La fel ca si pe tine probabil, GDPR m-a dat peste cap. Ce e aia GDPR? Cum o sa ma afecteze? Cum implementez? Etc.
Informatiile pe internet sunt destul de ambigue, asa ca am citit tot ce se poate citi si am creat un material care, cred eu, este pe intelesul tuturor si poate fi implementat in 7 pasi.
Asadar, sa incepem! Dar mai intai…
Acest material a fost creat cu scopul de a te informa si nu ar trebui tratat ca litera de lege. Pentru sfaturi legale specifice referitoare la GDPR, ar trebui sa discuti cu un avocat, un jurist sau alt tip de consultant legal.
GDPR este un nou set de reguli care se aplica tuturor organizatiilor care colecteaza si retin date personale de la orice individ din Uniunea Europeana. Scopul este de a standardiza legea datelor personale si mecanismele lor in toate domeniile de activitate si pentru a se asigura ca drepturile individuale ale oamenilor sunt protejate. Acest lucru este esential intr-o economie care se bazeaza tot mai mult pe utilizarea datelor personale.
Principiul 1: Legalitate, corectitudine si transparenta
Datele cu caracter personal trebuie sa fie prelucrate in mod legal, corect si transparent in raport cu persoanele vizate.
Principiul 2: Limitarea scopului
Datele cu caracter personal trebuie sa fie colectate numai in scopuri specificate, explicite si legitime.
Principiul 3: Colectarea minimului necesar
Datele cu caracter personal trebuie sa fie adecvate, relevante si limitate la ceea ce este necesar in raport cu scopurile pentru care sunt prelucrate.
Principiul 4: Mentinerea datelor actualizate
Datele personale trebuie sa fie corecte si actualizate.
Principiul 5: Limitarea stocarii datelor
Datele personale trebuiesc mentinute doar pentru scopul colectarii. De aceea, datele personale ar trebui sterse de indata ce scopul colectarii a fost atins (cu exceptia cazurilor unde legea impune altfel).
Principiul 6: Integritate si confidentialitate
Datele personale trebuiesc procesate intr-un mod care asigura protectia impotriva utilizarii neautorizate.
Scopul inventarierii este de a intelege ce date personale detii, unde sunt procesate si care este fluxul lor. O buna inventariere ar trebui sa raspunda la urmatoarele intrebari:
Conform GDPR, datele personale nu ar mai trebui retinute atunci cand scopul procesarii lor a incetat sa existe.
In era noastra digitala, stergerea, asa cum este prevazuta de GDPR, este definita ca:
Inactiv: datele exista insa nu sunt supuse procesarii.
In asteptare: datele sunt marcate spre stergere, insa sunt in continuare in sistem.
Arhivat: Datele sunt mutate intr-un alt sistem la care au acces doar anumite persoane.
Stergere definitiva: Datele sunt sterse si nu mai pot fi recuperate.
Pentru a trece acest pas, data de expirare trebuie pregatita si aprobata. Pentru data de expirare ar trebui sa raspunzi la urmatoarele intrebari:
GDPR impune ca pentru procesarea datelor personale sa obtii consimtamantul. Spre deosebire de practicile anterioare, consimtamantul nu poate fi obtinut prin casute prebifate sau abonari subintelese.
Iata care sunt aspectele importante stabilite de GDPR:
Cu toate acestea sunt situatii cand consimtamantul nu este necesar:
GDPR ofera indivizilor urmatoarele drepturi:
Dreptul de a fi informat
Asta presupune transparenta asupra modului in care datele vor fi procesate. Atata timp cat ai o declaratie de confidentialitate corect realizata (asa cum vei vedea la pasul 6) esti acoperit. Insa, in acelasi timp, individul ar trebuie sa fie clar informat de existenta acestei politici de confidentialitate.
Dreptul de acces
Asta inseamna ca o persoana are dreptul de acces la datele lui. Compania ta este obligata sa furnizeze la cerere si fara niciun cost o copie a informatiilor detinute. Cu toate acestea poti solicita o taxa rezonabila sau sa refuzi sa furnizezi informatiile daca cererile sunt repetitive si/sau inutile. In cazul refuzului trebuie sa informezi solicitantul ca se pot adresa unei autoritati superioare.
Dreptul de rectificare
Asta presupune ca o persoana are dreptul sa solicite modificarea sau completarea informatiilor. De asemenea, si aici poti refuza o astfel de cerere daca este complexa si/sau inutila cu informarea ca se poate adresa unei autoritati superioare.
Dreptul de a ridica obiectii
O persoana are dreptul de a se opune procesarii datelor personale in scopuri de marketing sau pentru realizarea de profiluri. Asta este, in general, o retragere a consimtamantului, caz in care individul ar trebui retras din actiunile de marketing.
Dreptul de a restrictiona prelucrarea datelor
Asta presupune ca individul poate interzice procesarea datelor personale. Cand acest drept este exercitat, datele personale raman in companie insa nu mai pot fi procesate.
Dreptul la portarea datelor
Asta inseamna ca individul poate solicita obtinerea datelor personale pentru a le folosi in achizitionarea produselor sau serviciilor de la alta companie. Practic este un mecanism similar cu portabilitatea numarului de telefon de la un furnizor de telefonie la altul. Cand dreptul este exercitat, ar trebui sa furnizezi datele personale intr-un format electronic (de exemplu in format CSV). Aceasta informatie se furnizeaza gratuit.
Dreptul la stergerea datelor
Acesta se mai numeste si “dreptul de a fi uitat”. Aceasta presupune ca individul poate solicita stergerea datelor personale daca nu exista un motiv valid pentru procesarea lor. De regula, “motivul valid” apare atunci cand scopul procesarii lor a luat sfarsit.
Scopul acestui pas este de a organiza procesarea datelor care nu sunt realizate in compania ta. Asta include date administrare de terte parti sau de inter companii.
GDPR spune ca, atunci cand 2 companii sunt implicate in procesarea datelor, una se numeste Controlor iar cealalta Procesator (cea care proceseaza datele in numele Controlorului). Partea buna este ca GDPR impune aceleasi responsabilitati ambelor parti. Cu toate acestea, controlorul trebuie sa se asigure ca Procesatorul respecta regulile GDPR.
Pentru acestea sunt 2 situatii:
1. Inter-companii.
Asta se intampla cand transferul de date se face catre entitati legale care apartin aceleiasi companie mama in scopul procesarii lor.
2.Terte parti
Cand procesarea datelor este externalizata catre terte parti, este important sa formalizati responsabilitatile in contract. Asta inseamna ca actualele contracte trebuiesc modificate. Iata ce trebuie sa incluzi in contract:
Pentru a demonstra transparenta ai nevoie de o Declaratie de confidentialitate. Aceasta trebuie scrisa intr-un limbaj simplu si sa raspunda la urmatoarele intrebari:
GDPR vrea sa fie mai mult decat o simpla implementare. Vrea sa se asigure ca updatezi continuu acesti pasi, atunci cand este cazul. Personalul tau trebuie sa fie trainuit sa respecte aceste reguli.
Sustenabilitatea, in viziunea GDPR, presupune sa privesti in perspectiva, dincolo de scopul actual al proiectului si sa iti raspunzi la urmatoarele 3 intrebari:
Ti-a fost de folos acest material? Atunci distribuie-l pe Facebook. Vei ajuta mai multi oameni sa inteleaga regulile GDPR.