LEGISLAȚIE GDPR

Principiile și normele referitoare la protecția persoanelor fizice în ceea ce privește prelucrarea datelor lor cu caracter personal ar trebui, indiferent de cetățenia sau de locul de reședință al persoanelor fizice, să respecte drepturile și libertățile fundamentale ale acestora, în special dreptul la protecția datelor cu caracter personal. Prezentul regulament (REGULAMENTUL UE 2016/679) urmărește să contribuie la realizarea unui spațiu de libertate, securitate și justiție și a unei uniuni economice, la progresul economic și social, la consolidarea și convergența economiilor în cadrul pieței interne și la bunăstarea persoanelor fizice.

Măsurile de punere în aplicare a Regulamentului UE 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date în România este legiferată prin LEGEA nr. 190 din 18 iulie 2018, adoptată în Parlamentul României.

Descarcă în format PDF

Cui se aplică

Tuturor companiilor care activează pe teritoriul țărilor din Uniunea Europeană. Chiar dacă sediul central al firmei se află în străinătate, atât timp cât firma prelucrează date cu caracter personal colectate sau procesate pe teritoriul UE trebuie respectat regulamentul.

Cum se aplică?​

Colectarea datelor cu caracter personal (adresă, număr de telefon, adresă de e-mail, religie, stare civilă, adresă de domiciliu, sex, orientare politică, etc) se va face cu acordul explicit al persoanelor vizate. Asta înseamnă că s-a terminat cu explicațiile de genul “am adresa dvs. de mail de pe un site public…”. Datele personale colectate anterior datei de 25 mai 2018, indiferent prin ce metode, nu mai vor mai putea fi folosite fără acordul expres al persoanei în cauză, conform cu legea GDPR.

Acord expres înseamnă că nu putem folosi o clauză intercalată, undeva, în corpul restului de condiții contractuale. Trebuie să existe o secțiune separată, acordul nu poate fi implicit de tip afirmativ (“opt-in” în engleză), scopul, durata și metodele prelucrării acestor date trebuie să fie explicate într-un limbaj clar și ușor de înțeles de toată lumea.

Orice companie, de orice dimensiune, trebuie să numească un Data Protection Officer (DPO) – în conformitate cu legea GDPR – care să supervizeze aplicarea regulamentului în interiorul companiei, pe de o parte, și să interacționeze cu Autoritatea de Control, pe de altă parte. Acest DPO poate fi unul dintre angajați sau un consultant extern, însă este important ca acesta să fie nominalizat și înregistrat pe site-ul Autorităţii Naționale.

Fiecare companie, de orice dimensiune, chiar daca are numit un DPO sau nu, este obligată sa își ia măsuri de siguranță pentru protejarea datelor cu caracter personal. Aceste măsuri trebuie comunicate tuturor angajaților, îndosariate, păstrate la un loc accesibil pentru consultare și analizate periodic.

Datele cu caracter personal din cadrul companiei trebuie, în primul rând, să fie catalogate, marcate, sau identificate clar la locul unde sunt amplasate, indiferent dacă aceste date sunt în format fizic sau electronic. Aceste date vor fi supuse măsurilor consistente de protecție, fizice și electronice.

Orice incident de securitate care duce la compromiterea, deteriorarea, copierea sau alterarea datelor cu caracter personal trebuie notificat atât Autorităţii Naționale, cât și persoanelor ale căror date au fost compromise.