GDPR pentru persoane care desfasoara activitati economice

Subiect fierbinte in ultimele zile, prevederile Regulamentului pentru protectia datelor personale intra in vigoare maine 25 Mai 2018, moment de la care toti operatorii trebuie sa-l respecte.

Ce este acest GDPR si la ce se refera?

GDPR inseamna General Data Protection Regulation sau Regulamentul General de Protectie a Datelor personale.

Conform site-ului Comisiei Europene, GDPR „reglementeaza prelucrarea de catre o persoana fizica, o societate sau o organizatie a unor date cu caracter personal referitoare la persoane fizice in UE.”

Cine trebuie sa respecte prevederile GDPR?

Orice persoana fizica (PF, PFI, PFA, II, IF, Profesie Liberala) sau juridica (SC) care prelucreaza date personale sunt obligate sa respecte GDPR.

„Regulamentul nu se aplica prelucrarii datelor cu caracter personal ale persoanelor decedate sau ale persoanelor juridice.

Normele nu se aplica datelor prelucrate de catre o persoana fizica din motive pur personale si nici activitatilor desfasurate in locuinta, cu conditia sa nu existe nicio legatura cu o activitate profesionala sau comerciala. Atunci insa cand o persoana fizica utilizeaza datele cu caracter personal in afara „sferei personale”, cum ar fi pentru activitati socioculturale sau financiare, persoana in cauza trebuie sa respecte legea privind protectia datelor.”

Ce sunt datele personale?

Datele personale sunt date care pot identifica o persoana fizica – pot fi date generale:

  • nume si prenume,
  • numar de telefon,
  • adresa de domiciliu,
  • adresa de email,
  • numar si serie CI,
  • numar inmatriculare autoturism,
  • numarul pasaportului, al permisului de conducere,
  • numarul de asigurare sociala sau de sanatate,
  • codul numeric personal,
  • numarul cardului de credit/debit,
  • fotografii si continut video (camere video de supraveghere),
  • adresa ip,
  • locatia telefonului,
  • software cookies care se intaleaza in istoricul de navigare pe internet,
  • si altele

……..si date cu caracter sensibil ca: originea rasiala sau etnica,  convingerile politice, religioase, sanatate si viata sexuala, date genetice si biometrice, istoric infractional, istoric scolar, etc.

Nu sunt date personale datele de identificare ale persoanelor juridice – CUI, adrese de email, telefoane fixe sau mobile care nu sunt asociate unei persoane.

Important! Toate datele care identifica o PFI, PFA, II, IF, Profesie Liberala sunt date personale pentru ca in spatele activitatii este o singura persoana fizica care poate fi identificata cu numarul de registrul comertului sau prin CUI.

Ce inseamna prelucrarea de date personale?

Prelucrarea acopera o varietate ampla de operatii efectuate asupra datelor cu caracter personal, inclusiv prin mijloace manuale sau automate. Aceasta include colectarea, inregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminareasau punerea la dispozitie in orice alt mod, alinierea sau combinarea, restrictionarea, stergerea sau distrugerea datelor cu caracter personal.

Regulamentul general privind protectia datelor (RGPD) se aplica prelucrarii datelor cu caracter personal, efectuata total sau partial prin mijloace automatizate, precum si prelucrarii prin mijloace neautomatizate, daca aceasta face parte dintr-un sistem structurat de evidenta a datelor.

Cand pot fi prelucrate date cu caracter personal?

  • cu consimtamantul persoanelor fizice in cauza;
  • cand exista o obligatie contractuala (un contract intre organizatia ta si un client);
  • pentru a respecta o obligatie legala (prevazuta in legislatia UE sau in legislatia nationala);
  • cand prelucrarea este necesara pentru indeplinirea unei sarcini care serveste unui interes public (prevazute in legislatia UE sau in legislatia nationala);
  • pentru a proteja interesele vitale ale unei persoane fizice;
  • in scopul intereselor legitime ale organizatiei dvs., dar numai dupa ce v-ati asigurat ca acest lucru nu are un impact grav asupra drepturilor si a libertatilor fundamentale ale persoanei ale carei date le prelucrati. Daca drepturile persoanei respective prevaleaza in raport cu interesele dvs., prelucrarea nu poate fi efectuata in temeiul unui interes legitim. Stabilirea aspectului daca organizatia dvs. are interese legitime privind prelucrarea in raport cu cele ale persoanelor in cauza depinde de circumstantele individuale.

Observatie – Cele mai multe persoane fizice organizate ca PFI, PFA, II, IF, Profesie Liberala, se vor incadra la prelucrarea de date personale pentru indeplinirea unei obligatii contractuale sau legale (contract de prestari servicii, contract de munca, intocmirea declaratiilor fiscale) caz in care nu este nevoie de consimtamantul persoanei fizice in cauza.

Chiar si in asemenea conditii, fara consimtamant, este necesar a fi respectata scuritatea datelor si utilizarea lor strict in scopul  pentru care au fost colectate. Altfel este nevoie de consimtamant si de asigurarea tuturor drepturilor prevazute de GDPR persoanelor fizice.

  • DREPTUL LA INFORMARE – dreptul de a fi informat cu privire la prelucrarea si protejarea datelor cu caracter personal;
  • DREPTUL DE ACCES LA DATE – dreptul de a obtine de la operatorul de date confirmarea faptului ca datele cu caracter personal sunt sau nu prelucrate de catre acesta;
  • DREPTUL LA RECTIFICARE – dreptul de a obtine rectificarea datelor inexacte, precum si completarea datelor incomplete;
  • DREPTUL LA STERGEREA DATELOR („DREPTUL DE A FI UITAT”) -dreptul de a obtine, in masura in care sunt indeplinite conditiile legale, stergerea datelor cu caracter personal;
  • DREPTUL LA RESTRICTIONAREA PRELUCRARII – dreptul de a obtine, in masura in care sunt indeplinite conditiile legale, marcarea datelor cu caracter personal stocate, cu scopul de a limita prelucrarea ulterioara a acestora;
  • DREPTUL LA PORTABILITATEA DATELOR – dreptul de a primi datele cu caracter personal intr-o modalitate structurata, folosita in mod obisnuit si intr-un format usor de citit, precum si dreptul ca aceste date sa fie transmise de catre operatot catre alt operator de date, in masura in care sunt indeplinite conditiile legale;
  • DREPTUL LA OPOZITIE – dreptul de a se opune in orice moment, din motive intemeiate si legitime legate de situatia particulara, ca datele cu caracter personal sa faca obiectul unei prelucrari, in masura in care sunt indeplinite conditiile legale;
  • DREPTUL DE A NU FI SUPUS UNEI DECIZII INDIVIDUALE – dreptul de a cere si de a obtine retragerea, anularea sau reevaluarea oricarei decizii bazate exclusiv pe prelucrari efectuate prin mijloace automate (incluzand crearea de profiluri) care produce efecte juridice sau afecteaza in mod similar, intr-o masura semnificativa, persoanele vizate;
  • DREPTUL DE A TE ADRESA JUSTITIEI SAU AUTORITATII NATIONALE DE SUPRAVEGHERE A PRELUCRARII DATELOR CU CARACTER PERSONAL – dreptul de a se adresa cu plangere Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal, respectiv de a se adresa justitiei pentru apararea oricaror drepturi garantate de legislatia aplicabila in domeniul protectiei datelor cu caracter personal, care au fost incalcate.

In situatia in care  PFA lucreaza cu  terti imputerniciti (firma de contabilitate, experti, parteneri subcontractori) care ajung in situatia de lucra cu date personale este necesara incheierea unui contract scris in care tertul actioneaza strict conform intrstructiunilor date de PFA. In aceste contract se evidentiaza clar care este scopul si durata prelucrarii de date personale.

Important! Suntem la inceput cu GDPR-ul. De aceea trebuie sa facem lucrurile fara graba si cu calm. La acest moment nimeni nu este pregatit  pentru a implementa 100% regulamentul, nici macar Comisia Europeana.

Articolul va fi completat pe masura ce vor apare practici si exemple concrete de implementare.

Poti urmari aici cum am implementat GDPR la Ghid PFA – (incomplet)

Cea mai buna sursa de informatii pentru GDPR este aici 

Daca ai intrebari, te rog scrie-mi un comentariu mai jos.

Facebook
Twitter
LinkedIn

Leave a comment

Un comentariu

Buna ziua,am o intreprindere individuala cu cod caen 4673...intrebarea mea este daca trebuie sa inchei act aditional de GDPR cu clientii cu care colaborez,cu contabila,furnizori,etc. Multumesc!
Saulean Felicia
-

22 februarie 2021 at 8:57