Regulamentul General de Protecția Datelor a intrat în vigoare pe data de 25 mai 2016 și va fi de directă aplicabilitate începând cu data de 25 mai 2018.
Prezentul regulament stabileşte normele referitoare la protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal, precum şi normele referitoare la libera circulaţie a datelor cu caracter personal.
Acest regulament se aplică prelucrării datelor cu caracter personal în cadrul activităţilor unui sediu al unui operator sau al unei persoane împuternicite de operator pe teritoriul Uniunii, indiferent dacă prelucrarea are loc sau nu pe teritoriul Uniunii.
Pentru a înțelege mai bine domeniul de aplicare a prezentului Regulament, considerăm util cunoașterea noțiunilor de date cu caracter personal , precum și cea de prelucrare și operator, acestea fiind definite de Regulament.
Astfel, prin date cu caracter personal înțelegem orice informaţii privind o persoană fizică identificată sau identificabilă (“persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identităţii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale. Prin prelucrare înțelegem orice operaţiune sau set de operaţiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziţie în orice alt mod, alinierea sau combinarea, restricţionarea, ştergerea sau distrugerea.
Operator este persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism care, singur sau împreună cu altele, stabileşte scopurile şi mijloacele de prelucrare a datelor cu caracter personal.
Regulamentul nr. 679 din 27 aprilie 2016 reglementează situațiile în care prelucrarea datelor cu caracter personal îndeplinește condițiile de legalitate, fără a aduce atingere drepturilor persoanei vizate, impunând un set de reguli pe care Operatorul sau persoana împuternicită de operator trebuie să le respecte.
În primul rând, prelucrarea este legală numai dacă şi în măsura în care se aplică cel puţin una dintre următoarele condiţii:
a)persoana vizată şi-a dat consimţământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;
b)prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract;
c)prelucrarea este necesară în vederea îndeplinirii unei obligaţii legale care îi revine operatorului;
d)prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;
e)prelucrarea este necesară pentru îndeplinirea unei sarcini care serveşte unui interes public sau care rezultă din exercitarea autorităţii publice cu care este învestit operatorul;
f)prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terţă, cu excepţia cazului în care prevalează interesele sau drepturile şi libertăţile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil. Litera (f) din primul paragraf nu se aplică în cazul prelucrării efectuate de autorităţi publice în îndeplinirea atribuţiilor lor.
Consimțământul persoanei vizate este un aspect important și care pentru a fi valabil trebuie să îndeplinească o serie de condiții. În primul rând, cererea privind darea consimţământului trebuie să fie prezentată într-o formă care o diferenţiază în mod clar de celelalte aspecte, într-o formă inteligibilă şi uşor accesibilă, utilizând un limbaj clar şi simplu. Acesta ar putea include bifarea unei căsuţe atunci când persoana vizitează un site, Consimţământul ar trebui să vizeze toate activităţile de prelucrare efectuate în acelaşi scop sau în aceleaşi scopuri. Dacă prelucrarea datelor se face în mai multe scopuri, consimţământul ar trebui dat pentru toate scopurile prelucrării. În cazul în care consimţământul persoanei vizate trebuie acordat în urma unei cereri transmise pe cale electronică, cererea respectivă trebuie să fie clară şi concisă şi să nu perturbe în mod inutil utilizarea serviciului pentru care se acordă consimţământul. Persoana vizată își poate exprima consimțământul sub forma unei declaraţii scrise, inclusiv în format electronic, sau verbal, însă aceasta își va putea retrage oricând consimțământul dat.
Operatorul are obligația de a furniza persoanei vizate un set de informații, care diferă în funcție de sursa obținerii datelor cu caracter personal. Informațiile sunt puse la dispoziție la cererea scrisă a persoanei vizate, în termen de cel mult o lună, termen însă care poate fi prelungit cu cel mult două luni atunci când este necesar, ţinându-se seama de complexitatea şi numărul cererilor. În cazul în care persoana vizată introduce o cerere în format electronic, informaţiile sunt furnizate în format electronic acolo unde este posibil, cu excepţia cazului în care persoana vizată solicită un alt format.
Astfel, dacă datele cu caracter personal referitoare la o persoană vizată sunt colectate de la aceasta, operatorul, în momentul obţinerii acestor date cu caracter personal, furnizează persoanei vizate toate informaţiile prev. de art.13 din Regulament, iar dacă datele cu caracter personal referitoare la o persoană vizată sunt colectate de la o altă persoană decât cea vizată, operatorul, în momentul obţinerii acestor date cu caracter personal, furnizează persoanei vizate toate informaţiile prev. de art.14 din Regulament.
Persoana vizată are dreptul de acces la datele cu caracter personal, putând solicita o copie după acestea, are dreptul de a solicita rectificarea, restricționarea accesului sau ștergerea acestora, fără întârzieri nejustificate din partea operatorului.
Prelucrarea datelor cu caracter personal se efectuează fie de operator, fie de o persoană împuternicită de operator, aceasta din urmă acționând în baza unui contract sau alt act juridic care să reglementeze în detaliu condițiile prelucrării. Prezentul regulament reglementează și dispoziții referitoare la Responsabilul cu protecția datelor personale, acesta fiind desemnat de Operator sau de persoana împuternicită de operator atunci când:
a)prelucrarea este efectuată de o autoritate sau un organism public, cu excepţia instanţelor care acţionează în exerciţiul funcţiei lor jurisdicţionale;
b)activităţile principale ale operatorului sau ale persoanei împuternicite de operator constau în operaţiuni de prelucrare care, prin natura, domeniul de aplicare şi/sau scopurile lor, necesită o monitorizare periodică şi sistematică a persoanelor vizate pe scară largă; sau
c)activităţile principale ale operatorului sau ale persoanei împuternicite de operator constau în prelucrarea pe scară largă a unor categorii speciale de date, menţionată la articolul 9, sau a unor date cu caracter personal privind condamnări penale şi infracţiuni, menţionată la articolul 10.
Responsabilul cu protecţia datelor este desemnat pe baza calităţilor profesionale şi, în special, a cunoştinţelor de specialitate în dreptul şi practicile din domeniul protecţiei datelor, precum şi pe baza capacităţii de a îndeplini sarcinile prevăzute la articolul 39. Responsabilul cu protecţia datelor poate fi un membru al personalului operatorului sau persoanei împuternicite de operator sau poate să îşi îndeplinească sarcinile în baza unui contract de servicii. Operatorul sau persoana împuternicită de operator publică datele de contact ale responsabilului cu protecţia datelor şi le comunică autorităţii de supraveghere.
Regulamentul European prevede o serie de măsuri obligatorii care trebuie duse la îndeplinire, menite a asigura respectarea drepturilor persoanelor vizate.
Astfel, Operatorul sau reprezentantul acestuia este obligat să păstreze o evidență a tuturor activităților de prelucrare desfășurate, conform art.30 din Regulament, însă această obligație nu există în cazul întreprinderilor sau organizaţilor cu mai puţin de 250 de angajaţi, cu excepţia cazului în care prelucrarea pe care o efectuează este susceptibilă să genereze un risc pentru drepturile şi libertăţile persoanelor vizate, prelucrarea nu este ocazională sau prelucrarea include categorii speciale de date, astfel cum se prevede la articolul 9 alineatul (1), sau date cu caracter personal referitoare la condamnări penale şi infracţiuni, astfel cum se menţionează la articolul 10.
Alte măsuri privesc securitatea datelor cu caracter personal, precum și evaluarea impactului asupra protecției datelor și consultarea prealabilă.
Pentru mai multe informatii ne puteti contacta pe adresa de e-mail [email protected]!