După ce ai aflat despre GDPR din ultimul nostru articol, a venit momentul să știi mai multe despre procesarea datelor personale și cui i se adresează noile reguli.
Cui i se aplică GDPR?
Răspunsul cel mai scurt la această întrebare este că regulile cuprinse în GDPR li se adresează tuturor celor care procesează datele personale ale cetățenilor europeni.
Operatorii pot fi indivizi sau companii din mediul public sau privat, de pe teritoriul UE sau chiar din afara acestui spațiu (dacă oferă bunuri sau servicii cetățenilor europeni).
Ce înseamnă ‘date personale’?
Ca să știi dacă te încadrezi în această definiție, mai întâi trebuie să știi ce sunt datele personale.
Datele personale sunt acele informații privind o persoană fizică, care pot duce, în mod direct sau indirect, la identificarea acelei persoane.
Tot date personale sunt și informațiile parțiale care pot duce la identificarea unei persoane numai atunci când sunt analizate împreună cu alte seturi de date.
Exemple de date personale:
- adresa, inclusiv cea de email sau adresa IP
- numele, prenumele
- numărul unui card nominal
- informații medicale
Ce înseamnă ‘procesarea datelor personale’?
Procesarea datelor personale înseamnă una sau mai multe dintre următoarele activități:
colectarea, înregistrarea, organizarea, structurarea, arhivarea, adaptarea, alterarea, recuperarea, consultarea, folosirea, divulgarea, transmiterea, diseminarea, combinarea, restricționarea, ștergerea sau distrugerea datelor personale ale persoanelor fizice.
Activități prin care se procesează date personale:
- alcătuirea unei baze de date ce conține date personale
- trimiterea de email-uri promoționale
- postarea pe Internet a unei imagini în care apare o persoană
- stocarea de adrese IP
- înregistrări video în care apar persoane
- colectarea datelor personale ale propriilor angajați
Care sunt excepțiile?
Regulile GDPR nu li se aplică celor care procesează datele personale ale persoanelor juridice sau ale persoanelor fizice decedate.
Nici persoanele fizice care procesează date în scop personal (spre exemplu lista de contacte din căsuța personală de mail) nu vor fi afectate. Numai activitățile profesionale sau comerciale sunt supuse noilor reglementări.
De asemenea, datele personale care au devenit anonime în mod ireversibil în urma prelucrării sunt exceptate de la regulile GDPR.
În schimb, dacă informațiile au fost doar încriptate sau dacă procedura este reversibilă, datele încă ar mai putea fi folosite pentru a identifica persoane.
Dacă firma ta are angajați, ți se aplică GDPR
Ca să știi cu certitudine dacă regulile GDPR ți se adresează, este suficient să analizezi activitatea firmei tale și să verifici toate modalitățile prin care activitatea ta ar putea să implice procesarea datelor cu caracter personal. Dar dacă firma ta are angajați, ești obligat să te conformezi noilor reguli.
Motivul este simplu. Dacă folosești Registrul General de Evidență a Salariaților (Revisal), înseamnă că prelucrezi datele personale ale propriilor angajați. De aceea, prevederile GDRP ți se adresează în mod direct.
Chiar dacă în această clipă nu te numeri printre operatorii direct vizați de GDPR, ar fi totuși indicat să ții cont de noile reguli. Dacă vei începe să prelucrezi vreodată informații cu caracter personal, vei intra automat în incidența GDPR, fără să-ți dai măcar seama.
Urmărește seria noastră de articole privind protecția datelor personale. Avem chiar și câteva propuneri legate de măsurile pe care le poți lua cât mai curând pentru a proteja datele cu caracter personale ale clienților și angajaților tăi. Iar pentru alte știri din domeniul legal în online, apasă aici.
Referinte:
- Comisia Europeană – despre Protecția Datelor cu Caracter Personal
- Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal – ANSPDCP
- Regulamentul UE 2016/679
Află mai mult despre GDPR
Motive pentru amenzi GDPR
Măsuri speciale de securitate GDPR
GDPR – efecte după intrarea în vigoare
Ce obligații prevede GDPR?
Ce drepturi prevede GDPR?
Ți se aplică regulile GDPR?
Ai auzit de GDPR?
Ce este și ce nu este o „breșă de securitate”
Schemă nemțească: plătești 977€/an pentru ceva ce probabil nu-ți trebuie
Buna ziua! Articolul dvs imi pare bine explicat si observ ca e si documentat.
Vad pareri diverse, tocmai de aia poate ma ajutati sa imi elucidez o nelamurire. Am un BLOG, postez pe el atat articole personale, cat si publicitare. Stochez datele abonatilor prin casuta de comentarii si cea de newsletter. Nu am organizat inca concursuri, dar posibil sa fie pe viitor.
Deci, trebuie sa ma aliniez la normele GDPR? Majoritatea celor cu blog vad ca si-au implementat pe website-uri tot felul in acest sens (checkbox de consimtire, pop-up de cookie etc). Cea legata de cookie-uri o voi instala si eu oricum.
Cu respect,
Camelia
Bună ziua, Camelia, și mulțumim pentru mesaj.
Formularele pentru comentarii solicită adresa de e-mail, care este considerată a fi în categoria datelor cu caracter personal (pentru că în multe cazuri, după adresa de e-mail se poate identifica persoana, mai ales că blogurile stochează concomitent și IP-ul și chiar fotografia persoanei care comentează – gravatarul, de exemplu). Abonarea la newsletter solicită cel puțin adresa de e-mail. Prin urmare, în mod cert blogul colectează și stochează date cu caracter personal.
Dacă articolele publicitare publicate pe blog sunt parte a unei activități comerciale (presupunem că nu sunt pro-bono, ci sunt remunerate), iar site-ul colectează datele abonaților la newsletter și ale celor care lasă comentarii, trebuie respectat GDPR. Important este însă faptul că GDPR nu interzice prelucrarea datelor cu caracter personal, ci obligă operatorii să fie transparenți (adică să anunțe persoanele vizate cu privire la datele colectate și asupra scopului colectării), să nu colecteze mai multe date decât este necesar (de exemplu, pentru a trimite un newsletter nu este nevoie de nume, ci doar de adresa de e-mail) și să se asigure că datele sunt păstrate în siguranță.
Dificultatea aplicării regulamentului apare din cauză că trebuie să poată fi demonstrate faptul că persoanele vizate au fost informate (de aici, căsuțe care trebuie bifate, link către politica de confidențialitate în orice formular care solicită date cu caracter personal și așa mai departe) și faptul că datele sunt păstrate în siguranță, iar motivele pentru care datele sunt colectate trebuie argumentate .
Atenție la checkbox (să nu fie gata bifat), atenție la codurile de tracking (să fie actualizate), atenție la politica de confidențialitate (să menționeze ce date se colectează, de ce, cum se prelucrează, cum sunt păstrate în siguranță)… și ar trebui să fie OK.
Mult succes!