Ce este regulamentul 679/2016?
Acest regulament abroga Directiva 95, ce in prezent reprezinta regulamentul general privind protectia datelor, considerat vulnerabil si slab reglementat. Noul Regulament 679/2016 (GDPR – General Data Protection Regulation) are rolul de a implementa reguli stricte si clare in privinta colectarii si utilizarii datelor cu caracter personal.
Regulamentul va intra in vigoare din 25 mai 2018. Pana la aceasta data, toti actorii vizati vor trebui sa-si adapteze abordarile si procedurile conform noii legislatii cu aplicabilitate la nivel european.
De ce a fost nevoie de Regulamentul 679/2016
Integrarea economică şi socială care rezultă din funcţionarea pieţei interne a condus la o creştere substanţială a fluxurilor transfrontaliere de date cu caracter personal. Schimbul de date cu caracter personal între actori publici şi privaţi, inclusiv persoane fizice, asociaţii şi întreprinderi, s-a intensificat în întreaga Uniune.
Evoluţiile tehnologice rapide şi globalizarea au generat noi provocări pentru protecţia datelor cu caracter personal. Amploarea colectării şi a schimbului de date cu caracter personal a crescut în mod semnificativ. Tehnologia permite atât societăţilor private, cât şi autorităţilor publice să utilizeze date cu caracter personal la un nivel fără precedent în cadrul activităţilor lor.
Persoanele fizice ar trebui să aibă control asupra propriilor date cu caracter personal, iar securitatea juridică şi practică pentru persoane fizice, operatori economici şi autorităţi publice ar trebui să fie consolidată.
Regulamentul permite statelor membre sa aiba o marja de manevra in a defini cu o mai mare precizie conditiile in care se poate face prelucrarea datelor cu caracter personal. Astfel, va fi aplicabila legislatia simultan legislatia UE si legislatia romana. In Romania, Legea 677/2001 stabileste normele interne privind prelucrarea datelor cu caracter personal.
Este necesar un regulament în scopul de a furniza securitate juridică şi transparenţă pentru operatorii economici, inclusiv microîntreprinderi şi întreprinderi mici şi mijlocii, precum şi de a oferi persoanelor fizice în toate statele membre acelaşi nivel de drepturi, obligaţii şi responsabilităţi opozabile din punct de vedere juridic pentru operatori şi persoanele împuternicite de aceştia, pentru a se asigura o monitorizare coerentă a prelucrării datelor cu caracter personal, sancţiuni echivalente în toate statele membre, precum şi cooperarea eficace a autorităţilor de supraveghere ale diferitelor state membre.
În plus, instituţiile şi organele Uniunii şi statele membre şi autorităţile lor de supraveghere sunt încurajate să ia în considerare necesităţile specifice ale microîntreprinderilor şi ale întreprinderilor mici şi mijlocii în aplicarea prezentului regulament.
Pe cine protejeaza Regulamentul?
Protecţia conferită de prezentul regulament ar trebui să vizeze persoanele fizice, indiferent de cetăţenia sau de locul de reşedinţă al acestora, în ceea ce priveşte prelucrarea datelor cu caracter personal ale acestora. Regulamentul nu se aplică prelucrării datelor cu caracter personal care privesc persoane juridice şi, în special, întreprinderi cu personalitate juridică, inclusiv numele şi tipul de persoană juridică şi datele de contact ale persoanei juridice.
Principiile protecţiei datelor ar trebui să se aplice oricărei informaţii referitoare la o persoană fizică identificată sau identificabilă.
Orice prelucrare a datelor cu caracter personal în cadrul activităţilor unui sediu al unui operator sau al unei persoane împuternicite de operator din Uniune ar trebui efectuată în conformitate cu prezentul regulament, indiferent dacă procesul de prelucrare în sine are loc sau nu în cadrul Uniunii.
Cum isi dau acordul persoanele fizice pentru a li se edita datele personale?
Consimţământul ar trebui acordat printr-o acţiune neechivocă care să constituie o manifestare liber exprimată, specifică, în cunoştinţă de cauză şi clară a acordului persoanei vizate pentru prelucrarea datelor sale cu caracter personal, ca de exemplu o declaraţie făcută în scris, inclusiv în format electronic, sau verbal.
Care sunt regulile prelucrarii datelor cu caracter personal?
- Informarea persoanelor printr-un limbaj simplu si clar
Orice informaţii şi comunicări referitoare la prelucrarea respectivelor date cu caracter personal sunt uşor accesibile şi uşor de înţeles şi că se utilizează un limbaj simplu şi clar. Acest principiu se referă în special la informarea persoanelor vizate privind identitatea operatorului şi scopurile prelucrării, precum şi la oferirea de informaţii suplimentare, pentru a asigura o prelucrare echitabilă şi transparentă în ceea ce priveşte persoanele fizice vizate şi dreptul acestora de a li se confirma şi comunica datele cu caracter personal care le privesc care sunt prelucrate. Persoanele fizice ar trebui informate cu privire la riscurile, normele, garanţiile şi drepturile în materie de prelucrare a datelor cu caracter personal şi cu privire la modul în care să îşi exercite drepturile în legătură cu prelucrarea. În special, scopurile specifice în care datele cu caracter personal sunt prelucrate ar trebui să fie explicite şi legitime şi să fie determinate la momentul colectării datelor respective.
Colectarea in sens limitativ doar a datelor necesare
Datele cu caracter personal ar trebui să fie adecvate, relevante şi limitate la ceea ce este necesar pentru scopurile în care sunt prelucrate. Aceasta necesită, în special, asigurarea faptului că perioada pentru care datele cu caracter personal sunt stocate este limitată strict la minimum.
Datele cu caracter personal ar trebui prelucrate doar dacă scopul prelucrării nu poate fi îndeplinit în mod rezonabil prin alte mijloace.
Oferirea posibilitatii utilizatorului de a-si sterge datele personale stocate
În vederea asigurării faptului că datele cu caracter personal nu sunt păstrate mai mult timp decât este necesar, ar trebui să se stabilească de către operator termene pentru ştergere sau revizuirea periodică. Ar trebui să fie luate toate măsurile rezonabile pentru a se asigura că datele cu caracter personal care sunt inexacte sunt rectificate sau şterse. Datele cu caracter personal ar trebui prelucrate într-un mod care să asigure în mod adecvat securitatea şi confidenţialitatea acestora, inclusiv în scopul prevenirii accesului neautorizat la acestea sau utilizarea neautorizată a datelor cu caracter personal şi a echipamentului utilizat pentru prelucrare.
Astfel, operatorul va trebui sa specifice exact termenul pentru care va pastra datele personale.
Obtinerea consimtamantului persoanei pentru prelucrarea datelor
Pentru ca prelucrarea datelor cu caracter personal să fie legală, aceasta ar trebui efectuată pe baza consimţământului persoanei vizate.
Consimţământul ar trebui acordat printr-o acţiune neechivocă care să constituie o manifestare liber exprimată, specifică, în cunoştinţă de cauză şi clară a acordului persoanei vizate pentru prelucrarea datelor sale cu caracter personal, ca de exemplu o declaraţie făcută în scris, inclusiv în format electronic, sau verbal.
Acesta ar putea include bifarea unei căsuţe atunci când persoana vizitează un site, alegerea parametrilor tehnici pentru serviciile societăţii informaţionale sau orice altă declaraţie sau acţiune care indică în mod clar în acest context acceptarea de către persoana vizată a prelucrării propuse a datelor sale cu caracter personal.
Prin urmare, absenţa unui răspuns, căsuţele bifate în prealabil sau absenţa unei acţiuni nu ar trebui să constituie un consimţământ.
Consimţământul ar trebui să vizeze toate activităţile de prelucrare efectuate în acelaşi scop sau în aceleaşi scopuri. Dacă prelucrarea datelor se face în mai multe scopuri, consimţământul ar trebui dat pentru toate scopurile prelucrării.
În cazul în care consimţământul persoanei vizate trebuie acordat în urma unei cereri transmise pe cale electronică, cererea respectivă trebuie să fie clară şi concisă şi să nu perturbe în mod inutil utilizarea serviciului pentru care se acordă consimţământul.