GDPR Arad

Ce înseamnă prelucrare de date personale?

Ce înseamnă date cu caracter personal?

Regulamentul GDPR definește datele cu caracter personal în Art.4 aliniatul 1. :

"Date cu caracter personal" definesc orice informaţii privind o persoană fizică identificată sau identificabilă ("persoana vizată"); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identităţii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.

Care sunt datele cu caracter sensibil?

"Date genetice" se referă la datele cu caracter personal referitoare la caracteristicile genetice moştenite sau dobândite ale unei persoane fizice, care oferă informaţii unice privind fiziologia sau sănătatea persoanei respective şi care rezultă în special în urma unei analize a unei mostre de material biologic recoltate de la persoana în cauză;

"Date biometrice" se referă la datele cu caracter personal care rezultă în urma unor tehnici de prelucrare specifice referitoare la caracteristicile fizice, fiziologice sau comportamentale ale unei persoane fizice care permit sau confirmă identificarea unică a respectivei persoane, cum ar fi imaginile faciale sau datele dactiloscopice;

"Date privind sănătatea" se referă la datele cu caracter personal legate de sănătatea fizică  sau mentală a unei persoane fizice, inclusiv prestarea de servicii de asistenţă medicală, care dezvăluie informaţii despre starea de sănătate a acesteia.

Ce înseamnă operațiuni de prelucrare a datelor cu caracter personal?

În regulamentul GDPR se definește clar operațiunea de prelucrare care se face asupra datelor cu caracter personal: "prelucrare" înseamnă orice operaţiune sau set de operaţiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziţie în orice alt mod, alinierea sau combinarea, restricţionarea, ştergerea sau distrugerea.

În general, orice facem în ziua de azi generează o "amprentă" cu datele noastre personale, iar societatea digitala în care trăim facilitează și mai mult colectarea acestor date.

Dacă în trecut datele erau colectate și prelucrate pe hârtie, acum ele pot să fie stocate foarte ușor în baze de date digitale, de orice mărime, în care accesul și căutarea sunt facile.

Regulamentul vrea să impună o responsabilizare a operatorilor privind operațiunile cu datele personale.

Un exemplu banal este legat de utilizarea magazinelor online. De obicei, magazinele online oferă posibilitatea creării unui cont de client, ca pe o facilitate care simplifică modul de comandă, păstrarea unui istoric al comenzilor sau realizarea unui profil al lucrurilor importante pentru client.

Formular creare cont online și completare date personale

În formularul de creare al contului se setează în primul rând datele de bază: numele și adresa de email, care sunt folosite de obicei peste tot de client și care îl pot identifica oricând. După prima comandă în cont sunt prelucrate adresa de livrare și poate chiar și CNP-ul sau compania în numele căreia se fac comenzile.

Toate aceste date pot să fie prelucrate ulterior în multe moduri: de la simple analize în cadrul firmei, realizarea de campanii de promovare online, raportări către organele fiscale sau de statistică, până la vânzări efective către terți. Cât de ușor poți să realizezi o listă cu toți cei care au cumpărat online de exemplu, un calculator, pentru a le trimite ulterior o ofertă extraordinară pentru un antivirus.

Pentru a reveni la afacerile off-line, chiar dacă aparent datele sunt prelucrate pe hârtie, este foarte posibil ca acestea să ajungă ulterior la alți operatori: ați făcut o operațiune de vânzare-cumpărare pentru un autoturism? Sunteți clientul ideal pentru o firmă de asigurări.

Sunteți angajat într-o fabrică și aveți venituri peste 3000 de lei pe lună? Poate sunteți clientul ideal al unei firme de turism care vă va face o ofertă irezistibilă pentru o vacanță într-o destinație exotică.

Prin implementarea regulamentului GDPR, operatorii de date vor avea obligația să inventarieze toate datele cu caracter personal care sunt prelucrate, să minimizeze numărul lor, să informeze clienții asupra modului cum acestea sunt folosite și să precizeze clar fluxul lor de folosire.

Care sunt temeiurile legale care stau la baza prelucrării de date cu caracter personal?

Prelucrarea este legală numai dacă şi în măsura în care se aplică cel puţin una dintre următoarele condiţii:

- persoana vizată şi-a dat consimţământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;

- prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte, sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract;

- prelucrarea este necesară în vederea îndeplinirii unei obligaţii legale care îi revine operatorului;

- prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;

- prelucrarea este necesară pentru îndeplinirea unei sarcini care serveşte unui interes public sau care rezultă din exercitarea autorităţii publice cu care este învestit operatorul;

- prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terţă, cu excepţia cazului în care prevalează interesele sau drepturile şi libertăţile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil.

Condiţii privind consimţământul

În cazul în care prelucrarea se bazează pe consimţământ, operatorul trebuie să fie în măsură să  demonstreze că persoana vizată şi-a dat consimţământul pentru prelucrarea datelor sale cu caracter personal.

Atunci când consimţământul persoanei vizate este dat în contextul unei declaraţii scrise care se referă şi la alte aspecte, cererea privind consimţământul trebuie să fie prezentată într-o formă care o diferenţiază în mod clar de celelalte aspecte, într-o formă inteligibilă şi uşor accesibilă, utilizând un limbaj clar şi simplu. Nicio parte a respectivei declaraţii care constituie o încălcare a prezentului regulament nu este obligatorie.

Persoana vizată are dreptul să îşi retragă în orice moment consimţământul. Retragerea consimţământului nu afectează legalitatea prelucrării efectuate pe baza consimţământului înainte de retragerea acestuia. Înainte de acordarea consimţământului, persoana vizată este informată cu privire la acest lucru. Retragerea consimţământului se face la fel de simplu ca acordarea acestuia.

Atunci când se evaluează dacă consimţământul este dat în mod liber se ţine seama cât mai mult de faptul că, printre altele, executarea unui contract, inclusiv prestarea unui serviciu, este condiţionată sau nu de consimţământul cu privire la prelucrarea datelor cu caracter personal care nu este necesară pentru executarea acestui contract.

Paul Stoica, Responsabil cu protecția datelor
Str. Calimanesti, nr. 14
Arad, Romania
0748-309-925
0742-022-586
office@gdprarad.ro
24 X 7 online suport
TOP