GDPR – cele mai importante prevederi

GDPR – cele mai importante prevederi

Din 25 Mai 2018 in Romania si in restul Uniunii Europene se va aplica REGULAMENTUL (UE) 2016/679 AL PARLAMENTULUI EUROPEAN ȘI AL CONSILIULUI din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor). In continuare ne vom referi la Regulament ca GDPR.

 

Cum o spune si titlul, GDPR va inlocui Directiva 95/46/CE care in Romania este transpusa prin:

Fiind un Regulament European Romania nu este nevoita, in principiu, sa adopte legislatie pentru a implementa prevederile noii legi, ea avand efect direct. Romania poate adopta sau modifica legi pentru a se asigura ca nu exista conflicte intre noua lege si alte legi.

Vanzatorii online trebuie sa stie ca din 25 Mai 2018 au responsabilitatea de a aplica noile reguli si asta va insemna saptamani, daca nu luni de pregatiri. GDPR contine reguli mult mai detaliate. Controlorii de date si procesatorii vor avea obligatii mult mai detaliate in legatura cu documentarea operatiunilor de procesare. Fiind atat de detaliat, GDPR-ul va necesita o serie de clarificari si instructiuni pentru implementare din partea autoritatilor si asociatiilor de profil, cel mai probabil aceste documente vor fi elaborate in 2017.

 

Aveti mai jos un top al celor mai importante prevederi din GDPR: 

 

  •  Consimtamantul (Consent): Regulile priving consimtamantul se vor schimba acesta va fi obligatoriu explicit si specific pentru operatiunea de procesare – consumatorul trebuie sa actioneze pentru consimtamant, opusul  – si in acelasi timp limitat/proportional cu scopul procesarii (nu poti cere consimtamantul pentru orice fel de procesare, acesta trebuie sa fie clar si limitat/proportional cu tipul de date/tipul de procesare). In principiu controlorii de date nu pot colecta si procesa mai multe date decat pentru ce este nevoie in scopul declarat si legal al procesarii.
  • Validitatea consimtamantului: Consimtamantul poate fi retras, trebuie sa fie liber, valid, informat si pro-activ. GDPR aduce un set de conditii pentru validitatea consimtamantului ce includ si lipsa de echilibru in pozitii.
  • Consimtamantul pentru copii: Pt persoanele sub 16 ani (dar nu sub 13 ani – decizie a statelor member) nu poate fi obtinut consimtamantul direct.
  • Profiling: In cazul in care consumatorul este supus unor decizii automate fara efect legal – sau fara un efect similar al efectelor legale (in cazul angajarii, asigurari, etc.) consumatorul trebuie sa se poata opune acestor decizii si sa obtina interventia unui operator uman. In cazul in care efectele procesarii sunt efecte legale sau semnificative, procesarea pt profiling trebuie sa se bazeze pe consimtamantul consumatorului.
  • Direct Marketing: GDPR permite procesarea pentru direct marketing atat timp cat consumatorul beneficiaza de un system opt-out.
  • Documentare: GDPR cere documentarea operatiunilor de procesare.
  • Responsabilitati: In cazul in care controlorul lucreaza cu procesatori, controlorul are responsabilitatea sa se asigure ca procesatorii au mijloacele necesare pentru a respecta prevederile legale.
  • Responsabil pt protectia datelor: In cazul in care operatiunile de procesare includ  procesarea de date sensibile sau in cazul care procesarea implica monitorizarea unui numar mare de subiecti, companiile sunt obligate sa numeasca un responsabil pentru protectia datelor.
  • Legitimate interest: Una din cele 6 baze legale pentru procesarea datelor este interesul legitim. Acesta poate fi folosit pentru procesare si de catre terti.
  • Risky processing: In principiu este interzisa prelucrarea de date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate și prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viața sexuală sau orientarea sexuală ale unei persoane fizice. GDPR prevede un numar de scenarii unde procesarea de astfel de date este permisa, cu un numar de precautii. In unele cazuri controlorul de date trebuie sa consulte chiar si publicul cu privire la efectul operatiunilor inainte de a procesa datele.
  • Codes of conduct:  GDPR permite ca site-urile sa foloseasca metode alternative de informare cum ar fi icons. In acelasi timp GDPR se bazeaza pe coduri de bune practici care pot fi dezvoltate de asociatii cum ar fi ARMO.
  • Breach notification: Operatorii sunt obligati sa tina un jurnal al incidentelor under datele (siguranta si integritatea) ar fi putut fi compromise. In unele cazuri exista o obligatie de a raporta aceste incidente autoritatilor si consumatorilor in 72 de ore.

 

Articol realizat de ARMO in colaborare cu EMOTA.

No Comments

Post a Comment

Comment
Name
Email
Website