Ce este GDPR și cum iți va afecta navigarea pe Internet. În decembrie 2015, internetul a făcut ceva gălăgie la adresa UE și a unui proiect de lege care acoperă și vârsta pe care ar trebui s-o aibă adolescenții, ca să nu ceară acordul părinților. Au trecut aproape doi ani și lumea aproape a uitat de acest proiect, doar că el a mers înainte și din mai 2018 va fi aplicat.
Regulamentul european 679/2016 privind protecția datelor cu caracter personal, prescurtat GDPR (General Data Protection Regulation), vine să întărească modul în care sunt protejate datele cu caracter personal ale cetățenilor uniunii europene.
Fie că discutăm doar de stocarea anumitor informații privind persoanele fizice, fie că discutăm de utilizarea acestora în diverse scopuri (crearea de profiluri, vânzarea bazei de date, monitorizarea persoanelor), actorii implicați au o serie de drepturi și obligații clar determinate.
Mai recent, odată cu audierea lui Mark Zuckerberg, director și fondator Facebook, GDPR a reapărut în atenția oamenilor. Șeful Facebook susține că în Europa se va conforma. Totuși, nu vrea să discute prea mult pe tema asta, că s-ar putea ca legislatorii din Statele Unite ale Americii să vrea implementarea unei legi similare.
Cum poți înțelege mai ușor GDPR
În primul rând, trebuie să înțelegi concepte ca: „date cu caracter personal”, „prelucrare” și „operator”, necesare pentru a înțelege efectele GDPR-ului.
Informațiile privind persoana fizică (datele cu caracter personal), care sunt protejate, sunt acele informații prin care aceasta poate fi identificată. Aici menționez: nume, număr de identificare, identificator online, date de localizare, originea rasială sau etnică, opiniile politice, confesiunea religioasă, convingeri filozofice, apartenența la sindicate, orientarea sexuală sau date privind sănătatea.
Sunt considerate date cu caracter personal și acele elemente specifice care ne deosebesc de ceilalți membri ai societății. Sau cele care doar ne încadrează în anumite categorii. Aici intră elemente cum ar fi un timbru deosebit al vocii, un tatuaj, o tunsoare, utilizarea unui anume tip de salut, nivelul veniturilor sau anumite preferințe culturale.
Prin prelucrarea datelor cu caracter personal se înțelege orice operațiune efectuată asupra acestora. Iar aici intră colectarea, stocarea, reorganizarea, consultarea, modificarea, utilizarea sau transmiterea, dar și ștergerea sau distrugerea. Crearea de profiluri, pentru a evalua anumite aspecte personale (cum ar fi performanţa la locul de muncă, situaţia economică, sănătatea, preferinţele personale, interesele, comportamentul, locul în care se află persoana fizică respectivă sau deplasările acesteia) reprezintă tot o operațiune de prelucrare.
Operatorul de date cu caracter personal este acea persoană care stabilește scopurile și mijloacele prin care se vor prelucra datele cu caracter personal. Acesta poate fi o persoană juridică, o autoritate publică dar și o persoană fizică, atât timp cât prelucrarea datelor cu caracter personal se realizează în scop comercial.
De exemplu, orice persoană fizică care deține un site sau un blog, și utilizează informațiile colectate, privind persoanele fizice care accesează site-ul, în scopul obținerii de venituri (cum ar fi oferirea de reclame targetate, pentru care este plătit de cel care afișează reclamele) este considerat un operator de date cu caracter personal, cu toate implicații aferente.
Ce drepturi au persoanele fizice în cazul GDPR
Actorul principal, cel a cărui protecție se asigură prin acest GDPR, este cetățeanul Uniunii Europene. Ori de câte ori acestuia i se solicită informații de genul celor menționate mai sus sau le furnizează de bună voie, trebuie să cunoască că dispune de o multitudine de drepturi.
Regula o reprezintă dreptul persoanei fizice de a nu-i fi prelucrate datele cu caracter personal, decât dacă își dă consimțământul expres. Însă, dacă prelucrarea datelor cu caracter personal este necesară pentru încheierea unui contract cu operatorul (achiziția online de bunuri) sau pentru ca operatorul să-și îndeplinească o obligație legală (înregistrarea unui contract de muncă), obținerea consimțământului persoanei fizice nu mai este necesar.
Chiar este solicitat sau nu consimțământul persoanei fizice, anterior prelucrării datelor cu caracter personal, aceasta are dreptul să fie informată cu privire la următoarele aspecte: identitatea operatorului, scopul și temeiul legal al prelucrării datelor cu caracter personal, cine este beneficiarul respectivelor date, dacă acestea vor fi transferate într-un stat din afara UE, perioada de timp pentru care vor fi prelucrate datele, dacă vor fi create profiluri sau nu, precum și drepturile descrise în continuare.
Dacă scopul pentru care au fost prelucrate datele a fost atins (închizi o adresă de mail) sau prelucrarea nu a fost efectuată în mod legal (nu s-a solicitat consimțământul când era obligatoriu), persoana fizică are dreptul să ceară ștergerea datelor sale cu caracter personal.
Se poate solicita și restricționarea prelucrării datelor pentru o perioadă de timp, atunci când se contestă exactitatea acestora, până la momentul remedierii neconcordanțelor de către operator.
Dreptul la portabilitatea datelor permite persoanei fizice să solicite operatorului transmiterea acestor date către un alt operator de date cu caracter personal. Totodată, o persoană fizică se poate opune oricărei prelucrări automate, ce implică crearea de profiluri.
În cazul în care o persoană fizică observă o încălcare a drepturilor sale, se poate adresa Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal pentru sancționarea operatorului.
Ce obligații au operatorii sub GDPR
Informarea corespunzătoare a persoanelor fizice, precum și obținerea consimțământului acestora, atunci când este cazul, reprezintă principalele obligații ale operatorilor, corelativ cu drepturile persoanelor fizice.
Orice operator trebuie să verifice dacă persoana fizică, a cărei date cu caracter personal le prelucrează, are peste 16 ani.
În cazul în care discutăm de un minor sub 16 ani, este necesar acordul părinților pentru a putea fi prelucrate datele cu caracter personal ale acestuia.
Dacă operatorului i se solicită să confirme că prelucrează sau nu date cu caracter personal ale unei persoane fizice anume, acesta are obligația de a da un răspuns persoanei fizice respective, indiferent de câte solicitări de acest fel primește.
Operatorul trebuie să-și informeze angajații și colaboratorii implicați în prelucrarea de date cu caracter personal, asupra drepturilor și obligațiilor stipulate de GDPR. De asemenea, în funcție de activitatea acestuia și importanța datelor cu caracter personal prelucrate, poate fi necesară și implementarea unor măsuri tehnice pentru securizarea datelor cu caracter personal (acces restricționat pe bază de parole, dublat de schimbarea periodică a parolelor, utilizare firewall-uri, criptarea bazelor de date).
Dacă un operator are mai mult de 250 de angajați sau prelucrează în mod curent date cu caracter personal (cum ar fi băncile, asigurătorii, prestatorii de servicii de telefonie etc.) are obligația să întocmească o evidență, atât scrisă, cât și electronică, a prelucrărilor de date cu caracter personal efectuate.
În ipoteza în care se va observa o încălcare a măsurilor de securitate luate (copierea bazei de date persoane neautorizate, atacuri cibernectice etc) operatorul trebuie să anunțe cât mai rapid Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, cât și persoanele fizice afectate.
Nu este permisă păstrarea datelor cu caracter personal, după îndeplinirea scopului și duratei pentru care au fost prelucrate. Prin excepție, acest lucru este permis doar pentru arhivarea în interes public, cercetare științifică sau istorică, ori pentru scopuri statistice.