GDPR

1. Drepturile persoanelor vizate (utilizatori)

Regulamentul general privind protecția datelor (GDPR) este legislația privind protecția datelor care se aplică în Uniunea Europeană (UE) și reglementează protecția datelor cu caracter personal. GDPR acordă persoanelor vizate diverse drepturi pentru a menține controlul asupra informațiilor lor personale. Iată un rezumat al acestor drepturi:

1. Dreptul la informare: RGPD prevede că persoanele vizate au dreptul de a primi informații clare și inteligibile cu privire la modul în care sunt prelucrate datele lor cu caracter personal.

2. Dreptul de acces: Persoanele fizice au dreptul de a obține confirmarea faptului că datele lor cu caracter personal sunt prelucrate și, în caz afirmativ, de a solicita accesul la aceste date. Întreprinderile trebuie să furnizeze o copie a datelor pe care le dețin despre o persoană fizică.

3. Dreptul la rectificare: În cazul în care datele cu caracter personal sunt inexacte sau incomplete, persoanele vizate au dreptul de a solicita corectarea acestora. Acest drept include, de asemenea, dreptul de a completa informațiile lipsă.

4. Dreptul la ștergere ("dreptul de a fi uitat"): În anumite circumstanțe, persoanele vizate pot avea dreptul de a solicita ștergerea datelor lor cu caracter personal. Acesta este cazul, de exemplu, dacă datele nu mai sunt necesare pentru scopul inițial sau dacă prelucrarea este ilegală.

5. Dreptul de a restricționa prelucrarea: Persoanele vizate au dreptul de a restricționa prelucrarea datelor lor cu caracter personal în anumite cazuri. Atunci când prelucrarea este restricționată, datele pot fi stocate și prelucrate doar într-o măsură limitată.

6. Dreptul la portabilitatea datelor: persoanele fizice au dreptul de a-și primi datele cu caracter personal într-un format structurat, utilizat în mod obișnuit și care poate fi citit automat, precum și de a transfera aceste date către un alt operator, fără a fi împiedicate de operatorul inițial.

7. Dreptul la opoziție: Atunci când datele cu caracter personal sunt prelucrate pe baza unui interes legitim, persoanele vizate se pot opune acestei prelucrări în anumite circumstanțe. În acest caz, este responsabilitatea companiei să demonstreze că există motive legitime și imperioase pentru prelucrare care prevalează asupra intereselor, drepturilor și libertăților persoanei vizate.

8. Dreptul de a nu face obiectul unor decizii automatizate, inclusiv crearea de profiluri: Persoanele fizice au dreptul de a nu face obiectul unei decizii bazate exclusiv pe o prelucrare automatizată care produce efecte juridice în ceea ce le privește sau care le afectează în mod similar în mod semnificativ. Acest drept include dreptul de a primi informații cu privire la logica implicată în procesul decizional automatizat și la domeniul de aplicare al acestuia.

2. Obligațiile persoanelor responsabile / procesatorilor de comenzi

În conformitate cu Regulamentul general privind protecția datelor (GDPR), atât operatorii, cât și persoanele împuternicite de operatori au anumite obligații în ceea ce privește protecția datelor cu caracter personal. Iată câteva obligații importante care trebuie îndeplinite de ambele părți:

Atribuțiile celor responsabili:

1. Obligația de informare transparentă: Operatorii trebuie să informeze persoanele vizate cu privire la prelucrarea datelor lor cu caracter personal. Aceste informații trebuie să fie clare, precise și ușor de înțeles.

2. Legalitatea prelucrării: Operatorii pot prelucra datele cu caracter personal numai în mod legal. Aceasta include existența unui temei juridic (de exemplu, consimțământul persoanei vizate sau executarea unui contract) și respectarea principiilor de prelucrare a datelor.

3. Limitarea scopului: Operatorii pot colecta și prelucra date cu caracter personal numai în scopuri specificate, explicite și legitime. Prelucrarea ulterioară în scopuri incompatibile este permisă numai în anumite cazuri excepționale.

4. Economia datelor: Operatorii ar trebui să colecteze numai acele date cu caracter personal care sunt necesare în scopul prelucrării. Nu ar trebui să fie colectate date excesive sau inutile.

5. Precizia datelor: Operatorii de date sunt obligați să se asigure că datele cu caracter personal sunt exacte și actualizate. Datele inexacte trebuie să fie corectate sau șterse.

6. Limitele de stocare: Operatorii ar trebui să stocheze datele cu caracter personal doar atât timp cât este necesar pentru scopul prelucrării. Durata de păstrare a datelor ar trebui să fie clar definită.

7. Securitatea datelor: Operatorii trebuie să ia măsuri tehnice și organizatorice adecvate pentru a proteja datele cu caracter personal împotriva accesului neautorizat, pierderii sau utilizării abuzive.

Obligațiile operatorilor:

1. Contractul de procesare a comenzilor: Persoanele împuternicite de operator trebuie să încheie un contract scris cu operatorul care să precizeze cerințele de protecție a datelor în conformitate cu RGPD.

2. Prelucrarea datelor în nume propriu: Persoanele împuternicite de către operator pot prelucra datele cu caracter personal numai în conformitate cu instrucțiunile operatorului și nu le pot utiliza în scopuri proprii sau transmite aceste date unor terți, cu excepția cazului în care acest lucru este impus prin lege.

3. Securitatea datelor: Persoanele împuternicite de către operatori trebuie să ia măsuri tehnice și organizatorice adecvate pentru a asigura securitatea datelor cu caracter personal.

4. Suportul controlerului: Operatorii trebuie să sprijine operatorul în îndeplinirea obligațiilor care îi revin în temeiul legislației privind protecția datelor, de exemplu în ceea ce privește punerea în aplicare a drepturilor persoanelor vizate sau în realizarea evaluărilor de impact asupra protecției datelor.

3. Explicații suplimentare

În acest capitol există explicații suplimentare privind subiecte specifice.
Vă rugăm să alegeți din cuprinsul din partea dreaptă.

3.1. Definiții

În sensul GDPR, termenul înseamnă:

1. "date cu caracter personal" înseamnă orice informație referitoare la o persoană fizică identificată sau identificabilă (denumită în continuare "persoana vizată"); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un identificator, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online sau la unul sau mai mulți factori specifici identității fizice, fiziologice, genetice, mentale, economice, culturale sau sociale a persoanei fizice respective;
2. "controller" înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu alte persoane, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; în cazul în care scopurile și mijloacele unei astfel de prelucrări sunt stabilite de dreptul Uniunii sau de dreptul unui stat membru, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute de dreptul Uniunii sau de dreptul unui stat membru;
3. "persoană împuternicită de operator" înseamnă o persoană fizică sau juridică, o autoritate publică, o agenție sau un alt organism care prelucrează date cu caracter personal în numele operatorului;
4. "prelucrare" înseamnă orice operațiune sau set de operațiuni care se efectuează asupra datelor cu caracter personal, indiferent dacă se realizează sau nu prin mijloace automate, cum ar fi colectarea, înregistrarea, organizarea, arhivarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea;
5. "restricționarea prelucrării" înseamnă marcarea datelor cu caracter personal stocate cu scopul de a limita prelucrarea lor viitoare;
6. "crearea de profiluri" înseamnă orice prelucrare automatizată a datelor cu caracter personal care constă în utilizarea acestor date cu caracter personal pentru a evalua anumite aspecte personale referitoare la o persoană fizică, în special pentru a analiza sau a prezice aspecte legate de performanța la locul de muncă, situația economică, sănătatea, preferințele personale, interesele, fiabilitatea, comportamentul, locația sau schimbarea locației persoanei fizice respective;
7. "Pseudonimizarea" înseamnă prelucrarea datelor cu caracter personal astfel încât datele cu caracter personal să nu mai poată fi atribuite unei anumite persoane vizate fără utilizarea de informații suplimentare, cu condiția ca aceste informații suplimentare să fie păstrate separat și să facă obiectul unor măsuri tehnice și organizatorice care să garanteze că datele cu caracter personal nu sunt atribuite unei persoane fizice identificate sau identificabile;
8. "sistem de fișiere" înseamnă orice colecție structurată de date cu caracter personal accesibilă în funcție de criterii specificate, indiferent dacă o astfel de colecție este menținută la nivel central, descentralizat sau în funcție de criterii funcționale sau geografice;
9. "destinatar" înseamnă o persoană fizică sau juridică, o autoritate publică, o agenție sau un alt organism căruia îi sunt dezvăluite date cu caracter personal, indiferent dacă este sau nu o parte terță. Cu toate acestea, autoritățile publice care pot primi date cu caracter personal în contextul unei sarcini de investigație specifice în temeiul dreptului Uniunii sau al unui stat membru nu sunt considerate destinatari; prelucrarea acestor date de către autoritățile respective se efectuează în conformitate cu normele aplicabile privind protecția datelor, în conformitate cu scopurile prelucrării;
10. "Terț" înseamnă o persoană fizică sau juridică, o autoritate publică, o agenție sau un alt organism, altul decât persoana vizată, operatorul, persoana împuternicită de către operator și persoanele care, sub autoritatea directă a operatorului sau a persoanei împuternicite de către operator, sunt autorizate să prelucreze datele cu caracter personal;
11. "Consimțământul" persoanei vizate înseamnă orice manifestare de voință specifică, informată și neechivocă, dată în mod liber, sub forma unei declarații sau a unui alt act afirmativ lipsit de ambiguitate prin care persoana vizată își exprimă acordul cu privire la prelucrarea datelor cu caracter personal care o privesc;
12. "încălcare a securității datelor cu caracter personal" înseamnă o încălcare a securității care conduce, accidental sau ilegal, la distrugerea, pierderea, modificarea sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate în alt mod, sau la accesul neautorizat la acestea;
13. "date genetice" înseamnă date cu caracter personal referitoare la caracteristicile genetice moștenite sau dobândite ale unei persoane fizice, care oferă informații unice despre fiziologia sau sănătatea persoanei fizice respective și care au fost obținute, în special, din analiza unui eșantion biologic de la persoana fizică respectivă;
14. "date biometrice" înseamnă date cu caracter personal referitoare la caracteristicile fizice, fiziologice sau comportamentale ale unei persoane fizice, obținute prin intermediul unor proceduri tehnice specifice, care permit sau confirmă identificarea unică a persoanei fizice respective, cum ar fi imagini faciale sau date dactiloscopice;
15. "Date privind sănătatea" înseamnă date cu caracter personal referitoare la sănătatea fizică sau mentală a unei persoane fizice, inclusiv la furnizarea de servicii de sănătate, din care rezultă informații despre starea de sănătate a persoanei respective;

3.2. Principiile de prelucrare a datelor cu caracter personal

Datele cu caracter personal trebuie să fie

1. prelucrate în mod legal, corect și într-un mod inteligibil pentru persoana vizată ("legalitate, corectitudine, transparență");
2. colectate în scopuri determinate, explicite și legitime și nu sunt prelucrate ulterior într-un mod incompatibil cu aceste scopuri; prelucrarea ulterioară în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică sau în scopuri statistice nu este considerată incompatibilă cu scopurile inițiale, în conformitate cu articolul 89 alineatul (1) ("limitarea scopului");
3. adecvate și relevante pentru scopul urmărit și limitate la ceea ce este necesar în scopul prelucrării ("minimizarea datelor");
4. exacte și, dacă este necesar, actualizate; trebuie luate toate măsurile rezonabile pentru a se asigura că datele cu caracter personal care sunt inexacte în legătură cu scopurile prelucrării lor sunt șterse sau rectificate fără întârziere ("exactitate");
5. să fie păstrate într-o formă care să permită identificarea persoanelor vizate pentru o perioadă de timp care nu depășește perioada necesară pentru scopurile în care sunt prelucrate datele; datele cu caracter personal pot fi păstrate pentru perioade mai lungi în măsura în care datele cu caracter personal sunt prelucrate exclusiv în scopuri de arhivare în interes public sau în scopuri de cercetare științifică și istorică sau în scopuri statistice în conformitate cu articolul 89 alineatul (1), sub rezerva punerii în aplicare a măsurilor tehnice și organizatorice adecvate impuse de prezentul regulament pentru a proteja drepturile și libertățile persoanei vizate ("limitarea stocării");
6. prelucrate într-un mod care să asigure securitatea adecvată a datelor cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, distrugerii sau deteriorării accidentale prin măsuri tehnice și organizatorice adecvate ("integritate și confidențialitate");

Persoana responsabilă este responsabilă pentru conformitate și trebuie să fie în măsură să demonstreze conformitatea ("responsabilitate").

3.3. Legalitatea prelucrării

Prelucrarea este legală numai dacă este îndeplinită cel puțin una dintre următoarele condiții:

1. Persoana vizată și-a dat consimțământul pentru prelucrarea datelor cu caracter personal care o privesc în unul sau mai multe scopuri specifice;
2. prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru punerea în aplicare a unor măsuri precontractuale luate la cererea persoanei vizate;
3. prelucrarea este necesară pentru respectarea unei obligații legale la care este supus operatorul;
4. prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale unei alte persoane fizice;
5. prelucrarea este necesară pentru îndeplinirea unei sarcini de interes public sau în exercitarea autorității publice cu care este învestit operatorul;
6. prelucrarea este necesară în scopul intereselor legitime ale operatorului sau ale unei terțe părți, cu excepția cazului în care interesele sau drepturile și libertățile fundamentale ale persoanei vizate prevalează asupra intereselor sau drepturilor și libertăților fundamentale ale persoanei vizate, care necesită protecția datelor cu caracter personal, în special în cazul în care persoana vizată este un copil.