Relația mea economică este limitată la sfera persoanelor juridice. Mi se aplică regulile GDPR?

Dacă în perioada imediat următoare momentului intrării în vigoare a Regulamentului UE 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date toată lumea discuta despre noile reguli GDPR și exista un interes constant al operatorilor economici de a se conforma acestora de teama amenzilor ce puteau fi aplicate, în ultima perioadă se constată o relaxare, nejustificată, în materia protecției datelor cu caracter personal, în condițiile în care datele ne arată că tot mai mulți operatori sunt sancționați pentru cele mai diverse abateri de la regulile GDPR.

 

Au existat și există multe mituri referitoare la regulile GDPR, cui se aplică, ce putem/ce nu putem să facem,

În primul rând, trebuie să reținem că regulile GDPR se aplică oricărei societăți, indiferent de dimensiunea acestora. Astfel, fie că vorbim de o PFA , SRL., fie de o corporație multinațională, toate entitățile cad sub domeniul de aplicare al protecției datelor. Mai mult, chiar și o persoană fizică se poate face vinovată de nerespectarea regulilor GDPR și sancționată ca atare.

Un alt mit este cel potrivit căruia, dacă în desfășurarea activității economice lucrez exclusiv cu persoane juridice, nu mi se aplică regulile GDPR.

Într-adevăr, Regulamentului UE 2016/679 instituie o protecție a persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date și nu este aplicabil atunci când datele se referă la o persoană juridică.

Totuși, pierdem din vedere o serie de aspecte esențiale și care vin să combată acest mit nefondat.

     Fie că vorbim de parteneri ori furnizori – entități persoane juridice -, fie de clienți – entități persoane juridice -, întotdeauna în derularea relațiilor comerciale vom ajunge la identificarea unei persoane fizice și vom intra în contact cu diverse date cu caracter personal care îi aparțin.

De exemplu, în cazul în care furnizorii mei sunt entități persoane juridice, trebuie să stabilesc prin acte adiționale la contractele încheiate cu aceștia reguli aplicabile, limitele și măsurile pe care ne obligăm să le implementăm în vederea protejării datelor cu caracter personal, trebuie să cuprind clauze de confidențialitate și de protecție a datelor cu caracter personal.

În raport cu diverși parteneri contractuali – entități persoane juridice – putem deține calitatea de Operatori, iar aceștia din urmă de Persoane împuternicite în vederea prelucrării datelor care ne aparțin. În acest sens ar trebui încheiat un Acord GDPR care să definească obligațiile, modalitatea de prelucrare ș.a. în termeni extremi de clari, mai ales că Operatorul răspunde pentru faptele Persoanei împuternicite.

Apoi, în relația cu clienții – persoane juridice – putem deține și noi la rândul nostru calitatea de Persoană împuternicită și trebuie să avem în vedere că răspunderea Operatorului nu înlătură răspunderea Persoanei împuternicite, sens pentru care, din nou, trebuie să ne asigurăm că există un document care definește în termeni clari modalitatea de lucru.

Chiar dacă prelucrarea datelor cu caracter personal nu este de esența contractului principal, ci accesul la date se face cu totul indirect, de ex. contractul principal are ca obiect asigurarea mentenanței sistemelor, iar accesul la date este cu totul indirect și nu reprezintă scopul principal al contractului, tot trebuie să adoptăm proceduri, să încheiem acorduri de confidențialitate și de protecție a datelor cu caracter personal.

În concluzie, nu suntem la pretinsul adăpost GDPR doar pentru că ne desfășurăm activitatea doar în raport cu persoane juridice, sens pentru care vă îndrumăm să vă îndreptați către un specialist în materia protecției datelor cu caracter personal pentru o evaluare corectă și completă și pentru oferirea unor soluții practice și adaptate specificului activității dvs.

Leave a Reply

Your email address will not be published.

*

Nartea - 2020