unde/de ce sunt prelucrate), dreptul de a corecta datele, dreptul de a-şi retrage acordul, dreptul de a fi uitat (ştergerea tuturor datelor), dreptul la portabilitatea datelor (transferul datelor într-o formă structurată care să permită preluarea automată de către alt operator). Operatorul trebuie să asigure măsuri de securitate a informaţiilor care să nu permită pierderi de date sau accesul persoanelor neautorizate la acestea.