Obligațiile operatorilor de date personale

Ce obligații prevede GDPR?

În ultimul articol din seria despre GDPR am discutat despre noile drepturi ale cetățenilor europeni. Însă la fel de importante sunt și obligațiile operatorilor de date personale din Europa. Dacă te numeri printre operatorii vizați de regulile GDPR, este important să știi ce schimbări va aduce aplicarea Regulamentului în România.

Obligațiile operatorilor de date personale

Obligația privind transparența

Operatorii de date personale vor fi obligați să asigure transparența procesului de prelucrare a datelor. Asta înseamnă în primul rând că operatorii vor arăta în ce scop și în ce temei prelucrează date cu caracter personal.

Însă operatorii vor fi obligați să recunoască și ce tipuri date cu caracter personal prelucrează și să dezvăluie către cine divulgă datele respective, dacă este cazul.

Responsabilizarea operatorilor de date

Atunci când prelucrarea datelor personale presupune riscuri considerabile pentru viața privată a persoanelor vizate, datele sunt considerate sensibile.

În astfel de situații, operatorii au obligația să realizeze un studiu de impact. Rolul studiului este să identifice mai întâi riscurile specifice și apoi soluțiile posibile. Astfel se va împiedica producerea unor situații nedorite.

Printre obligațiile operatorilor de date personale se numără și obligația de a realiza o analiză de necesitate în cazul datelor sensibile. Asta înseamnă că înainte de a solicita date sensibile, operatorul trebuie să verifice cât de necesare sunt cu adevărat acele date. Firește, analiza de necesitate trebuie să aibă în vedere scopul urmărit prin prelucrarea datelor.

În cazul în care prelucrarea datelor sensibile nu poate fi evitată, operatorul trebuie să fie pregătit pentru riscurile ce pot apărea. Spre exemplu, operatorul trebuie să se asigure că datele sensibile nu vor fi dezvăluite în mod neautorizat, accidental sau ilicit către terți. Așadar operatorul nu se va limita să protejeze datele doar la nivel de principiu. Operatorul va trebui să ia măsuri tehnice concrete (proceduri interne) în acest scop.

Cu alte cuvinte, operatorul este obligat să se asigure că procesarea datelor cu caracter personal nu aduce atingere vieții private a persoanei în cauză.

Proceduri specifice referitoare la minori

Regulamentul stabliește reguli specifice privind viața privată a minorilor, mai ales privind activitatea lor în mediul online.

Prelucrarea datelor personale va fi permisă numai în cazul minorilor care au împlinit vârsta de 16 ani. Iar pentru minorii cu vârsta sub acest prag, va fi necesar consimțământul adultului. Este vorba despre consimțământul persoanei care are răspunderea părintească (poate fi vorba despre părintele copilului sau despre tutore).

Responsabilul pentru protecția datelor

Printre acțiunile pe care trebuie să le întreprindă operatorii de date personale se numără și numirea, obligatorie (în cazul companiilor mari, de exemplu) sau recomandată (în cazul companiilor mici, care nu procesează date sensibile), a unei persoane responsabile cu protecția datelor. Rolul DPO-ului (Data Proection Officer) este să ofere consultanță privind respectarea regulilor GDPR. În plus, DPO-ul se asigură că procedurile privind prelucrarea datelor personale se desfășoară în condiții de transparență.

Privacy by Design & Privacy by Default

Privacy by design se referă la dezvoltatorii de aplicații. Dacă aplicațiile aflate în curs de dezvoltare urmează să prelucreze în viitor date personale, proiectarea lor trebuie să țină cont de regulile GDPR.

Privacy by default se referă la furnizorii de aplicații. Setările inițiale ale aplicațiilor care prelucrează date cu caracter personal trebuie să le permită utilizatorilor un anumit grad de control. Aceștia trebuie să decidă singuri ce postează și ce informații împărtășesc cu ceillați utilizatori.

Astfel, utilizatorii sunt liberi să împărtășească mai multe informații decât li se solicită prin setările inițiale însă această alegere trebuie făcută în mod liber și în cunoștință de cauză. Utilizatorii nu trebuie să fie obligați să dezvăluie informații în plus doar ca să poată începe să folosească aplicația.

Proximitatea față de persoana vizată

Când operatorul se află într-un alt stat decât cel în care se află persoana vizată, autoritatea de supraveghere din statul persoanei vizate va funcționa ca punct de contact (numit și interlocutor).

Dacă prelucrarea datelor privește persoane din mai multe state membre UE, fiecare persoană se va putea adresa autorității de supraveghere din țara sa de domiciliu sau de reședință.

One Stop Shop

One Stop Shop reprezintă posibilitatea operatorilor care desfășoară activități în mai multe state europene de a opta pentru un interlocutor unic la nivelul UE.

Asta înseamnă că operatorii internaționali vor putea să trateze cu o singură autoritate de supraveghere – și anume, cea din statul membru în care se află sediul principal al operatorului.

Cooperarea consolidată a autorităților de supraveghere

În cazul prelucrării de date transnaționale (date privind persoane din mai multe state UE), autoritățile de supraveghere din statele respective vor coopera.

Scopul comun al tuturor autorităților existente la nivelul UE este respectărea dreptului la viață privată al tuturor cetățenilor europeni.

Transferul datelor în afara UE

Dacă operatorii transferă date în afara UE, obligațiile lor privind protecția datelor cu caracter rămân aceleași.

În cazul în care Comisia nu a decis că țara de destinație a transferului oferă un nivel de protecție adecvat, operatorul are câteva obligații în plus.

Astfel, operatorul va lua măsuri menite să compenseze lipsa protecției adecvate, cum ar fi:

  • acorduri administrative cu autoritățile statului terț,
  • reguli corporatiste obligatorii,
  • clauze standard de protecție a datelor,
  • coduri speciale de conduită,
  • clauze contractuale între operator sau împuternicitul acestuia și destinatarul datelor.

Acestea sunt per ansamblu obligațiile operatorilor de date personale prevăzute în Regulamentul UE. În următorul articol vom discuta despre primele măsuri pe care operatorii le pot lua pentru a respecta prevederile GDPR. Află de aici ce pași ar fi bineveniți pentru a te conforma cu noile reguli.

Referinte:

Află mai mult despre GDPR

Citește textul integral al REGULAMENTULUI (UE) 2016/679 AL PARLAMENTULUI EUROPEAN ȘI AL CONSILIULUI din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor

Măsuri speciale de securitate GDPR

Măsuri speciale de securitate GDPR

Pe lângă soluțiile pe care le-am discutat în ultimele articole, poți lua și măsuri speciale de securitate GDPR. Aceste soluții, ...
Citește Mai Mult

GDPR – efecte după intrarea în vigoare

La doar câteva zile de la termenul limită pentru aplicarea GDPR putem deja să discutăm efectele pe care le are ...
Citește Mai Mult
Obligațiile operatorilor de date personale

Ce obligații prevede GDPR?

În ultimul articol din seria despre GDPR am discutat despre noile drepturi ale cetățenilor europeni. Însă la fel de importante ...
Citește Mai Mult
Ce drepturi prevede GDPR

Ce drepturi prevede GDPR?

După ce ai aflat din ultimele noastre articole ce este GDPR și cui i se aplică noile prevederi, e momentul să afli ...
Citește Mai Mult
Procesarea datelor personale

Ți se aplică regulile GDPR?

După ce ai aflat despre GDPR din ultimul nostru articol, a venit momentul să știi mai multe despre procesarea datelor ...
Citește Mai Mult
protecția datelor personale

Ai auzit de GDPR?

Protecția datelor – un drept fundamental Știai că cetățenii europeni se bucură de protecția datelor personale? Iar acest drept este ...
Citește Mai Mult

Schemă nemțească: plătești 977€/an pentru ceva ce probabil nu-ți trebuie

E plină piața românească de diverse firme care profită acum de teama de GDPR (și o exploatează prin diverse tehnici ...
Citește Mai Mult
Ți se prelucrează ilegal datele personale?

Ți se prelucrează ilegal datele personale?

Până acum am discutat despre măsurile pe care compania ta le poate lua ca să respecte noile prevederi GDPR. Dar ...
Citește Mai Mult
Protecția datelor personale în social media

Protecția datelor personale în social media

Pentru multe afaceri, o prezență cât mai puternică în spațiul virtual poate fi secretul succesului. Însă puține companii își dau ...
Citește Mai Mult
Protecția internă a datelor personale

Protecția internă a datelor personale

În ultimele articole am discutat despre primii pași pe care orice companie ar fi bine să-i facă în vederea GDPR ...
Citește Mai Mult

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

Te rugăm să citești politica de confidențialitate și cookies, iar dacă ești de acord și accepți să primești comunicări pe e-mail de la WEBGROW, inclusiv comunicări comerciale, te rugăm bifează mai jos: