In acest material, ne-am hotarat sa scoatem la iveala adevarul si sa dam la o parte aura de mister din jurul acestui topic.

Pregatit? Bun, atunci sa incepem!

Insa inainte de toate, vreau sa stii ca acest material trebuie tratat cu scop informativ, in cele mai multe cazuri va fi nevoie sa ai o discutie cu un jurist / avocat sau orice alt tip de consultant legal daca ai nevoie de un sfat de specialitate avizat, care sa-ti raspunda in mod specific la intrebarile tale, ca sa fii in regula din toate punctele de vedere.

Ok, toate bune si frumoase, insa ce este mai exact acest GDPR si in ce consta cu adevarat?

GDPR – Implica la baza un set nou de reguli si reglementari ce se aplica firmelor ce preiau datele oamenilor din Uniunea Europeana. Scopul acestei legi este sa protejeze consumatorii, si sa-I asigure ca datele lor sunt in siguranta, caci de la marele tam-tam facut pe seama Cambridge Analytica (probabil stii cazul cu Facebook), oamenii au devenit din ce in ce mai suspiciosi atunci cand cineva le culege datele cu caracter personal.

 Traim intr-o era unde la majoritatea tranzactiilor, datele noastre sunt colectate, date precum:

  • CNP
  • Adresa
  • Nume complet
  • Sex

La baza, aceasta lege noua data doreste ca toate datele sa fie asimilate intr-un mod cat mai transparent si corect, apoi cand sunt colectate si prelucrate, sa fie criptate si bine protejate.

Cel ce colecteaza datele, e nevoie sa informeze utilizatorul cu privire la modul in care informatiile sale vor fi utilizate, mai exact, care este scopul si cu ce il ajuta pe acesta.

Ex. Din cadrul Facebook, ei sustin ca partea de colectari de date cu caracter personal ii ajuta la o mai buna recomandare de noi reclame. Pana la urma, acesta este modelul lor de Business, Advertising, si se intelege de la sine oarecum.

Inca un aspect important in ceea ce priveste datele, este ca acestea trebuie sa fie actualizate la zi, si corecte.

Asadar, daca esti un om integru si tii la confidentialitatea datelor oamenilor, ai nevoie sa implementezi cativa pasi usori si rapizi.

gdpr

Primul pas il constituie informarea (sa intelegi ce date detii, cum si unde sunt procesate) cu privire la:

  • Ce date personale detin si unde sunt ele localizate?
  • De unde provin aceste date personale si cine are acces la ele?
  • Cui apartin aceste date personale? Aici le clasifici in categorii precum: clienti, angajati sau furnizori.
  • Care este scopul acestor date?
  • Cat timp sunt pastrate si cand pot fi sterse?
  • De unde pot fi accesate aceste date?
  • Care este suportul pe care sunt pastrate aceste date?

Ulterior, este necesar sa stii ca odata ce scopul colectarii datelor este atins, acestea trebuie sa fie sterse.

La momentul de fata, lucrurile se impart in urmatoarele categorii:

  • Inactiv: datele exista insa nu sunt supuse procesarii.
  • In asteptare: datele sunt marcate spre stergere, insa sunt in continuare in sistem.
  • Arhivat: Datele sunt mutate intr-un alt sistem la care au acces doar anumite persoane.
  • Stergere definitiva: Datele sunt sterse si nu mai pot fi recuperate.

Trebuie sa stii ca data de expirare trebuie pregatita si aprobata. Pentru data de expirare ar trebui sa raspunzi la urmatoarele intrebari:

  • Ce actiune va fi executata de indata ce s-a depasit data de retentie a datelor?
  • Cine va intreprinde o astfel de actiune?
  • Decizia de stergere este reversibila sau ireversibila?
  • Cine va fi notificat cand aceasta decizie este luata?
  • Cum vor fi documentate aceste actiuni? (Asta este foarte important deoarece, la cerere, se poate solicita dovada stergerii).

gdpr_2

Ulterior, GDPR impune ca pentru procesarea datelor personale sa obtii consimtamantul. Spre deosebire de practicile din trecut, consimtamantul nu poate fi obtinut prin casute subintelese, ambiguitati, casute prebifate sau lucruri de acest gen, numai merge asa….

Iata asadar care sunt aspectele importante, stabilite de GDPR:

  • Consimtamantul trebuie sa fie pentru un scop specific
  • Consimtamantul sa fie dat in mod liber
  • Consimtamantul sa fie lipsit de ambiguitate
  • Consimtamantul sa nu fie obtinut in schimbul furnizarii unui produs sau serviciu
  • Consimtamantul trebuie sa fie clar si sunt interzise casutele prebifate
  • Furnizorul datelor personale sa poata retrage consimtamantul oricand
  • Consimtamantul trebuie sa fie verificabil (acest lucru este usor in mediul digital in functie de uneltele pe care le folosesti)

Cu toate acestea sunt situatii cand consimtamantul nu este necesar:

  • Cand exista o intelegere contractuala unde datele personale sunt necesare pentru a-l duce la bun sfarsit. (de exemplu un contract de asigurare)
  • Cand actiunea este luata pentru a proteja datele clientului (de exemplu criptarea)
  • Cand actionezi in interesul individului (de exemplu un angajat are un atac de cord si suni la ambulanta unde ii furnizezi datele personale)

Mai departe, vom vorbi despre drepturi pe care le au indivizii si anume…primul se refera la acela de a fi informat. Aceste inseamna sa spui totul clar pe fata, cu privire la cum datele vor fi procesate. Utilizatorii e necesar sa stie politica de confidentialitate a datelor, inainte sa fie de acord.

Ulterior, compania ta e obligata sa ofere dreptul de access al utilizatorului la datele lui.

Insa, in acelasi timp, individul ar trebuie sa fie clar informat de existenta acestei politici de confidentialitate. Utilizatorul mai are de asemenea drept de rectificare, ce presupune modificarea informatiilor. Utilizatorul poate ridica obiectii si restrictiona prelucrarea datelor, iar cand acest lucru se intampla, datele raman in firma, insa nu pot fi procesate.

Utilizatorul are drept la portarea datelor intr-un mod gratuit, mai exact, furnizarea datelor in format electronic, fie ca vorbim de un excel csv, pdf etc.

Utilizatorul are drept ca datele sale sa fie sterse din sistem daca acesta solicita si are un motiv valid.

Urmatorul pas se refera la transfer, iar GDPR afirma ca atunci cand 2 firme se ocupa de partea de procesari de date, ambele raspund in mob egal ca si responsabilitati, fie ca vorbim de inter-companii sau terte parti.

Scopul acestui pas este de a organiza procesarea datelor care nu sunt realizate in compania ta. Asta include date administrare de terte parti, sau de inter companii.

Cand se face referire la terte parti, e nevoie sa incluzi in contract urmatoarele:

  • Definirea si clasificarea datelor personale
  • Lista tipului de date personale si a categoriilor de date personale
  • Un acord de respectare a regulilor GDPR
  • Definirea responsabilitatilor pentru Controlor si Procesator
  • Obligatii pentru Procesator (de a utiliza datele personale doar cu sopul mentionat in contract, de a oferi protectie si de a preveni accidente care duc la pierderea sau distrugerea datelor personale ori la accesul neautorizat)
  • Obligatia Procesatorului de a nu transfera datele personale fara acordul Cotrolorului
  • Obligatia Procesatorului de a anunta Controlorul de accidente care au dus la pierderea sau distrugerea datelor sau care au condus la accesul neautorizat al altor persoane. In aceasta situatie Procesatorul (terta parte) este responsabil.
  • Obligatia ca Procesatorul sa anunte Controlorul de orice solicitare de dezvaluire a datelor
  • Obligatia ca Procesatorul sa stearga toate datele (cu exceptia cazului in care legea impune altfel) de indata ce contractul a luat sfarsit.

Ulterior, vorbim despre transparenta.

Pentru a demonstra aceasta, ai nevoie de o Declaratie de confidentialitate. Aceasta trebuie scrisa intr-un limbaj simplu si sa raspunda la urmatoarele intrebari:

  • Ce date personale ai despre mine?
  • De ce detii aceste date?
  • Ce faci cu aceste date personale? Cu alte cuvinte, in ce scop folosesti aceste date? Chiar ai nevoie de toate datele colectate?
  • Sunt aceste date impartasite cu terte parti? Daca da, cu cine?
  • Ce faci cu datele cand nu mai sunt relevante?
  • Cum respecti confidentialitatea si protectia datelor?
  • Care sunt drepturile mele? (le-am mentionat la pasul 4)
  • Cui ma adresez daca ami mai multe intrebari sau daca vreau sa depun o plangere?

Ultimul pas il presupune sustenabilitatea.

GDPR doreste sa se asigure ca actualizezi continuu acesti pasi si cunosti regulie.

In viziunea GDPR, presupune sa privesti in perspectiva, dincolo de scopul actual al proiectului si sa iti raspunzi la urmatoarele 3 intrebari:

  • Cum va respecta compania mea regulile GDPR?
  • Care sunt actiunile necesare pentru a ma asigura de respectarea lor si pe viitor?
  • Cine se va ocupa de asta si cum voi putea monitoriza aceste actiuni?

Asa cum am spus si la inceputul materialului, aceste date au scop informativ, ca sa fii in regula 100%, sfatul nostru este sa vorbesti cu cineva din domeniul legal, juridic.

Leave a Reply