Brief: GDPR #5

Săptămânal, înțelegi tot mai bine noul cadru legal al

prelucrărilor de date personale.

Ce sunt datele personale, cum sunt prelucrate și câte

ceva despre profilarea persoanelor fizice

::: INTRODUCERE ÎN TEMĂ :::

→ Ce sunt datele personale? Potrivit Regulamentului general privind protecția

datelor (GDPR), acestea sunt „orice informații privind o persoană fizică
identificată sau identificabilă («persoana vizată»); o persoană fizică
identificabilă este o persoană care poate fi identificată, direct sau indirect, în
special prin referire la un element de identificare, cum ar fi un nume, un număr
de identificare, date de localizare, un identificator online, sau la unul sau mai
multe elemente specifice, proprii identității sale fizice, fiziologice, genetice,
psihice, economice, culturale sau sociale”. Definiția nu diferă prea mult de cea
din Legea nr. 677/2001, actualul cadru legal național, singura schimbare majoră
fiind detalierea elementului de identificare, unde apare și ideea de
„identificator online” (e vorba de cookie-uri).

→ Ce înseamnă că datele personale sunt prelucrate? În principiu,

prelucrarea reprezintă orice operațiune făcută asupra datelor personale,
indiferent că aceasta este automată sau manuală.

→ Ce înseamnă profilare? GDPR vine cu ideea de profilare a persoanelor

fizice cu ajutorul datelor personale prelucrate. Mai precis, se face referire la
orice prelucrare automată a datelor personale efectuată pentru a evalua
anumite aspecte personale referitoare la o persoană fizică. Asta mai ales
pentru „a analiza sau prevedea aspecte privind performanța la locul de muncă,
situația economică, sănătatea, preferințele personale, interesele, fiabilitatea,
comportamentul, locul în care se află persoana fizică respectivă sau deplasările
acesteia”, potrivit prevederilor regulamentului european.
+ Dacă site-ul firmei folosește cookie-uri de profilare publicitară, este necesară
verificarea vârstei vizitatorilor

::: EXPLICAȚII, SFATURI ȘI RECOMANDĂRI :::

→ Legislația nu impune o listă exactă cu toate datele personale, spune

Alin Popescu (foto), specialist cu o experiență extinsă în pregătirea pentru
GDPR, pentru că trebuie să se țină cont de context: „Nu există o listă a datelor
personale, iar GDPR nu impune statelor să realizeze o astfel de listă, pentru
simplul motiv că o dată poate deveni într-un anumit context dată cu caracter
personal, iar în alt context să fie pur și simplu o informație fără valoare de dată
cu caracter personal”. Date personale pot fi, de exemplu, numele, domiciliul,
adresa de e-mail, numărul de telefon, numărul de înmatriculare al unei
mașini, IP-ul calculatorului etc.

→ O clarificare importantă: datele personale pot

fi numai ale persoanelor fizice, conform
legislației, astfel că firmele nu pot avea date
personale. „Distincția e importantă pentru că, spre
exemplu, numărul de înregistrare de la Registrul
Comerțului, codul fiscal ori alte elemente de
identificare ale unor companii nu sunt date
personale. Mai mult, atunci când o adresă de e-mail ori un număr de telefon
vizează în mod clar o persoană juridică (de exemplu, e-mail-urile de tip
«office@companie.ro» sau telefoanele de la un call center public al unei
companii), atunci nu vorbim despre date personale”, explică Alin Popescu.

→ Prelucrarea datelor personale se poate „traduce” prin orice operațiune

precum colectarea, înregistrarea, organizarea, structurarea, stocarea,
adaptarea sau modificarea, extragerea, consultarea, folosirea, divulgarea prin
transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea
sau combinarea, restricționarea, ștergerea sau distrugerea.

::: FOCUS: PROFILAREA ȘI OBLIGAȚIA DE A AVEA DPO :::

→ Companiile care își profilează clienții pe scară largă au nevoie de un

responsabil cu protecția datelor (sau DPO, pe scurt), așa cum reiese din
GDPR. „Ca regulă generală, nu orice fel de activitate de profilare atrage
obligativitatea numirii unui DPO, ci doar în măsura în care monitorizarea se
face «pe scară largă»”, spune Horia Ispas, partener la Țuca Zbârcea &
Asociații. Aprecierea că o prelucrare de date personale este pe scară largă se
face în funcție de:

numărul persoanelor vizate;

volumul de date prelucrate;
existența unui număr mai mare de categorii de date personale prelucrate;
aria geografică acoperită de prelucrare.

+ Dacă încalci legislația când prelucrezi datele clienților, s-ar putea să fii
nevoit să-ți închizi afacerea
+ Ce trebuie să știi despre angajarea DPO-ului la firmă

→ Conform specialiștilor PrivacyOne, câteva exemple de surse de date ce

pot fi folosite pentru a profila persoanele fizice sunt căutările pe internet,
istoricul navigării pe internet, educația, datele profesionale, datele provenite din
relațiile cu clienții, datele strânse pentru a evalua bonitatea, reclamațiile,
obiceiurile de cumpărare sau informațiile de pe rețelele sociale. De reținut că
profilarea poate fi făcută în baza unui interes legitim sau în baza
consimțământului, mai spun specialiștii PrivacyOne. În primul caz, persoana
vizată poate obiecta, iar în al doilea - își poate retrage consimțământul.
+ Iată câteva exemple relevante de profilare pe scară largă

::: BIBLIOTECĂ DIGITALĂ - RESURSE UTILE :::

→ Uite câteva resurse utile apropo de informațiile prezentate în alerta de

astăzi:

Comisia Europeană: ce sunt datele personale și câteva exemple de date;

Enterprivacy Consulting Group: infografie despre categoriile de date
personale;
HubSpot: listă de definiții pentru termeni-cheie din GDPR;
WP29: ghid oficial despre profilarea persoanelor fizice.

Autor: Alexandru Boiciuc, redactor-șef la avocatnet.ro

 Pentru prima oară de la intrarea României în Uniunea Europeană, cadrul
legal al prelucrărilor de date personale va fi stabilit, la nivelul țării noastre,
direct printr-un act european, fără să fie necesară intervenția autorităților
de la noi. Brief: GDPR reprezintă o lectură săptămânală de câteva
minute, care să te pregătească pentru aplicarea noilor reguli de prelucrare
a datelor personale.

Urmărește-ne pe facebook Intră pe avocatnet.ro

Noi, cei de la avocatnet.ro, știm că, prin afacerile voastre, împingeți economia României mai
departe. Și vă susținem. Nu putem opri haosul legislativ. Dar îl explicăm. De peste 15 ani, zi de zi.
Pentru voi și alte milioane de români și afacerile lor.