Definiții GDPR
Persoana vizată
Persoana vizată este o persoană fizică. Exemple de persoane vizate pot fi: candidați, studenți, angajați, persoane de contact etc.
Date personale
Datele cu caracter personal reprezintă informații care, prin ele însele sau cu ajutorul cărora, împreună cu alte informații, pot conduce la identificarea unei persoane fizice.
Exemple de date personale: nume, fotografie, adresă de e-mail, număr de telefon, detalii bancare, postări pe siteuri de socializare, informații medicale, adresa IP sau o combinație a datelor care identifică direct sau indirect persoana respectivă.
Date personale sensibile
GDPR menționează datele personale sensibile ca fiind “categorii speciale de date cu caracter personal”. Printre categoriile speciale de date se includ originea rasială sau etnică, afilierile și opiniile politice, credințele religioase sau filosofice, apartenența la sindicate, orientarea sexuală și detalii privind sănătatea, date genetice și biometrice.
Datele cu caracter personal referitoare la anchete în curs sau condamnările penale și infracțiunile nu sunt incluse, dar se impun măsuri de protecție suplimentare pentru prelucrarea acestora.
Operator de date personale (Data Controller)
Orice organizație, persoană sau organism care determină scopurile și mijloacele de prelucrare a datelor cu caracter personal, controlează datele și este responsabilă pentru aceasta, singură sau în comun.
Exemple atunci când Operatorul este o persoană fizică: medicii de familie, farmaciștii și politicienii, atunci când păstrează date personale despre pacienții, clienții, constituenții lor etc.
Împuternicit (Data processor)
Un împuternicit procesează datele în numele unui operator.
Exemplele: companii care ofera servicii de calcul al salariilor, firmele de contabilitate, contabili și companiile de cercetare de piață.
Responsabilul cu protecţia datelor – DPO
Numirea unui responsabil cu protecția datelor (DPO) este obligatorie dacă:
- prelucrarea este efectuată de o autoritate publică;
- activitățile de bază ale unui operator/ împuternicit necesită fie monitorizarea regulată și sistematică a persoanelor vizate pe scară largă, fie constă în prelucrarea unor categorii speciale de date sau date privind condamnările penale;
- instituția are mai mult de 250 angajați.
Responsabilitatea (accountability)
Responsabilitatea este capacitatea instituției (operatorului de date) de a demonstra conformitatea cu regulile GDPR. Regulamentul stipulează, în mod explicit, că aceasta este răspunderea organizației. Pentru a demonstra conformitatea, trebuie implementate măsuri tehnice și organizatorice adecvate. Cele mai bune practici, cum ar fi evaluările impactului asupra vieții private și asigurarea protecției datelor începând cu momentul conceperii (privacy by design), sunt acum cerute din punct de vedere legal în anumite circumstanțe.
Consimțământul
Consimțământul este încuvințarea “liberă, specifică, informată și lipsită de ambiguitate” din partea unei persoane, prin care aceasta își exprimă acordul privind prelucrarea datelor sale personale pentru unul sau mai multe scopuri, fie printr-o declarație, fie printr-o acțiune afirmativă clară.
Acțiunea afirmativă sau opțiunea pozitivă înseamnă că în acest caz consimțământul nu poate fi dedus din tăcere, căsuțe pre-bifate sau inacțiune. De asemenea, trebuie să fie separat de termeni și condiții și să existe o posibilitate simpla de a fi retras.
Consimțămintele existente nu trebuie să fie actualizate automat în pregătirea pentru GDPR, dar trebuie să respecte standardul GDPR pentru a fi specific, granulare, clare, opt-in, documentate corespunzătoare și ușor de retras.
Consimțământul nu este necesar a fi obținut în condițiile în care între organizație și persona ale cărei date sunt colectate există un contract între părți, datele respective fiind necesare pentru întocmirea acestuia. De asemenea, datele personale pot fi colectate/ procesate, fără consimțământ prealabil, dacă există o prevedere legală prin care operatorul de date este obligat să le dețină. Exemple: contractul de studii, contractul de muncă, legea contabilității etc.
Evaluarea impactului asupra vieții private (PIA)
GDPR impune o nouă obligație operatorilor și procesatorilor de date, care trebuie să efectueze o evaluare a impactului asupra protecției datelor (cunoscută și ca evaluare a impactului asupra vieții private sau PIA) înainte de a efectua orice prelucrare cu risc specific de confidențialitate datorită naturii, motivului sau scopului colectării/ procesării.
Procesarea datelor cu caracter personal
Procesarea constă în orice operațiune efectuată asupra datelor personale cum ar fi crearea, colectarea, stocarea, vizualizarea, transportul, utilizarea, modificarea, transferul, ștergerea etc., prin mijloace automatizate sau nu.
Profilarea
Profilarea constă în orice formă de prelucrare automată a datelor cu caracter personal, destinată evaluării anumitor aspecte personale referitoare la o persoană, analizării sau predicției, în special a performanței persoanei la locul de muncă, situației economice, locației, sănătății, preferințelor personale, fidelității sau comportamentului.
Dreptul de acces
Este dreptul persoanei vizate de a obține, de la operator, la cerere, anumite informații referitoare la prelucrarea datelor sale cu caracter personal.
Aria geografică
Domeniul de aplicare teritorial al GDPR include Spațiul Economic European (SEE – toate cele 28 de state membre ale UE), Islanda, Lichtenstein și Norvegia și nu include Elveția.
Terți
O terță parte este orice persoană fizică sau juridică (autoritate publică, agenție sau orice alt organism), în afară de persoana vizată, operatorul, împuternicitul și persoanele care, sub directa autoritate a operatorului sau a împuternicitului, sunt autorizate să proceseze datele.
Transferul
Transferul de date cu caracter personal către țări din afara SEE sau către organizații internaționale este supus unor restricții. Ca și în cazul Directivei privind protecția datelor, datele nu trebuie transportate fizic pentru a fi considerat că sunt transferate. Vizualizarea datelor găzduite într-o altă locație ar reprezenta un transfer în sensul GDPR.
Legislatie
Directiva europeană 95/46/EC, care reglementează prelucrarea datelor cu caracter personal în UE, este înlocuită de GDPR de la 25 mai 2018. Directiva a introdus standarde minime, care au fost implementate prin legislație separată de către fiecare stat membru UE. Acest lucru a oferit statelor membre opțiunea de a extinde domeniul de aplicare a directivei sau de a menține standardele înalte preexistente sau de a decide să nu profite din plin de derogări, ceea ce explică de ce s-au aplicat diferite standarde de protecție a datelor în spațiul european.
Directiva poate fi găsită online la adresa: http://ec.europa.eu/justice/policies/privacy/docs/95–46–ce/dir1995–46_part1_en.pdf
GDPR
Regulamentul general privind protecția datelor (GDPR) a fost adoptat ca Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016.
Spre deosebire de Directiva privind protecția datelor, GDPR se va aplica direct în fiecare stat membru UE, fără a fi nevoie de o legislație de punere în aplicare și va crea un cadru în care să se poată stabili norme mai detaliate. Acest lucru armonizează legislația din Europa.
Regulamentul poate fi găsit online la adresa: https://eur–lex.europa.eu/legal–content/EN/TXT/?uri=celex%3A32016R0679
Directiva e-Privacy
Directiva e-Privacy a fost adoptată pentru prima dată ca Directiva 2002/58/EC a Parlamentului European și a Consiliului. În prezent, controlează drepturile de confidențialitate aplicate tehnologiei și conținutului de comunicații electronice.
Directiva poate fi găsită online la adresa: http://eur–lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32002L0058:en:HTML
Regulamentul e-Privacy
După adoptarea GDPR, directiva e-Privacy va fi revizuită pentru a respecta GDPR și va aborda inovațiile tehnologice create de la ultima modificare a directivei din 2009. Un proiect de propunere al regulamentului intitulat “Regulamentul privind confidențialitatea și comunicațiile electronice” a fost lansat la 10 ianuarie 2017. Regulamentul va fi aplicabil oricărui furnizor de servicii de comunicații electronice sau oricărei entități care prelucrează date de comunicații electronice. Aceasta va influența modul în care organizațiile interacționează electronic cu cetățenii UE, inclusiv urmărirea utilizatorilor, colectarea de date în dispozitivele utilizatorilor și marketingul direct.
Proiectul de regulament și documentele aferente pot fi găsite online la adresa: https://ec.europa.eu/digital–single–market/en/news/proposal–regulation–privacy–and–electroniccommunications
Organismele GDPR
EDPS
Autoritatea Europeană pentru Protecția Datelor (EDPS) a fost înființată în 2004, cu scopul de a se asigura că instituțiile și organismele UE respectă dreptul persoanelor la viața privată atunci când prelucrează datele cu caracter personal. În funcțiile sale principale, EDPS (1) supraveghează prelucrarea datelor cu caracter personal de către administrația UE, pentru a asigura conformitatea cu regulile de confidențialitate, pentru a gestiona plângerile și pentru a efectua anchete; și (2) consiliază instituțiile și organismele UE cu privire la toate aspectele legate de prelucrarea datelor cu caracter personal și de politicile și legislația conexe.
Grupul de lucru “Articolul 29”
Grupul de lucru “Articolul 29” (“A29WP”) este un organism non-reglementator pentru protecția datelor. Funcția sa principală este de a oferi consultanță experților și de a face recomandări statelor membre și publicului cu privire la protecția datelor și prelucrarea datelor cu caracter personal. Organismul în sine este format din reprezentanți ai autorităților naționale din domeniul protecției datelor ale UE, Autorității Europene pentru Protecția Datelor (“EDPS”) și Comisiei Europene. Acesta a fost transformat în “Comitetul european pentru protecția datelor” (“EDPB”) în cadrul GDPR.
EDPB
Consiliul European pentru Protecția Datelor va înlocui Grupul de lucru “Articolul 29”, iar funcțiile sale vor include asigurarea consecvenței în aplicarea GDPR, consilierea Comisiei Europene, emiterea de coduri de practică și recomandări, acreditarea organismelor de certificare și emiterea de avize cu privire la proiecte pentru decizii ale autorităților de supraveghere.
DPA/ Autoritatea de supraveghere
Autoritățile naționale de protecție a datelor (“DPA”) sunt însărcinate cu protecția vieții private și a datelor cu caracter personal. Fiecare stat membru a desemnat un organism DPA care să pună în aplicare și să aplice legea locală privind protecția datelor și să ofere îndrumare. DPA au competențe semnificative de executare, inclusiv capacitatea de a da amenzi substanțiale.