Legislația privind protecția datelor nu este nimic nou, dar GDPR îmbunătățește regulile, introduce obligații mai dure și se bazează pe sau modifică definițiile anterioare privind protecția datelor. Iată câteva răspunsuri la îndemână la întrebările frecvente.

despre

Î: Care este relația dintre GDPR și Legea privind protecția datelor din Regatul Unit (DPA)?

A: Ca Regulament al UE, GDPR a devenit automat aplicabil în toate statele membre ale UE începând cu 25 mai 2018.

GDPR oferă statelor membre UE oportunități limitate de a adopta dispoziții pentru a varia modul în care se aplică în țara lor, cunoscute sub numele de „derogări”. Legea privind protecția datelor din 2018 din Marea Britanie este acum în vigoare pentru a oferi claritate organizației britanice modul în care GDPR aplică Regatul Unit, inclusiv poziția Regatului Unit cu privire la aceste derogări.

De exemplu, Marea Britanie a stabilit vârsta de consimțământ a unui copil în ceea ce privește serviciile societății informaționale la 13 ani. Această vârstă va diferi în alte state membre.

DPA 2018 acoperă, de asemenea, prelucrarea datelor care nu se încadrează în legislația UE, de exemplu imigrația și securitatea națională. Prin urmare, este important ca GDPR și DPA 2018 să fie citite unul lângă celălalt.

Î: Cum s-a modificat definiția „datelor cu caracter personal” conform GDPR?

A: Datele cu caracter personal sunt orice informații care se referă la o persoană vie care poate fi identificată sau identificabilă din aceste informații. De exemplu, un nume, o adresă, un număr de pașaport, date despre locație, un identificator online și lista continuă. Pe lângă faptul că include în mod clar datele de contact ale persoanelor, acesta se extinde și la contactele noastre comerciale din care putem fi identificați.

Conceptul de identificabil necesită o analiză atentă; o singură informație plus o altă informație ar putea face o persoană identificabilă?

Este demn de remarcat faptul că GDPR se aplică datelor cu caracter personal care sunt prelucrate în totalitate sau parțial prin mijloace automate. Dacă nu sunt automatizate, datele personale care fac parte dintr-un sistem de înregistrare (sau care sunt destinate să facă parte din sistemul de înregistrare) ar fi acoperite de regulament.

Î: Ce sunt datele de categorie specială?

A: Anumite tipuri de date cu caracter personal necesită niveluri mai ridicate de protecție. În cadrul precedentului APD din 1998 a fost folosit termenul „date sensibile”. Definiția a ceea ce se numește acum „categorii speciale” de date cu caracter personal a fost îmbunătățită conform GDPR și acoperă datele cu caracter personal care dezvăluie:

  • origine rasială sau etnică
  • opiniile politice
  • credințe religioase sau filosofice
  • apartenență la sindicat
  • date privind sănătatea sau viața sexuală
  • orientarea sexuală
  • date genetice
  • date biometrice

Prelucrarea acestor informații este restricționată conform GDPR. Consultați articolul 9 din RGPD pentru mai multe detalii.

Uneori, acest lucru necesită o analiză atentă, deoarece la început s-ar putea să nu credeți că prelucrați date de categorie specială. Merită luat în considerare faptul că unele cerințe dietetice ar putea indica credințe religioase și diferite informații aparent inofensive dacă combinate ar putea dezvălui orientarea sexuală.

Mulți oameni se întreabă de ce informațiile de mai sus beneficiază de o protecție specială, rădăcina acestora rezidând în drepturile omului și principiile de protecție a datelor care au apărut în Europa după cel de-al doilea război mondial. Un război în care indivizii au fost persecutați pentru originea lor etnică, credințele religioase sau chiar orientarea sexuală.

Î: Care sunt cele 7 principii de protecție a datelor GDPR?

A: Legile privind protecția datelor din întreaga lume au avut întotdeauna la bază principiile de bază ale protecției datelor. GDPR subliniază în mod specific cerința ca organizațiile să fie responsabile. Cele șapte principii sunt:

1. Legalitate, corectitudine și transparență

2. Limitarea scopului - fiți clar cu privire la scopul (scopurile) pentru care veți utiliza datele cu caracter personal

3. Minimizarea datelor - colectați doar datele cu caracter personal de care aveți nevoie pentru scopurile dvs. clare

4. Acuratețe - datele cu caracter personal nu trebuie să fie inexacte sau înșelătoare

5. Limitarea stocării - nu păstrați datele personale mai mult decât aveți nevoie pentru scopurile dvs. clare

6. Securitate - asigurați-vă că există măsuri de securitate adecvate pentru a proteja datele cu caracter personal

7. Responsabilitate - trebuie să puteți demonstra angajamentul față de toate cele de mai sus.

Î: Care este diferența dintre un operator de date și un procesor?

A: Poate exista o anumită confuzie în legătură cu diferența dintre un controler și un procesor și, într-adevăr, aceste roluri pot fi uneori complexe de constatat. De asemenea, unele organizații pot acționa atât ca controlor, cât și ca procesor pentru diferite activități de procesare.

În esență, distincția care trebuie trasată este că controlorul determină mijloace și scopuri de prelucrare a datelor cu caracter personal („de ce” și „cum” vor fi utilizate datele) ”și un procesator este instruit de un operator să proceseze datele cu caracter personal în numele operatorului. Procesorul nu poate schimba scopul sau utilizarea datelor.

GDPR stabilește un echilibru de responsabilități plasate atât asupra controlorului, cât și asupra procesatorului, făcându-le atât responsabile în comun, cât și în mod solid.

Articolul 28 din GDPR prevede că contractele scrise între controlori și procesatori sunt o cerință strictă.

Î: Ce drepturi au indivizii?

A: Conform GDPR, există 8 drepturi fundamentale ale persoanelor și acestea sunt:

Î: Ce este solicitarea de acces a persoanelor vizate?

A: Dreptul de acces, cunoscut și sub denumirea de DSAR, oferă persoanelor fizice dreptul de a obține o copie a datelor lor personale procesate de către un operator, precum și alte informații suplimentare. (A se vedea articolul 15). Acest „drept de acces” îi ajută pe indivizi să înțeleagă de ce și cum utilizați datele lor personale.

O organizație care a primit un DSAR are o lună calendaristică de la data primirii pentru a furniza informații persoanei respective. În cazul în care operatorul solicită identificarea persoanei, atunci data va începe odată ce a fost furnizată identificarea. În scopuri practice, dacă este necesar un număr constant de zile (de exemplu, în scopuri operaționale sau de sistem), poate fi util să adoptați o perioadă de 28 de zile pentru a vă asigura că conformitatea este întotdeauna într-o lună calendaristică.

O cerere poate fi făcută în scris sau verbal și poate fi adresată oricărei părți a unei organizații (inclusiv prin intermediul rețelelor sociale) și nu trebuie să fie adresată unei anumite persoane sau punct de contact. O cerere nu trebuie să includă expresia „cerere de acces la subiect”, atâta timp cât este clar că persoana solicită propriile date personale.

Î: Ce sunt „bazele legale”?

A: Conform GDPR, există șase baze legale pentru prelucrarea datelor cu caracter personal. Ce bază să utilizați va depinde de scopul și relația cu persoana ale cărei date doriți să le prelucrați. Este important să rețineți că nicio bază nu este „mai bună” sau mai importantă decât cealaltă și trebuie să vă stabiliți baza legală pentru fiecare activitate de procesare. Cele șase baze legale pentru prelucrare sunt:

Î: Ce este o încălcare a datelor cu caracter personal?

A: O încălcare a datelor cu caracter personal înseamnă o încălcare a securității care duce la distrugerea accidentală sau ilegală, pierderea, modificarea, divulgarea neautorizată sau accesul la datele cu caracter personal. Aceasta include încălcările care rezultă atât din cauze accidentale, cât și din cauze deliberate.
Este important să se facă distincția între un incident de date, care poate include sau nu date cu caracter personal, și o încălcare efectivă a datelor (care include date cu caracter personal).

Un exemplu de încălcare a datelor ar putea fi trimiterea de date cu caracter personal către destinatarul greșit, un stick USB, un telefon mobil sau un laptop pierdut sau furat sau un atac malware sau phishing. Multe încălcări ale datelor se datorează erorilor umane, astfel încât instruirea personalului este importantă pentru a atenua riscurile, la fel de critică este instituirea unor măsuri de securitate organizaționale și tehnice solide.

Î: Ce ar trebui să fac dacă există o încălcare a datelor?

A: Când s-a produs o presupusă încălcare a datelor cu caracter personal, este esențial să se stabilească probabilitatea și gravitatea riscului pentru drepturile și libertățile oamenilor. Ar trebui luate măsuri imediate pentru a se asigura că nu sunt compromise alte date cu caracter personal. Trebuie să vă anunțați autoritatea de supraveghere (în Regatul Unit, care este ICO) în termen de 72 de ore dacă considerați că încălcarea prezintă un „risc” pentru cei afectați.

Există o cerință suplimentară de a notifica persoanele afectate fără întârzieri nejustificate dacă încălcarea reprezintă un „risc ridicat” pentru ei. Dacă alegeți să nu o raportați la ICO, trebuie să documentați acea decizie, astfel încât să vă puteți justifica poziția ulterior, dacă este necesar.

Puteți citi mai multe despre cum să raportați o încălcare a datelor pe site-ul web ICO.

Î: Ce este o notificare de confidențialitate conform GDPR?

A: O notificare de confidențialitate este o declarație publică care subliniază modul în care organizația dvs. aplică principiile cheie de protecție a datelor atunci când prelucrează date cu caracter personal. Astfel de notificări trebuie să fie transparente și scrise într-un mod clar și ușor de înțeles, accesibil persoanelor. Consultați, de asemenea, ghidul ICO privind dreptul de a fi informat.

Î: Care vor fi sancțiunile financiare pentru nerespectarea GDPR?

A: Există diferite straturi de amenzi în funcție de tipul încălcării, dar nerespectarea GDPR ar putea duce la amenzi de până la maximum 20 de milioane EUR sau 4% din cifra de afaceri globală anuală. Aceste amenzi potențiale sunt mult mai mari decât în ​​legislația anterioară.

ICO și alte organisme europene de reglementare au, de asemenea, o serie de puteri corective și sancțiuni. Aceștia pot solicita unei organizații să înceteze prelucrarea datelor cu caracter personal și pot investi în diferite moduri, cum ar fi efectuarea de audituri, emiterea de avertismente sau solicitarea accesului la sediu. În plus față de aceste consecințe, ar trebui să luați în considerare și potențialul de a afecta reputația și prețul acțiunii unei organizații din cauza unei încălcări a datelor care devine publică.

Informațiile furnizate și opiniile exprimate în acest document reprezintă punctele de vedere ale Rețelei de protecție a datelor. Ele nu constituie consultanță juridică și nu pot fi construite ca oferind îndrumări cuprinzătoare cu privire la Regulamentul general al UE privind protecția datelor (GDPR) sau alte măsuri statutare menționate.