Care companii trebuie să fie pregătite pentru intrarea în vigoare a Noului Regulament pentru Protecția Datelor Personale?
Intrarea în vigoare, la 25 mai 2018, a Regulamentul General de Protecție a Datelor Personale (GDPR) va produce un impact major pentru companii, indiferent de mărirea lor. În același timp, efectele regulamentului vor fi resimțite și în sectorul public, dar și în cel al ONG-urilor, noile reguli aplicându-se inclusiv cu privire la prelucrările în curs de date deja colectate anterior.
ATENȚIE LA TOATE PROCESELE DE PRELUCRARE PENTRU ORGANIZAȚIILE CU 250 DE ANGAJAȚI ȘI MAI MULT
Potrivit noilor reglementări, companiile, dar și celelalte organizații cu 250 sau mai mulți angajați vor trebui să aibă în vedere în evidențele lor interne toate activitățile de prelucrare a datelor cu caracter personal. GDPR se aplică prelucrărilor efectuate de organizații care operează în cadrul UE și, de asemenea, organizațiilor din afara UE care oferă bunuri sau servicii persoanelor fizice în UE. Excepțiile de la aplicarea contractului au în vedere prelucrarea în scopuri de securitate națională și procesarea efectuată de persoane exclusiv pentru activități personale / gospodărești. Așadar, GDPR se aplică “datelor cu caracter personal“, care înseamnă orice informație referitoare la o persoană identificabilă care poate fi identificată direct sau indirect, în special prin trimitere la un identificator, precum numele, numărul de identificare (ex: CNP), datele de localizare sau identificatorul online. Sub incidența regulamentului vor intra și sistemele de arhivare manuală în care datele personale sunt accesibile conform unor criterii specifice, precum și sistemele automatizate. Apoi, companiile și celelalte organizații vor ține cont că GDPR se aplică și “categoriilor speciale de date cu caracter personal” (articolul 9), precum datele genetice și datele biometrice, procesate pentru a identifica în mod unic o persoană. Datele cu caracter personal referitoare la condamnările penale și infracțiunile nu sunt incluse, dar se aplică și protecții suplimentare similare procesării acestora (articolul 10).
SCUTIRI LIMITATE PENTRU ORGANIZAȚIILE MICI ȘI MIJLOCII
GDPR introduce și pentru companiile și organizațiile care au mai puțin de 250 de angajați obligații în protecția datelor personale în cazul procesărilor care nu sunt ocazionale sau ale celor care sunt susceptibile de a genera un risc pentru drepturile și libertățile persoanelor, precum și a celor care implică date de categorie specială sau date de condamnare penală și infracțiuni (conform articolele 9 și 10). Un exemplu de procesare privind modalitățile în care se cuantifică necesitatea protecției este oferit de organismul de resort din Marea Britanie, Information Commissionar’s Office. Astfel, o companie de asigurări care are 100 de angajați procesează în mod regulat date cu caracter personal privind cererile de despăgubire, vânzările și resursele umane. Deși compania are mai puțin de 250 de angajați, trebuie să documenteze în continuare aceste tipuri de activități de prelucrare, deoarece acestea nu sunt ocazionale. Cu toate acestea, unele dintre activitățile de procesare ale companiei apar mai puțin frecvent. De exemplu, face ocazional un sondaj de angajament intern al personalului. Compania nu desfășoară foarte des această activitate specială de procesare, deci nu trebuie să o documenteze ca parte a înregistrării activităților de procesare.
EXEMPLU PRIVIND PROCESAREA CARE AR PUTEA FI UN RISC PENTRU DREPTURILE ȘI LIBERTĂȚILE PERSOANLELOR
Pornind de la același exemplu al companiei de asigurări cu 100 de angajați, aceasta își face uneori profilarea în baza de date a clienților în scopul clasificării riscului de asigurare. Deși rare, aceste activități trebuie să fie avute în vedere pentru conformarea cu normele GDPR. Acest lucru este cauzat de faptul că prin crearea de date deduse prin profilare prelucrarea datelor cu caracter personal poate fi intruzivă și poate duce la riscuri pentru drepturile și libertățile persoanelor. În același timp, compania va trebui să se conformeze standardelor GDPR și în cazul în care, în urma campaniilor de recrutare, aceasta colectează informații privind sănătatea și originea etnică a solicitanților pentru monitorizarea egalității de șanse. Aceasta deoarece în procesul de procesare sunt implicate date din categoriile speciale.
Consultă în Sintact.ro Regulamentul general privind protecţia datelor (Regulamentul 679/27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE).