Politica de confidentialitate

Introducere

Regulamentul UE nr.679/2016 ( sau GDPR) privind protectia datelor este obligatoriu pe teritoriul Uniunii Europene. Spre deosebire de directive, regulamentul se aplica ca atare, ca si legea romana, de la data intrarii in vigoare si nu este nevoie de legislatie interna care sa il transpuna.

Practic, toate companiile prelucreaza date personale, inclusiv datele propriilor salariati.

Acest regulament stabileste in sarcina tuturor entitatilor care prelucreaza date personale obligatii privind protectia acestor date, sub pedeapsa unor drastice sanctiuni.In caz de neresectare, companiile pot fi puse in pericol prin instrumentarea unor reclamatii catre autoritatea nationala de supraveghere de catre persoane rauvoitoare ori catre concurentii dvs., sau prin controale si sanctiuni aplicate de autoritatea de supraveghere. Asa ca merita sa acordati atentie celor de mai jos.

Cand intra in vigoare Regulamentul?

Pe data de 25 mai 2018, si produce depline efecte.

Care sunt sanctiunile pentru neconformare?

Operatorii de date care nu respecta regulamentul pot fi amendati cu sume pana la 2 % din cifra de afaceri sau pana la 10.000.000 EURO,care din ele este mai mare, iar in functie de gravitatea incalcarii sanctiunea poate fi de pana la 4% din cifra de afaceri sau pana la 20.000.000 Euro,care din ele este mai mare.Sactiunile sunt prevazute in art. 83 din regulament, criteriile de individualizare tot acolo.Apreciez criteriile de individualizare destul de subiective, asa ca nu este prudent a ne baza pe obiectivitatea organelor de control.

Ce sunt datele personale?

Orice date care fac identificabila o persoana fizica, cum ar fi : nume, prenume, CNP, adresa, nr de telefon, adresa de email, fotografie, etc.

Ce inseamna prelucrarea datelor personale?

Orice operatiune de copiere, stocare, primire, luare la cunostinta , diseminare, distribuire sau divulgare este considerata prelucrare.

Cine este obligat sa se conformeze acestui regulament?

Practic, orice entitate ( companie sau ONG) care are salariati.Aceasta obligatie a devenit generala si evidenta din luna aprilie 2018, cand grupul de lucru pentru aplicarea art.29 din regulament ( organismul european abilitat cu aplicarea) a publicat “Documentul de pozitie asupra art.30”, o interpretare oficiala a Regulamentului, prin care se spune foarte clar ca o mica intreprindere care prelucreaza datele propriilor salariati este obligata sa tina un registru de evidenta a prelucrarii datelor.

Cine este operatorul de date personale?

Orice persoana care prelucreaza date personale si care are controlul asupra acestor date ( companiile) .Prestatorii de servicii care prelucreaza date personale in numele clientilor lor se numesc imputerniciti ai operatorului.
Cine sunt persoanele considerate vizate de prelucrarea datelor personale care trebuie protejate prin Regulament?

Orice persoane fizice, respectiv, in cazul nostru salariatii COMPANIEI,copiii si coasiguratii salariatilor, furnizorii si clientii persoane fizice ai COMPANIEI, daca nu au statut legal de profesionist si nu au contractat cu COMPANIA in aceasta calitate.

Care sunt obligatiile principale care trebuie respectate conform regulamentului?

A.Obligatia de a numi un responsabil cu protectia datelor ( data protection officer, sau DPO):

Art. 37(1) din GDPR solicită desemnarea DPO în trei situații specifice:

a) atunci când prelucarea este efectuată de o autoritate publică sau un organism public;
b) atunci când activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în operațiuni de prelucrarea care necesită o monitorizare periodică și sistematică a persoanelor vizate pe scară largă; sau
c) atunci când activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în prelucrarea pe scară largă a unor categorii speciale de date sau a unor categorii de date cu caracter personal privind condamnări penale și infracțiuni.
NU

De exemplu, o companie care efectueaza productie , are furnizori si clienti persoane juridice si prelucreaza preponderent date personale ale salariatilor in scopul indeplinirii obligatiilor legale( declaratii fiscale, REVISAL) nu va avea obligatia sa numeasca o astfel de persoana.
DA

De exemplu, companiile cu obiect principal de activitate :comert online, clinica medicala, marketing direct, care monitorizeaza baze de date extinse de clienti persoane fizice este posibil sa fie nevoite sa numeasca un responsabil cu protectia datelor.

ANEXAT pentru detalii: ghidul UE privind numirea DPO.

B. Obligatia de a intocmi o evidenta a prelucrarii datelor personale:

Asa cum am aratat mai sus, a devenit obligatorie pentru toate entitatile care au salariati, criteriul numarului de salariati mai mare de 250, din Regulament, devenind irelevant.

Comisia Europeana incurajeaza autoritatile nationale de supraveghere sa publice pe site-urile lor de internet modele ale acestor evidente.Autoritatea romana nu a publicat un astfel de model.

ANEXAT, pentru conformare, modelul pe care l-am luat de pe site-ul autoritatii franceze in domeiu (CNIL) si l-am tradus in romana. Este totusi vorba de aplicarea aceluiasi regulament in toate tarile UE.

Cum se face dovada ca o companie s-a conformat Regulamentului?

Conform art.24, Regulamentul se aplica de toate companiile ca atare. Totusi, dovada certa ca o companie se conformeaza Regulamentului se face in una din doua modalitati:

A. Aderarea la un cod de conduita aprobat de autoritatea de supraveghere conform art. 40 alin.5 din Regulament;

B. Adoptarea unui standard aprobat de autoritatea de supraveghere sau de un organism de certificare conform art.42 si 43 din Regulament.

Pana in momentul prezentei informari, autoritatea romana de supraveghere nu a adoptat un cod de conduita sau un standard , astfel incat companiile sa poata face dovada conformarii la prevederile Regulamentului.

Aderarea la un cod de conduita sau adoptarea unui standard constituie circumstante atenuante care duc la diminuarea amenzilor in cazul in care compania este sanctionata.
Situatia de neimplementare a regulamentului de catre autoritatea de supraveghere nu opreste aplicarea regulamentului si mai ales nu amana aplicarea sanctiunilor.

Masuri pentru conformare, in absenta aderarii la codul de conduita sau standard :

Companiile ar trebui sa adopte prin norme interne o politica in legatura cu securitatea datelor personale.

Companiile ar trebui sa adopte schimbari la contractele pe care le incheie cu colaboratori, salariati, furnizori si clienti astfel incat sa se asigure protectia datelor personale si mai ales sa se obtina consimtamantul persoanelor vizate atunci cand prelucrarea datelor personale nu se face in baza unei obligatii legale.Prelucrarea datelor personale atunci cand nu exista un alt temei legal, este ilegala daca nu se obtine consimtamantul personaei vizate.

Persoana vizata are o serie de drepturi pe care le veti gasi in actele anexate si care trebuie respectate, iar in caz de nerespectare, are dreptul sa se adreseze cu plangere autoritatii de supraveghere, care va putea aplica sanctiunile drastice mentionate mai sus.

0786 497 500