Întrebări frecvente despre GDPR

/, GDPR/Întrebări frecvente despre GDPR

Întrebări frecvente despre GDPR

Am intrat pe site-ul eugdpr.org (https://www.eugdpr.org/gdpr-faqs.html) si am găsit un set de intrebari cu raspunsuri privitor la Regulamentul 2016/679 privitor la ce înseamnă pentru România și celelalte state UE protecția datelor cu caracter personal începând cu data de 25 mai 2018. Împărtășesc cercetarea mea cu voi:

Când se aplică GDPR?

GDPR a fost aprobat și adoptat de Parlamentul European în aprilie 2016. Regulamentul va intra în vigoare după o perioadă de tranziție de doi ani și, spre deosebire de o directivă, nu impune adoptarea de către guvern a unei legislații de abilitare; ceea ce înseamnă că va fi în vigoare în mai 2018.

 

Cine este afectat de GDPR?
GDPR nu se aplică numai organizațiilor situate în UE, ci se va aplica și organizațiilor situate în afara UE, în cazul în care oferă bunuri sau servicii pentru subiecții datelor UE sau monitorizează comportamentul acestora. Se aplică tuturor societăților care prelucrează și dețin datele cu caracter personal ale persoanelor vizate care au reședința în Uniunea Europeană, indiferent de locația companiei.

Care sunt sancțiunile pentru nerespectarea obligațiilor?
Organizațiile pot fi amendate cu până la 4% din cifra de afaceri anuală globală pentru încălcarea GDPR sau 20 de milioane de euro. Aceasta este amenda maximă care poate fi impusă pentru cele mai grave încălcări, de exemplu, nu are consimțământul clientului pentru prelucrarea datelor sau încălcarea principiului conceptelor de confidențialitate prin design. Există o abordare diferențiată a amenzilor, de exemplu, o întreprindere poate fi amendată cu 2% pentru ca nu a înregistrat la Autoritate (articolul 28) si fără a notifica autoritatea de supraveghere a unei persoane vizată despre o încălcare sau pentru că nu a efectuat o evaluare a impactului. Este important să rețineți că aceste reguli se aplică atât operatorilor, cât și procesatorilor – adică cei cu date în „cloud” nu vor fi scutiți de aplicarea GDPR.

Ce reprezintă date personale?
Orice informație referitoare la o persoană fizică sau la alte subiecte, care poate fi utilizată pentru identificarea directă sau indirectă a persoanei. Poate fi orice, de la un nume, o fotografie, o adresă de e-mail, detalii bancare, postări pe site-uri de socializare, informații medicale sau o adresă IP a computerului.

Operatorii de date au nevoie de consimțământul „explicit” sau „lipsit de ambiguitate” de date – și care este diferența?
Condițiile de acordare a consimțământului au fost întărite, deoarece companiile nu vor mai putea folosi termeni și condiții lizibile lungi, legale, deoarece solicitarea de consimțământ trebuie furnizată într-o formă inteligibilă și ușor accesibilă, cu scopul prelucrării datelor atașate acestui consimțământ – adică trebuie să fie lipsit de ambiguitate. Consimțământul trebuie să fie clar și deosebit de alte chestiuni și să fie furnizat într-o formă inteligibilă și ușor accesibilă, folosind un limbaj simplu și clar. Trebuie să fie la fel de ușor să retrageți consimțământul la fel cum v-ați dat acordul. Consimțământul explicit este necesar doar pentru prelucrarea datelor personale sensibile – în acest context, nu este suficientă nimic altceva decât „opt-in”. Cu toate acestea, pentru datele non-sensibile, consimțământul „neechivoc” va fi suficient.

Condiții speciale pentru persoane cu vârsta sub 16 ani?

Acordul parental va fi necesar pentru a procesa datele personale ale copiilor sub vârsta de 16 ani pentru serviciile online; statele membre pot legifera pentru o vârstă mai mică de consimțământ, dar aceasta nu va fi sub vârsta de 13 ani.

Care este diferența dintre un regulament și o directivă?
Un regulament este un act legislativ obligatoriu. Acesta trebuie aplicat în întregime în întreaga UE, în timp ce o directivă este un act legislativ care stabilește un obiectiv pe care toate țările UE trebuie să-l atingă. Cu toate acestea, depinde de fiecare țară să decidă cum. Este important de menționat că GDPR este un regulament, spre deosebire de legislația anterioară adoptată, care este o directivă.

Afacerea mea trebuie să numească un responsabil de protecție a datelor (DPO)?
DPO trebuie să fie desemnați în cazul: (a) autorităților publice, (b) organizațiilor care se ocupă de o monitorizare sistematică la scară largă sau (c) organizațiilor care se ocupă de procesarea la scară largă a datelor cu caracter personal sensibile (articolul 37). Dacă organizația dvs. nu se încadrează într-una din aceste categorii, atunci nu este necesar să desemnați un DPO.

Cum afectează GDPR politica privind încălcarea datelor?
Propunerile de reglementare privind încălcările datelor se referă în primul rând la politicile de notificare ale companiilor la care au fost încălcate. Încălcările de date care pot reprezenta un risc pentru persoanele fizice trebuie să fie notificate ANSPDCP în termen de 72 de ore, iar persoanelor afectate fără întârzieri nejustificate.

GDPR va crea un ghișeu unic pentru reglementarea confidențialității datelor?
Discuțiile legate de principiul ghișeului unic sunt printre cele mai dezbătute și sunt încă neclare deoarece pozițiile sunt foarte variate. Textul Comisiei are o hotărâre destul de simplă și concisă în favoarea acestui principiu, Parlamentul promovează, de asemenea, o autoritate și adaugă o mai mare implicare din partea altor autoritati vizate, punctul de vedere al Consiliului reduce aptitudinea conducerii autoritatii. O analiză mai aprofundată a dezbaterii privind politica de ghișeu unic poate fi găsită aici .

By |2018-04-29T09:02:49+00:00aprilie 27th, 2018|Blog, GDPR|0 Comments

About the Author:

Leave A Comment

Acest sit folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.