GDPR cele mai importante prevederi

GDPR cele mai importante prevederi

By Florinel In PolicyComments

Din 25 Mai 2018 in Romania si in restul Uniunii Europene se va aplica REGULAMENTUL (UE) 2016/679
AL PARLAMENTULUI EUROPEAN I AL CONSILIULUI din 27 aprilie 2016 privind protecia persoanelor
fizice n ceea ce privete prelucrarea datelor cu caracter personal i privind libera circulaie a acestor
date i de abrogare a Directivei 95/46/CE (Regulamentul general privind protecia datelor). In
continuare ne vom referi la Regulament ca GDPR.

Cum o spune si titlul, GDPR va inlocui Directiva 95/46/CE care in Romania este transpusa prin:

Lege privind protecia persoanelor cu privire la prelucrarea datelor cu caracter personal i libera
circulaie a acestor date

Monitorul Oficial al Romniei; Number: 790; Publication date: 2001-12-12; Page: 00001-00014

Ordin privind stabilirea unor msuri i proceduri specifice care s asigure un nivel satisfctor de
protecie a drepturilor persoanelor ale cror date cu caracter personal fac obiectul prelucrrilor

Monitorul Oficial al Romniei; Number: 449; Publication date: 2002-06-26; Page: 00006-00015

Lege privind nfiinarea, organizarea i funcionarea Autoritii Naionale de Supreveghere a

Prelucrrii Datelor cu Caracter Personal

Monitorul Oficial al Romniei; Number: 391; Publication date: 2005-05-09; Page: 00002-00005

Fiind un Regulament European Romania nu este nevoita, in principiu, sa adopte legislatie pentru a
implementa prevederile noii legi, ea avand efect direct. Romania poate adopta sau modifica legi
pentru a se asigura ca nu exista conflicte intre noua lege si alte legi.

Vanzatorii online trebuie sa stie ca din 25 Mai 2018 au responsabilitatea de a aplica noile reguli si
asta va insemna saptamani, daca nu luni de pregatiri. GDPR contine reguli mult mai detaliate.
Controlorii de date si procesatorii vor avea obligatii mult mai detaliate in legatura cu documentarea
operatiunilor de procesare. Fiind atat de detaliat, GDPR-ul va necesita o serie de clarificari si
instructiuni pentru implementare din partea autoritatilor si asociatiilor de profil, cel mai probabil
aceste documente vor fi elaborate in 2017.

Aveti mai jos un top al celor mai importante prevederi din GDPR:

Consimtamantul (Consent): Regulile priving consimtamantul se vor schimba acesta va fi obligatoriu

explicit si specific pentru operatiunea de procesare consumatorul trebuie sa actioneze pentru
consimtamant, opusul si in acelasi timp limitat/proportional cu scopul procesarii (nu poti cere
consimtamantul pentru orice fel de procesare, acesta trebuie sa fie clar si limitat/proportional cu
tipul de date/tipul de procesare). In principiu controlorii de date nu pot colecta si procesa mai multe
date decat pentru ce este nevoie in scopul declarat si legal al procesarii.

Validitatea consimtamantului: Consimtamantul poate fi retras, trebuie sa fie liber, valid, informat si
pro-activ. GDPR aduce un set de conditii pentru validitatea consimtamantului ce includ si lipsa de
echilibru in pozitii.

Consimtamantul pentru copii: Pt persoanele sub 16 ani (dar nu sub 13 ani decizie a statelor
member) nu poate fi obtinut consimtamantul direct.

Profiling: In cazul in care consumatorul este supus unor decizii automate fara efect legal sau fara un
efect similar al efectelor legale (in cazul angajarii, asigurari, etc.) consumatorul trebuie sa se poata
opune acestor decizii si sa obtina interventia unui operator uman. In cazul in care efectele procesarii
sunt efecte legale sau semnificative, procesarea pt profiling trebuie sa se bazeze pe consimtamantul
consumatorului.

Direct Marketing: GDPR permite procesarea pentru direct marketing atat timp cat consumatorul
beneficiaza de un system opt-out.

Documentare: GDPR cere documentarea operatiunilor de procesare.

Responsabilitati: In cazul in care controlorul lucreaza cu procesatori, controlorul are responsabilitatea

sa se asigure ca procesatorii au mijloacele necesare pentru a respecta prevederile legale.

Responsabil pt protectia datelor: In cazul in care operatiunile de procesare includ procesarea de date
sensibile sau in cazul care procesarea implica monitorizarea unui numar mare de subiecti, companiile
sunt obligate sa numeasca un responsabil pentru protectia datelor.

Legitimate interest: Una din cele 6 baze legale pentru procesarea datelor este interesul legitim.
Acesta poate fi folosit pentru procesare si de catre terti.

Risky processing: In principiu este interzisa prelucrarea de date cu caracter personal care dezvluie
originea rasial sau etnic, opiniile politice, confesiunea religioas sau convingerile filozofice sau
apartenena la sindicate i prelucrarea de date genetice, de date biometrice pentru identificarea
unic a unei persoane fizice, de date privind sntatea sau de date privind viaa sexual sau
orientarea sexual ale unei persoane fizice. GDPR prevede un numar de scenarii unde procesarea de
astfel de date este permisa, cu un numar de precautii. In unele cazuri controlorul de date trebuie sa
consulte chiar si publicul cu privire la efectul operatiunilor inainte de a procesa datele.

Codes of conduct: GDPR permite ca site-urile sa foloseasca metode alternative de informare cum ar
fi icons. In acelasi timp GDPR se bazeaza pe coduri de bune practici care pot fi dezvoltate de asociatii
cum ar fi ARMO.

Breach notification: Operatorii sunt obligati sa tina un jurnal al incidentelor under datele (siguranta si
integritatea) ar fi putut fi compromise. In unele cazuri exista o obligatie de a raporta aceste incidente
autoritatilor si consumatorilor in 72 de ore.