Avocatura

GDPR în România: Ghid pentru persoane fizice și juridice

21 octombrie 2024

De la intrarea în vigoare a Regulamentului General privind Protecția Datelor (GDPR) pe 25 mai 2018, conceptul de date cu caracter personal a câștigat un nou nivel de relevanță și importanță. GDPR a fost creat cu scopul de a asigura și întări protecția datelor personale ale cetățenilor Uniunii Europene, aplicându-se indiferent de mediul în care aceste date sunt prelucrate, fie că este vorba de medii online sau offline, și indiferent de metoda de prelucrare, manuală sau automată.

Regulamentul își propune să ofere cetățenilor control mai mare asupra propriilor informații personale, într-o eră în care schimbul de date este omniprezent. GDPR nu numai că protejează datele, dar oferă și un cadru clar pentru companii și organizații despre cum trebuie gestionate aceste informații.

Ce sunt datele cu caracter personal?

Datele cu caracter personal reprezintă un concept central în cadrul Regulamentului General privind Protecția Datelor (GDPR), cuprinzând orice tip de informații care pot identifica direct sau indirect o persoană fizică. Acest spectru larg include, dar nu se limitează la, nume, numere de identificare, date de localizare sau detalii privind aspecte fizice, economice sau sociale ale unei persoane.

O persoană identificabilă se referă la orice individ care poate fi recunoscut printr-o varietate de mijloace, fie că este vorba de informații directe precum un număr de identitate, fie prin elemente mai subtile, cum ar fi comportamentul online sau amprentele digitale.

GDPR extinde această definiție pentru a include și datele pseudonimizate sau criptate, care, deși nu dezvăluie imediat identitatea, pot fi folosite pentru a reconstrui informații despre o persoană dacă sunt decriptate.

Pe lângă aspectele evidente, cum ar fi înregistrările medicale sau bancare, GDPR tratează și informații aparent banale, cum ar fi datele de utilizare a aplicațiilor de sănătate sau facturile de utilități, ca fiind personale, datorită impactului potențial asupra vieții private a individului atunci când sunt prelucrate.

Ce date sunt considerare cu caracter personal?

Datele cu caracter personal constituie o parte integrală a vieții noastre digitale, reflectând o multitudine de informații care ne descriu identitatea în lumea reală și în cea virtuală. Aceste date variază de la cele mai fundamentale, cum ar fi numele și adresa, la detalii mai complexe și intim legate de particularitățile noastre personale.

Identificatorii personali nu se limitează doar la informațiile de bază, ci includ și elemente precum codul numeric personal, locul și data nașterii, precum și alte detalii demografice, cum ar fi cetățenia sau etnia. Mai departe, identificatorii pot acoperi aspecte mai private, cum ar fi religia, afilierile politice sau starea civilă.

Datele personale se extind și la identificatori unici precum adresa IP, datele de localizare sau cookie-uri, care urmăresc comportamentul online. Informațiile financiare, cum ar fi numărul cardului bancar, împreună cu alte detalii sensibile, precum istoricul medical sau biometricele, cum ar fi amprentele și ADN-ul, sunt considerate date cu caracter personal. Chiar și aspecte aparent banale, cum ar fi un tatuaj distinctiv sau vocea, pot servi ca mijloace de identificare în anumite contexte.

Protejarea acestor date este foarte importantă deoarece ele pot fi exploatate în moduri care să afecteze confidențialitatea și securitatea individuală. Recunoașterea și înțelegerea spectrului larg de date personale ne ajută să fim mai conștienți de informațiile pe care le împărtășim și de măsurile de protecție pe care ar trebui să le aplicăm în viața digitală.

Care date nu sunt sub protecția GDPR?

Conform Regulamentului General privind Protecția Datelor (GDPR), informațiile care pot identifica direct sau indirect o persoană sunt clasificate drept date cu caracter personal. Aceasta include situațiile în care datele sunt inexacte, dar tot pot fi asociate cu o anumită persoană.

Există situații când anumite informații nu sunt subsumate acestei categorii. De exemplu, o adresă de email generică a unei companii sau informațiile referitoare la o persoană decedată nu sunt considerate date cu caracter personal. Acest lucru se datorează faptului că aceste informații nu pot fi legate de o persoană în viață, identificabilă.

Mai mult, identificatorii comerciali ai unei companii, cum ar fi un ID de afaceri, nu intră sub incidența GDPR deoarece nu se referă la o persoană fizică. Informațiile care au fost anonimizate în mod ireversibil, astfel încât identificarea persoanei să fie imposibilă, sunt excluse. Anonimizarea eficientă presupune transformarea datelor astfel încât legătura cu persoana originală să nu mai poată fi restabilită.

Un exemplu concret de informație care nu constituie date personale este o mențiune imprecisă, cum ar fi descrierea unei femei de pe o stradă inexistentă în București. În aceste cazuri, specificul datelor este atât de vag încât nu permite identificarea niciunei persoane, transformându-se astfel în informații fără caracter personal.

Pentru implementarea corectă a GDPR în cadrul unei companii, proprietarii de companii sunt îndrumați să colaboreze cu specialiști în drept comercial.

În ce situații este legală prelucrarea datelor cu caracter personal?

Gestionarea datelor cu caracter personal a devenit un subiect fierbinte de discuție, datorită importanței sale crescute în protejarea intimității individuale. Regulamentul General privind Protecția Datelor (GDPR) stabilește condițiile stricte sub care datele personale pot fi prelucrate legal, protejând astfel drepturile fundamentale ale persoanelor fizice.

Conform Articolului 6 din GDPR, prelucrarea datelor personale este permisă numai în anumite condiții bine definite. Una dintre cele mai comune situații este atunci când persoana vizată a acordat consimțământul explicit și clar pentru aceasta, cum ar fi acordul scris. Alte situații includ necesitatea prelucrării pentru executarea unui contract în care persoana este parte, cum ar fi verificarea antecedentelor înainte de închirierea unei proprietăți.

Prelucrarea este justificată atunci când trebuie respectate obligațiile legale, precum și în cazuri de urgență care implică salvarea vieților umane, deși aceasta din urmă se aplică în circumstanțe limitate și grave. Alte baze legale includ îndeplinirea unei sarcini care servește interesul public sau exercitarea autorității publice, exemplificată prin companiile care gestionează serviciile publice.

O altă bază legală, și anume interesul legitim, oferă o oarecare flexibilitate în prelucrarea datelor, deși trebuie să se asigure că drepturile persoanei vizate nu sunt depășite de interesele celor care prelucrează datele.

Indiferent de baza legală, transparența este esențială. Organizațiile trebuie să poată dovedi că există un temei legal pentru prelucrarea datelor și să informeze persoanele vizate în mod clar și precis despre cum și de ce sunt folosite datele lor.

În cazul schimbării temeiului legal este necesară reinformarea și reconsimțământul persoanei vizate, consolidând astfel principiul fundamental al transparenței în protecția datelor. Un specialist în servicii avocatură poate contribui la prelucrarea corectă a datelor cu caracter personal.

Implementarea GDPR în cadrul companiilor

Implementarea eficientă a GDPR în cadrul unei afaceri implică adoptarea unor măsuri integrate, care acoperă aspecte tehnice, organizatorice și juridice, pentru a asigura conformitatea cu regulamentul și protejarea datelor personale.

Pentru a îmbunătăți securitatea informațională, este esențială adoptarea unor soluții IT&C avansate, selectate pe baza unui audit amănunțit care identifică vulnerabilitățile și riscurile. Aceste măsuri pot include actualizarea infrastructurii fizice de securitate, cum ar fi camerele de supraveghere sau securizarea spațiilor de arhivare, și implementarea controlului accesului în facilitățile companiei.

Un plan organizatoric bine pus la punct sub umbrela GDPR ar trebui să cuprindă minimizarea datelor colectate, stabilirea unor termene precise pentru retenția datelor, și elaborarea de proceduri detaliate pentru gestionarea acestora.

Este esențială implementarea tehnologiilor de criptare și pseudonimizare pentru a asigura că datele personale nu pot fi legate direct de persoanele fizice. Companiile trebuie să dezvolte politici interne, să actualizeze contractele de muncă și să ofere traininguri periodice despre GDPR pentru personalul implicat.

La nivel juridic, conformitatea cu GDPR necesită redactarea și actualizarea constantă a politicilor și procedurilor interne, cum ar fi regulamentele interne, politici de confidențialitate, și termeni și condiții, toate adaptate la cerințele GDPR. Serviciile de asistență juridică oferite de specialiști sunt esențiale în acest sens.

Este foarte importantă revizuirea contractelor cu partenerii externi și adaptarea anexelor la contractele comerciale pentru a reflecta standardele GDPR. Companiile trebuie să întocmească registre GDPR, să elaboreze rapoarte de progres și să dezvolte manuale de comunicare și metodologii conforme.

Persoanele fizice trebuie să respecte aceleași reguli privind protecția datelor!

Deși mulți asociază GDPR-ul preponderent cu entitățile juridice, realitatea este că regulamentul se aplică oricui prelucrează date cu caracter personal, inclusiv persoanelor fizice.

Este important să înțelegem ce înseamnă “prelucrarea datelor”. Acest termen acoperă o gamă largă de operațiuni efectuate asupra datelor personale, de la colectarea, înregistrarea și organizarea lor, până la stocare, modificare, consultare și chiar distrugere. Practic, orice manipulare a datelor personale intră sub incidența acestui termen.

Un exemplu concret al modului în care o persoană fizică poate prelucra datele este utilizarea rețelelor sociale. Atunci când postăm fotografii în care sunt vizibile chipuri ale altor persoane, intrăm în categoria procesării datelor. La fel stau lucrurile și în cazul instalării camerelor de supraveghere, fie că sunt plasate la domiciliu, pe balcon sau pe vehiculul personal.