GDPR-Răspunsuri și soluții la întrebări și neclarități
Ești antreprenor? Lucrezi într-o companie și nu iți este foarte clar ce este GDPR-ul, care sunt atribuțiile acestuia și cel mai important, cum te poate ajuta pe tine ca și angajat dar și ca business?
In cadrul articolului, iti voi lasa o serie de răspunsuri si solutii la cele mai frecvente intrebari dar si nelamuriri in ceea ce priveste Protectia Datelor cu Caracter Persoanl.
1. Ce este GDPR?
GDPR (General Data Protection Regulation) sau Regulamentul Uniunii Europene 679/2016 este un act normativ adoptat la nivelul Uniunii Europene in Aprilie 2016. Acesta a fost aplicabil si in Romania din data de 25 Mai 2018.
2. Cui i se aplică acest Regulament?
GDPR-ul se aplică Operatorilor sau Persoanelor Împuternicite stabilite pe teritoriul Uniunii Europene sau care oferă bunuri, servicii sau monitorizează comportamentul persoanelor fizice din UE
Exceptie: GDPR nu se aplică pentru prelucrarile de date în scopuri de securitate națională sau în scopuri domestice
3. Pașii prin care putem verifica dacă încălcăm sau nu Regulamentul
3.1. Verificați dacă respectați obligația de informare a persoanelor vizate
– Angajații au fost informați ?
– Clienții/Pacienții stiu ?
– Partenerii Contractuali cunosc ?
3.2. Testați siguranța sistemelor de operare, simulati posibile incidente de securitate, ele vor dezvălui punctele sensibile. La fel procedați și cu angajații, testați-le cunostintele!
3.3. Fortificați
– Stabiliți reguli stricte, pe baza feedback-ului rezultat la testare, gândiți soluții și variante care vor proteja datele și vor elimina riscurile.
– Instruiți angajații și completați setul de proceduri și măsuri necesare și comunicațile angajaților, ei le vor implementa, ei trebuie să le cunoască!
4. Ca și societate în domeniul medical, am voie să trimit rezultatele la analize medicale către pacienți prin e-mail? Daca da, ce condiții ar trebui îndeplinite?
Este foarte important sa criptam datele, putem sa folosim un link in aceasta directie. Un link care sa faca trimiterea la rezultatele respective. Pe acel link accesarea se va face numai si NUMAI prin intermediul unui usename si a unei parole persoanlizate pentru fiecare pacient in parte.
5. Este nevoie să se semneze acord GDPR la fiecare prezentare a pacienților? Dacă vin pacienți pentru testare lunară a unor analize pe programe de sănătate, trebuie să semnăm acord la fiecare prezentare?
Eliminați “Consimțământul GDPR” al pacientului pentru serviciile medicale – unul din principiile GDPR este acela de a prelucra date doar in regim de legalitate si exista 6 modalitati de a justifica aceasta legalitate: obligatia legala, interesul vital, obligatii contractuale, interes public, interes legitim si nu in ultimul rand consimtamantul persoanei vizate.
In cazul domeniului medical, pentru activitatea specifica de acordare de ingrijiri medicale si tratament medicamentos putem justifica prin interes vital, obligatie legala si obligatii contractuale. Pentru aceste activitati specifice nu este nevoie sa apelam la consimtamant pentru a obtine legalitatea prelucrarii.
Bineinteles ca este recomandat sa faceti informarea pacientilor, fiind un drept al acestora conform GDPR, insa nu confundati informarea pacientului cu consimtamantul!
Informarea are rolul de a aduce la cunostinta persoanei vizate detalii legate de procesele de prelucrare: care sunt datele de care aveti nevoie, care este scopul prelucrarii, care sunt destinatarii carora trebuie sa le comunicati aceste date astfel incat sa furnizati un serviciu complet si corect (exemplu: daca este nevoie sa comunicati rezultatele analizelor catre medicul specialist astfel incat acesta sa interpreteze rezultatele, sa stabileasca un diagnostic clar si poate chiar sa faca planul de tratament medicamentos, toate acestea fiind necesare pentru a oferi un serviciu medical complet).
Exista si situatii in domeniul sanitar cand apelam la consimtamant, de exemplu pentru invatamantul medical sau activitatile de marketing.
6. Ce trebuie să cuprindă ”Registrul de evidenta GDPR”?
Lista cu ceea ce trebuie sa cuprinda Registrul o regasiti si pe site-ul Autoritatii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal https://www.dataprotection.ro/?page=IntrebariFrecvente1 la sectiunea Intrebari Frecvente.
Evidența prelucrării trebuie sa cuprinda următoarele informații:
– numele și datele de contact ale operatorului și, după caz, ale operatorului asociat, ale reprezentantului operatorului și ale responsabilului cu protecția datelor;
– scopurile prelucrării;
– o descriere a categoriilor de persoane vizate și a categoriilor de date cu caracter personal;
– categoriile de destinatari cărora le-au fost sau le vor fi divulgate datele cu caracter personal, inclusiv destinatarii din țări terțe sau organizații internaționale;
– dacă este cazul, transferurile de date cu caracter personal către o țară terță sau o organizație internațională, inclusiv identificarea țării terțe sau a organizației internaționale respective și, în cazul transferurilor menționate la articolul 49 alineatul (1) al doilea paragraf, documentația care dovedește existența unor garanții adecvate;
– acolo unde este posibil, termenele-limită preconizate pentru ștergerea diferitelor categorii de date;
– acolo unde este posibil, o descriere generală a măsurilor tehnice și organizatorice de Securitate.
7. Ce sunt Măsurile Tehnice și Organizatorice de Securitate?
În general, MTO sunt proceduri, politici și instrucțiuni de lucru care includ și reglementează totalitatea proceselor interne și sistemelor de operare, ele constituie reguli sau limitări de acces, informarea și responsabilizarea angajaților, și sunt implementate la nivelul unei organizații pentru a proteja (securiza) datele cu caracter personal prelucrate.
Aceste măsuri includ între altele:
– pseudonimizarea și criptarea datelor;
– asigurarea faptului că sistemul informatic prin care este realizată prelucrarea de date și operatorul acestui serviciu garantează implementarea unor măsuri de siguranță sporite pentru a asigura confidențialitatea prelucrării ;
– integrarea în activitatea de prelucrare a unor măsuri de siguranță adecvate;
– o procedură pentru testarea, verificarea și evaluarea eficacității măsurilor tehnice și organizatorice implementate astfel încat, siguranța activităților de prelucrare să fie garantată.
8. Când nu se aplică Regulamentul (UE) 2016/679?
Regulamentul (UE) 2016/679 nu se aplică prelucrării datelor cu caracter personal:
- în cadrul unei activități care nu intră sub incidența dreptului Uniunii;
- de către statele membre atunci când desfășoară activități legate de politica externă și de securitatea comună a Uniunii;
- de către o persoană fizică în cadrul unei activități exclusiv personale sau domestice;
- de către autoritățile competente în scopul prevenirii, investigării, depistării sau urmăririi penale a infracțiunilor, al executării sancțiunilor penale, inclusiv al protejării împotriva amenințărilor la adresa siguranței publice și al prevenirii acestora; acestea sunt reglementate de Directiva (UE) 2016/680 a Parlamentului European și a Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date și de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului.
9. Dacă prelucrarea este prevăzută de un act normativ, mai este necesar să obțin consimțământul persoanelor vizate?
Atunci când prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului, nu mai este necesară obținerea consimțământului persoanelor vizate.
10. În ce condiții pot prelucra datele cu caracter personal ale copiilor în ceea ce privește oferirea de servicii ale societății informaționale?
Prelucrarea datelor cu caracter personal ale unui copil este legală dacă copilul are cel puțin vârsta de 16 ani. Dacă copilul are sub vârsta de 16 ani, respectiva prelucrare este legală numai dacă și în măsura în care consimțământul este acordat sau autorizat de titularul răspunderii părintești asupra copilului. Operatorul depune toate eforturile rezonabile pentru a verifica în astfel de cazuri că titularul răspunderii părintești a acordat sau a autorizat consimțământul, ținând seama de tehnologiile disponibile (art. 8 din Regulamentul (UE) 2016/679).
11. Cum se realizează transferul de date în străinătate?
Transferul de date cu caracter personal se poate realiza prin:
– decizii ale Comisiei Europene privind caracterul adecvat al nivelului de protecție asigurat de statul terț;
– clauze standard de protecție a datelor adoptate de Comisie;
– reguli corporatiste obligatorii în conformitate cu art. 47 din Regulament;
– alte modalități prevăzute la art. 46 și art. 49 din Regulament.
12. Se poate desemna un singur responsabil cu protecția datelor pentru un grup de întreprinderi sau pentru mai multe autorități sau organisme publice?
Art. 37 alin. (2) din Regulamentul (UE) 2016/679 permite unui grup de întreprinderi să numească un responsabil cu protecția datelor unic, cu condiția ca acesta să fie „ușor accesibil din fiecare întreprindere”. Noțiunea de accesibilitate se referă la sarcinile responsabilului cu protecția datelor ca punct de contact în ceea ce privește persoanele vizate, autoritatea de supraveghere, dar și pe plan intern în cadrul organizației, având în vedere că una dintre sarcinile responsabilului este de informare și consiliere a operatorului și persoanei împuternicite de operator, precum și a angajaților care se ocupă de prelucrarea cu privire la obligațiile care le revin în temeiul Regulamentului (UE) 2016/679.
Art. 37 alin. (3) din Regulamentul (UE) 2016/679 permite, de asemenea, desemnarea unui responsabil cu protecția datelor unic pentru mai multe autorități sau organisme publice, luând în considerare structura organizatorică și dimensiunea acestora.
Operatorul sau persoana împuternicită de operator are obligația de a publica datele de contact ale resonsabilului cu protecția datelor și de a le comunica autorității de supraveghere.
Pentru mai multe informații puteți accesa Ghidul privind responsabilul cu protecția datelor emis de Comitetul european pentru protecția datelor.
Vezi și webinarul realizat pe această temă: aici