Încă mai multeRegulamentul general privind protecția datelor (GDPR)stabilește orientări care acoperă diverse aspecte ale protecției datelor și vieții private pentru persoanele din cadrul Uniunii Europene (UE) și al Spațiului Economic European (SEE), inclusiv modul în care organizațiile ar trebui să gestioneze, să prelucreze și să protejeze datele cu caracter personal. Mai jos este o prezentare generală a principalelor elemente acoperite de liniile directoare GDPR:

1.Domeniu de aplicare și aplicabilitate

GDPR se aplică:

• Toate organizațiile(inclusiv societăți, organizații non-profit și guverne) care prelucrează datele cu caracter personal ale persoanelor fizice din UE sau SEE, indiferent de locul în care se află organizația.
• Operatori de date(care determină scopul și mijloacele de prelucrare) șiProcesatori de date(care prelucrează date în numele operatorilor).

Aceasta se aplică oricărui tip de prelucrare a datelor cu caracter personal, inclusiv colectarea, înregistrarea, stocarea, modificarea, extragerea, consultarea, utilizarea, divulgarea, ștergerea și distrugerea.

2.Definiții cheie

• Datele cu caracter personalOrice informații care pot identifica direct sau indirect o persoană (de exemplu, nume, adresă de e-mail, adresă IP, date de localizare etc.).
• Datele cu caracter personal sensibile: Categorii speciale de date care necesită protecție suplimentară, cum ar fi originea rasială sau etnică, opiniile politice, convingerile religioase, datele de sănătate, datele biometrice și orientarea sexuală.
• Persoana vizatăPersoana căreia îi aparțin datele cu caracter personal.
• Operatorul de dateEntitatea care determină scopurile și mijloacele de prelucrare a datelor cu caracter personal.
• Procesator de date: Entitatea care prelucrează date în numele operatorului.

3.Principiile prelucrării datelor

GDPR se bazează pe următoarele:șapte principii cheiePrelucrarea datelor:

1. Legalitate, corectitudine și transparențăDatele trebuie prelucrate în mod legal, echitabil și transparent. Persoanele fizice trebuie informate cu privire la prelucrarea datelor lor.
2. Limitarea scopuluiDatele cu caracter personal trebuie colectate în scopuri specificate, explicite și legitime și nu sunt utilizate în moduri incompatibile cu aceste scopuri.
3. Minimizarea datelorDatele colectate trebuie să fie adecvate, relevante și limitate la ceea ce este necesar pentru scopul propus.
4. PrecizieDatele cu caracter personal trebuie să fie corecte și actualizate.
5. Limitarea stocăriiDatele nu trebuie stocate mai mult decât este necesar pentru scopurile pentru care au fost colectate.
6. Integritate și confidențialitateDatele trebuie prelucrate în siguranță, asigurând protecția împotriva accesului, pierderii sau deteriorării neautorizate sau ilegale.
7. Responsabilitate: Operatorii de date sunt responsabili pentru asigurarea respectării principiilor de mai sus și trebuie să poată demonstra conformitatea.

4.Baze juridice pentru prelucrare

Datele cu caracter personal pot fi prelucrate numai dacă există un temei juridic valabil, cum ar fi:

• Consimțământ: Persoana fizică și-a dat consimțământul explicit pentru un anumit scop.
• Contractul: Prelucrarea este necesară pentru executarea unui contract cu persoana fizică.
• Obligație juridică: Prelucrarea este necesară pentru a respecta legea.
• Interese vitale: Prelucrarea este necesară pentru a proteja viața cuiva.
• Sarcină publică: Prelucrarea este necesară pentru îndeplinirea unei sarcini de interes public.
• Interese legitimePrelucrarea este necesară pentru interesele legitime ale operatorului, cu excepția cazului în care drepturile persoanei vizate.

5.Drepturile persoanei vizate

GDPR acordă mai multe drepturi persoanelor fizice cu privire la datele lor personale:

1. Dreptul de a fi informatPersoanele fizice au dreptul să știe cum sunt colectate, utilizate și partajate datele lor (prin intermediul unei politici de confidențialitate).
2. Dreptul de accesPersoanele fizice pot solicita accesul la datele lor personale și la modul în care acestea sunt prelucrate.
3. Dreptul la rectificare: Persoanele fizice pot solicita corectarea datelor inexacte sau incomplete.
4. Dreptul la ștergerea datelor ("dreptul de a fi uitat")Persoanele fizice pot solicita ștergerea datelor cu caracter personal în anumite circumstanțe (de exemplu, atunci când datele nu mai sunt necesare).
5. Dreptul la restricționarea prelucrăriiPersoanele fizice pot solicita ca datele lor să fie restricționate de la prelucrare în anumite condiții.
6. Dreptul la portabilitatea datelorPersoanele fizice pot solicita ca datele lor să fie transferate către o altă organizație sau direct către ei înșiși într-un format structurat, utilizat în mod obișnuit și care poate fi citit de mașină.
7. Dreptul la opozițiePersoanele fizice se pot opune prelucrării datelor lor personale în anumite scopuri, inclusiv marketingul direct.
8. Drepturile legate de luarea automată a deciziilor și profilareaDreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri, cu excepția cazului în care sunt îndeplinite anumite condiții.

6.Evaluări ale impactului asupra protecției datelor (DPIA)

DPIA trebuie desfășurate atunci când activitățile de prelucrare a datelor sunt susceptibile de a duce la un risc ridicat pentru drepturile și libertățile persoanelor fizice. Acest lucru se aplică de obicei prelucrării pe scară largă, profilării sau prelucrării datelor sensibile.

7.Notificări privind încălcarea datelor

Organizațiile trebuie să notifice autoritatea relevantă pentru protecția datelor (în Regatul Unit, acesta este Oficiul Comisarului pentru Informații sau ICO) în cadrul72 orede a lua cunoștință de o încălcare a securității datelor cu caracter personal care prezintă un risc pentru drepturile și libertățile persoanelor fizice. În cazul în care încălcarea este susceptibilă să ducă la riscuri ridicate, persoanele afectate trebuie, de asemenea, informate.

8.Transferuri de date în afara UE/SEE

Transferurile de date cu caracter personal către țări din afara UE/SEE sunt permise numai dacă:

• Țara de primire oferă oNivel adecvat de protecțieAșa cum a stabilit Comisia Europeană.
• Protecții adecvate, cum ar fiClauzele contractuale standard (SCC)sauReguli corporatiste obligatorii (BCR), sunt la locul lor.
• Persoana vizată și-a dat consimțământul explicit.

9.Protecția datelor prin proiectare și implicit

Organizațiile trebuie să încorporeze măsuri de protecție a datelor de la începutul oricărui proiect sau proces care implică prelucrarea datelor cu caracter personal. Acest principiu este cunoscut sub numele deConfidențialitate prin design și în mod implicit, adică confidențialitatea trebuie luată în considerare în stadiul de proiectare și pe tot parcursul ciclului de viață al prelucrării datelor.

10.Responsabil cu protecția datelor (DPO)

Trebuie numit un DPO dacă:

• Organizația este o autoritate publică.
• Activitățile de bază implică monitorizarea regulată și sistematică a indivizilor pe scară largă.
• Organizația prelucrează cantități mari de date cu caracter personal sensibile.

Responsabilitățile DPO includ:

• Monitorizarea conformității cu GDPR.
• Asistență cu privire la obligațiile de protecție a datelor.
• Acționând ca punct de contact cu autoritățile de protecție a datelor.

11.Amenzi și sancțiuni

Organizațiile care nu respectă GDPR se pot confrunta cu amenzi semnificative:

• Până la20 milioane €sau4% din cifra de afaceri anuală globală a companiei, oricare dintre acestea este mai mare, pentru cele mai grave încălcări.
• Încălcările mai mici pot duce la amenzi de până la10 milioane €sau2% din cifra de afaceri anualăÎn limba engleză

12.Responsabilitate și păstrare a înregistrărilor

Organizațiile trebuie să păstreze documentația pentru a demonstra conformitatea GDPR, inclusiv:

• Înregistrările activităților de prelucrare.
• Politici și proceduri de protecție a datelor.
• DP acolo unde este necesar.
• Înregistrări ale solicitărilor și răspunsurilor persoanei vizate.

13. ȘtiriCerințe de consimțământ

Atunci când se bazează pe consimțământ ca bază legală pentru prelucrarea datelor cu caracter personal, trebuie respectate următoarele orientări:

• Consimțământul trebuie acordat în mod liber, specific, informat și lipsit de ambiguitate.
• Consimțământul trebuie acordat printr-o acțiune afirmativă clară (de exemplu, înscrierea) și nu prin casete pre-bifate.
• Organizațiile trebuie să poată dovedi că consimțământul a fost obținut.
• Persoanele fizice trebuie să aibă dreptul de a retrage consimțământul în orice moment.

GDPR stabilește standarde înalte pentru protecția datelor și își propune să ofere persoanelor mai mult control asupra datelor lor personale. Prin respectarea acestor orientări, organizațiile pot asigura conformitatea și pot evita riscul de sancțiuni.