1.              Ce este GDPR?

GDPR este un Regulament European care se aplică direct în România din data de 25 mai 2018. Scopul principal al GDPR este să unifice legislația privind protecția datelor în Europa și să acorde persoanelor fizice drepturi și control asupra datelor cu caracter personal.

2.              Ce înseamnă GDPR pentru un eveniment organizat?

a)    Amenzi

Nerespectarea legislației privind protecția datelor este investigată de către ANSPDCP. Începând cu 25 mai, ANSPDCP va putea sancționa organizațiile cu până 4% din cifra de afaceri sau 20.000.000 euro.

Voi fi sancționat cu 4% din cifra de afaceri dacă nu respect GDPR?

4% din cifra de afaceri sau 20.000.000 euro este maximul amenzii, ANSPDCP având posibilitatea să aplice o sancțiune respectând această limită și luând în calcul, printre alți factori, gravitatea abaterii. Cea mai simplă soluție pentru a nu fi amendat este să implementezi cerințele GDP|R în cadrul firmei tale.

Impactează GDPR evenimentul pe care eu îl organizez?

Răspunsul la această întrebare frecventă este „da”. Alinierea la GDPR și impactul acestuia este o problem complecă. Pentru a simplifica lucrurile, dacă prelucrezi date personale ale cetățenilor UE, GDPR ți se aplică, indiferent de locul unde este organizat evenimentul.

Ce înseamnă GDPR pentru evenimentul pe care îl organizez?

Pe scurt, va trebui să schimbi complet modul în care tratezi datele personale. GDPR cere să pui în practică măsuri tehnice și organizatorice adecvate pentru protecția datelor personale. Acest lucru înseamnă atât măsuri tehnice, dar și documente (politici, contracte, proceduri).

Dacă nu ai făcut-o deja, ar trebui să efectuezi un audit al fluxurilor de date. Astfel, vei realiza ce date prelucrezi, în ce scopuri, cât le stochezi, cui le transmiți, ce măsuri trebuie să adopți și dacă prelucrarea este legală sau trebuie să înceteze.

Dacă ai făcut această etapă corect, procedura de implementare va fi mai simplă și mai rapidă, pentru că vei avea deja toate informațiile necesare pentru întocmirea documentației, elaborarea și implementarea politicilor și proceselor.

Ca să îți venim în ajutor, în parteneriat cu LegalUp.ro, am elaborat mai multe chestionare astfel încât tu să realizezi rapid, simplu și eficient un audit complet al fluxului de date. După parcurgerea lor, vei avea toate informațiile necesare pentru a le alinia la prevederile GDPR. Doar în urma unui audit complet poți realiza corect Registrul prelucrărilor sau notele de informare (politicile de confidențialitate).

Sunt obligat să desemnez un responsabil cu protecția datelor? 

GDPR spune că un responsabil cu protecția datelor este obligatoriu în următoarele cazuri:

(a) prelucrarea este efectuată de o autoritate sau un organism public, cu excepția instanțelor care acționează în exercițiul funcției lor jurisdicționale;

(b) activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în operațiuni de prelucrare care, prin natura, domeniul de aplicare și/sau scopurile lor, necesită o monitorizare periodică și sistematică a persoanelor vizate pe scară largă; sau

(c) activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în prelucrarea pe scară largă a unor categorii speciale de date, menționată la articolul 9, sau a unor date cu caracter personal privind condamnări penale și infracțiuni, menționată la articolul 10.

Dacă evenimentul nu se încadrează în cazurile de mai sus, nu ești obligat să desemnezi un DPO. Cu toate acestea, desemnarea unui DPO în cadrul companiei te-ar putea ajuta în procesul de aliniere la GDPR.

Trebuie să revizuiesc Politicile de confidențialitate?

Da, cu siguranța va trebui să revizuiesti Politicile de confidențialitate și notele de informare pentru a respecta cerințele GDPR. Politica de confidențialitate a evenimentului pe care îl organizezi trebuie să cuprinde anumite elemente cerute de art. 13 din GDPR și să fie scrisă într-un limbaj simplu și ușor de înțeles. Un model de Politică de confidențialitate conformă standardelor GDPR se găsește în KIT-ul nostru de implementare, disponibil aici

 

3.              GDPR și datele colectate cu ocazia evenimentului

Ce sunt datele cu caracter personal?

Acestea sunt creionate după cum Articolul 4 (1) statuează:

“Orice informație referitoare la o persoană fizică identificată sau identificabilă; o persoană fizică identificabilă este una care poate fi identificată, direct sau indirect, în special prin referire la o caracteristică specifică, cum ar fi un nume, un număr de identificare, date referitoare la locație, un identificator online sau unul sau mai multe particularități fizice, fiziologice, genetice, mentale, economice, culturale sau sociale ale acelei persoane fizice.”

În principiu, dacă datele pot fi folosite pentru a identifica un individ, atunci acestea pot fi considerate date personale în cadrul GDPR.

Ce reprezintă “prelucrarea” sub egida GDPR?

Din nou, Articolul 4 (2) oferă o definiție și pentru acest concept:

“Orice operațiune sau ansamblu de operațiuni care se efectuează asupra datelor personale, indiferent dacă sunt sau nu prin mijloace automatice, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, recuperarea, consultarea, utilizarea, diseminarea, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea lor.”

Așadar, practic orice deținere de date presupune, la rândul ei, prelucrarea acestora. Aceasta începe încă din momentul colectării datelor persoanelor cu care colaborați, extinzându-se până și la felul în care comunicați cu acestea, atât în mod fizic, cât și electronic.

Operator sau persoana împuternicită?

Există două noțiuni cheie atunci când vine vorba despre procesarea datelor: operatorul și persoana împuternicită. Ambele trebuie să respecte regulile impuse de GDPR, dar responsabilitățile lor privind procesarea efectivă de date diferă într-o mică măsură.

Operatorul de date reprezintă organizația sau entitatea care dictează felul datelor care sunt colectate și modul în care acestea sunt utilizate, în timp ce noțiunea de Persoana împuternicită înglobează organizația sau entitatea care facilitează prelucrarea și utilizarea respectivelor.

Ce trebuie să am în vedere în momentul în care prelucrez datele personale?

Presupune un efort considerabil a parcurge întreaga legislație GDPR.

Pentru a ușura această sarcină, Articolul 5 (1) face în linii mari referire la regulile care trebuie urmate pentru a fi în completă conformitate cu noile reglementări. Pentru asta, datele personale trebuie să fie:

  • Prelucrate pe baza principiului transparenței, în conformitate cu legea
  • Colectate pentru un scop bine definit si legitim
  • Limitate, în sensul folosirii doar acelora care sunt strict necesare pentru atingerea scopului
  • Păstrate nu mai mult decât este necesar în vederea îndeplinirii scopului
  • Procesate într-un mod sigur

 Se aplică GDPR cu privire la activitățile de prelucrare înainte de 25 mai 2018?

Un lucru important prin care GDPR își face simțită prezența este reatroactivitatea sa. Toate datele pe care dumneavoastră le stocați și procesați vor trebui aliniate cu politica GDPR, indiferent dacă sunt sau nu colectate înainte sau dupa 25 mai 2018.

În cazul în care nu ați făcut-o încă, ar trebui efectuată o revizie asupra datelor deținute pentru verificarea compatibilității noilor reglementări.

Toate datele care nu întrunesc condițiile de legalitate vor trebui șterse.

În timp ce multe alte entități care procesează datele se îngrijorează din ce în ce mai mult în ceea ce privește pierderea considerabilă de date, ați putea folosi în folosul dumneavoastră acest fenomen, în sensul unei mai bune gestionări digitale. În cazul în care dețineți date referitoare la o persoană, asupra cărora nu dețineți dreptul de a le procesa, de ce ați mai face acest lucru în continuare?

Este posibil ca acele date să fi devenit nefolositoare pentru activitatea pe care o desfășurați, și fără îndoială, acest lucru implică o sumedenie de costuri în sensul procesării. Iată acum momentul oportun pentru a vă îmbunătăți calitatea muncii și a vă asigura că stocați în exclusivitate doar datele de care aveți într-adevăr nevoie.

Ce cuvânt are GDPR de spus asupra datelor copiilor?

Articolul 8 alineatul (1) prevede că pentru a putea acorda consimțământul valabil, o persoană trebuie să fi împlinit deja vârsta „consimțământului digital”. Statele membre pot stabili acest prag pentru o vârsta cuprinsă între 13 și 16 ani, iar Romania nu a stabilit un prag. Aceasta înseamnă că un copil cu vârsta sub 16 ani nu poate oferi consimțământul pentru ca datele proprii să fie procesate. În schimb, veți avea nevoie de consimțământul unuia dintre părinți pentru a procesa datele în mod legal.

GDPR afirmă, de asemenea, că este necesar a fi făcut un”efort rezonabil” pentru a verifica acordul părinților. În practică, aceasta înseamnă că, dacă permiteți copiilor să se înscrie în baza dumneavoastră de date, este posibil să nu vă puteți baza pe o simplă căsuță care odată bifată “atestă” consimțământul părinților, deoarece acesta nu poate întotdeauna să reflecte realitatea, nefiind controlată în niciun fel veridicitatea declarației.

4.              Drepturile conferite de GDPR

GDPR prevede existența următoarelor drepturi, izvorâte din acesta:

  • Dreptul la informare
  • Dreptul la acces
  • Dreptul la modificarea datelor
  • Dreptul de a fi uitat
  • Dreptul de a restricționa accesul
  • Dreptul portabilității datelor
  • Dreptul de a se opune
  • Dreptul de a nuface obiectul unei decizii

a)    Ce constituie dreptul la informare?

GDPR dorește să facă persoanele la care fac refeire aceste date să fie cât mai bine informați și conștienți de drepturile lor, ceea ce face referire la dreptul sus-invocat.

Acesta prevede că toate informațiile furnizate  trebuie aduse la cunoștința persoanelor fizice la momentul procesării și că aceste informații trebuie să fie prezentate în mod transparent. Aceasta înseamnă că va trebui să utilizați un limbaj clar, ușor accesibil, de obicei sub forma unei politici de confidențialitate.

Ce înseamnă dreptul la acces?

Regulile privind cererile de acces la date s-au modificat sub influența GDPR. În conformitate cu Legea privind protecția datelor, persoanele au dreptul de a solicita informații cu privire la datele pe care le dețineți.

GDPR a înăsprit regulile acestuia. Nu mai puteți autoriza subiectul datelor dumneavoastră pentru a accesa datele pe care le dețineți și acum aveți doar 30 de zile pentru a vă conforma solicitării. Dacă aceasta va presupune mai mult timp, va trebui să aveți temeinicia unui rezonabil motiv care să justifice acest lucru.

Ce reprezintă dreptul la rectificare?

Din poziția de persoană care se ocupă cu această prelucrare, nu există niciun dubiu cu privire la exercitarea acestui drept de către persoanele cu care colaborați. Cu siguranță vi se va întâmpla ca una dintre acestea să vă contacteze în sensul modificării adresei, numărului de telefon și solicitării modificării acestora.

După cum spune GDPR, va trebuie să vă conformați acestora în termen de o lună sau două, în cazul în care această modificare presupune un procedeu complex.

În cazul în care această modificare este solicitată de un terț, este responsabilitatea dumneavoastră a notifica proprietarul datelor în legătură cu aceasta.

Ce înseamnă dreptul de a fi uitat?

Se statuează faptul că persoanele au dreptul la a fi uitate, adică la ștergerea informațiilor referitoare la propria persoană. În principiu, asta înseamnă că o persoană poate solicita ștergerea în totalitate a datelor care fac referire la aceasta, făcând excepție cazul în care un motiv bine întemeiat justifică această continuare a stocării și prelucrării datelor.

Nu aveți însă dreptul de a refuza aceasta solicitare, în afara cazului mai sus invocat. De exemplu, o continuare a procesării datelor poate fi susținută de un temei legal.

În cazul în care aceste date au fost transferate unei personae terțe, situația devine puțin mai complicată. Din momentul în care o persoană folosește dreptul la a fi uitat, veți fi obligat să contactați acea terță persoană căreia au fost transferate datele și să cereți, la rândul dumneavoastră, ștergerea acelor date din system.

Dreptul la restricționarea prelucrării

Destul de asemănător dreptului de a fi uitat, acesta presupune însă nu ștergerea în totalitate a datelor, ci păstrarea lor până în momentul unei eventuale prelucrări.

De exemplu, ar putea fi necesară reținerea e-mailului unui utilizator într-o listă care să atenționeze persoana care se ocupă de prelucrare că nu va trebui să comunice cu titularul datelor în viitor.

Ce este dreptul la portabilitatea datelor?

Acest lucru este întâlnit destul de clar în domeniul procesării datelor, însă acesta desemnează necesitatea furnizării titularului datelor sale înr-un mod în care se permite reutilizarea acestora într-un alt scop.

Dreptul de a se opune

Aici, lucrurile sunt destul de simple: în cazul în care titularul datelor vă solicită încetarea prelucrării datelor sale, dumneavoastră veți fi obligat a vă conforma. Nu există excepții rezonabile care să contracareze efectele exercitării sale.

5.               Marketing-ul datelor în ceea ce privește GDPR

Voi avea nevoie în permanență de consimțământ pentru a prelucra datele?

Nu- una dintre cele mai greșite concepții despre GDPR este că prelucrarea tuturor datelor poate fi făcută numai cu acordul persoanelor fizice ale căror date sunt procesate.

Într-o și mai precisă căutare a adevărului, vom descoperi consimțământul ca fiind doar una dintre cele 6 condiții stabilite pentru procesarea legală a datelor, cuprinse în Articolul 6 (1) al GDPR:

(a) persoana vizată și-a dat acordul pentru prelucrarea datelor sale cu caracter personal în unul sau mai multe scopuri;

(b) prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a lua măsuri la cererea persoanei vizate înainte de a încheia un contract;

(c) prelucrarea este necesară pentru respectarea unei obligații legale la care este supusă controlorul;

(d) prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate;

(e) prelucrarea este necesară pentru îndeplinirea unei sarcini îndeplinite în interes public sau în exercitarea autorității publice a controlorului;

f) prelucrarea este necesară în scopul intereselor legitime urmărite de un operator, cu excepția cazului în care aceste interese sunt depășite de interesele sau drepturile și libertățile fundamentale ale persoanei vizate care necesită protecția datelor cu caracter personal, în special în cazul în care persoana vizată este un copil. Acest lucru nu se aplică prelucrărilor efectuate de autoritățile publice în îndeplinirea sarcinilor lor.

De exemplu, în cazul unei urgențe medicale, veți fi autorizat să luați legătura cu persoanele care se ocupă de aceasta, fără a fi necesar astfel un consimțământ. Sunteți liber să procedați la acestea în sensul protejării intereselor vitale ale titularului datelor.

În timpul procesării datelor, ceea ce este de o importanță vitală este identificarea temeiului legal care vă permite să efectuați această procedură. Pentru aceasta, se impune o documentare minuțioasă asupra legislației referitoare. Nu numai că astfel puteți fi sigur de conformitatea cu GDPR, dar se constituie și ca o dovadă a planificării și alinierii cu acest regulament, în cazul in care veți fi supus unui control ANSPDCP.

Un domeniul în care obținerea consmițământului este important este marketingul. Fie că îl obțineți prin mail, telefon sau orice altă cale, în cazul în care se doresc a fi procesate datele cu caracter personal, consimțământul în acest caz este absolut necesar.

 

Cum pot obține consimțământul pentru a prelucra în scop de marketing?

În zilele de astăzi, consimțământul trebuie să fie obținut în mod liber, specific, informat și oferit în cunoștință de cauză, o oglindă a dorințelor persoanei vizate, prin care el sau ea, printr-o declarație sau printr-o acțiune clară afirmativă, este de acord cu prelucrarea datelor cu caracter personal care o/îl privesc.

În practică, lucrurile nu stau atât de rău pe cum sună. Existența unei căsuțe de bifat care indică în mod clar și exact asupra căror procedee se supune utilizatorul, ar trebui să fie de ajuns.

Cu toate acestea, deși cantitativ, conținutul datelor datelor personale pe care le dețineți vor scădea considerabil, calitatea acestora se va îmbunătăți. Promovarea activității pe care o desfășurați va fi de departe mult mai eficientă în fața unei persoane care prezintă interes față de aceasta, în comparație cu alte 10 persoane care se situează într-un alt centru de interes. Așa cum am menționat anterior, GDPR are efecte retroactive, așa că în cazul în care încă mai dețineți date personale pe care le-ați procurat înainte de 25 mai 2018, ar fi de o mare importanță a vă pune în legalitate.

 

Cum ar trebui să arate o declarație opt-in prin care se oferă consimțământul?

Consimțământul oferit în mod liber

Acest lucru î înseamnă că persoanele vizate trebuie să aibă „dreptul la control și la a consimți în cunoștință de cauză”. În practică, înseamnă că nu poți forța o persoană să își dea consimțământul.

 

Consimțământul va trebui să fie precis

Trebuie să permiteți persoanelor vizate să știe exact pentru ce își acordă consimțământul. Deci, dacă sunteți în procurarea consimțământului pentru un newsletter de e-mail pe care îl trimiteți, va trebui să oferiți o scurtă descriere referitoare la conținutul pe care viitorul abonat îl va primi.

 

Consimțământul va trebui să fie oferit în cunoștință de cauză

Persoanele vizate au dreptul să știe cum vor fi prelucrate datele lor și ce control vor avea asupra procesării respective. Unul dintre principalele lucruri pe care trebuie să le faceți este să le spuneți că își pot retrage consimțământul în orice moment. De asemenea, trebuie să vă asigurați că persoana vizată cunoaște politica de confidențialitate.

 

Consimțământul trebuie să fie oferit în urma unei informări corecte

Încercarea de a trișa prin intermediul unui limbaj ambiguu și care creează confuzie nu reprezintă un mod valabil prin care se poate obține consimțământul unei persoane. Declarațiile opt-in rezultă așadar că va trebui să fie formulate cât mai simplist și accesibil.

 

Acordarea consimțământului va trebui să constituie într-o acțiune afirmativă

 

Există posibilitatea de a transmite datele cu caracter personal cu sponsorii evenimentului?

Cu excepția cazului în care aveți un consimțământ clar, acordat în mod liber din partea titularului, nu puteți împărtăși datele cu terțe părți. Ar trebui impusă o verificare a prevederilor contractelor cu asociații/colaboratorii dumneavoastră pentru a vă asigura că nu aveți obligația de a furniza aceste date.

În cazul în care deja ați transmis datele respective cu terțe persoane care nu îndeplinesc condițiile de legalitate a GDPR, va trebui să luați legătura cu acestea în sensul solicitării încetarea procesării datelor transmise.

 

 

6.              Următorii pași pentru alinierea GDPR

Este prea târziu să mă aliniez la GDPR?

GDPR se aplică deja, dar dacă nu ați făcut încă nicio modificare, nu vă aflați într-o situație singulară . Potrivit unui studiu, ¾ companii din România nu s-au aliniat la GDPR.

Pregătirea pentru conformitatea cu GDPR va necesita multă muncă, dar există câțiva pași pe care îi puteți urma. ANSPDCP afirmat că, deși nu va mai exista o perioadă de grație acum că GDPR a fost introdus, aceasta acceptă faptul că respectarea GDPR se asemană cu o „călătorie continuă” și presupune mult efort.

De unde ar trebui să încep în cadrul procesului conformării cu legalitatea?

Citirea acestui ghid este un început bun! Acum că sunteți conștient de principalele probleme legate de GDPR, va trebui să efectuați o revizuire completă a datelor personale pe care le procesați.

De asemenea, trebuie să luați în considerare părțile terțe cu care vă aflați în legătură și la modul în care interacționează cu aceste date. Reevaluați-vă contractele și verificați dacă se află în conformitate cu GDPR. Din poziția de operator de date, aceasta este responsabilitatea dvs.

În cazul în care în cadrul reviziei pe care o efectuați, sesizați posibile probleme de neconformitate, începeți să elaborați planuri de remediere. Acestea ar trebui să includă, de asemenea, domenii de responsabilitate pentru membrii personalului cu care vă desfășurați activitatea. Nu este vorba doar de specialiști IT și de membrii echipei dvs. de marketing care vor trebui să fie implicați. Începeți prin crearea unei conștientizări a importanței GDPR a angajaților. Este posibil ca fiecare dintre ei să aducă o contribuție, chiar și într-o măsură foarte mică, astfel încât să ajute la înlăturarea problemelor. Instruirea acestora va sta la baza procesului de a evita greșelile simple, cum ar fi criptarea incorectă a datelor atunci când sunt transmise, sau lăsarea documentației  datelor sensibile la vedere.

Laura Pintilie

 

Ai nevoie de consultanță GDPR? Scrie-ne la ruxandra.sava@legalup.ro

Dacă vrei să îți faci singur implementarea, documentația GDPR completă pentru industria organizării evenimentelor, incluzând formulare de consimțământ,  informări și politici de confidențialitate, contracte conforme GDPR se regăsesc în KIT-ul nostru complet de implementare GDPR.

De asemenea, în KIT-ul nostru de implementare GDPR, am inclus toate documentele necesare (registre, proceduri, politici, acorduri de confidentialitate, note de informare) astfel încât să îți protejezi afacerea. Urmând instrucțiunile și ghidurile explicate pe înțelesul tău, îți poți face chiar tu implementarea, evitând costurile consultanței.

Află mai multe despre KIT accesând https://legalup.avocatoo.ro/

 

 

 

 

Share.

About Author

Privacy and Technology Lawyer

Leave A Reply