Ce sunt datele cu caracter personal?
„Datele cu caracter personal” înseamnă orice informație privind o persoană fizică identificabilă (persoană vizată). Elemente de identificare care fac parte din datele cu caracter personal sunt numele, un număr de identificare (CNP/serie nr.de buletin), un identificator online (adresă IP), dar și elemente specifice ale proprii identități fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.
Sunt operator de date cu caracter personal?
Operatorul este orice persoană fizică, persoană juridică sau autoritate, care singură sau împreună cu alte entități stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal.
Prelucrarea datelor cu caracter personal de către o persoană juridică este inevitabilă, de aceea fiecare societate este un operator de date. Din acest motiv este obligatoriu pentru societăți să se asigure că respectă legislația în vigoare.
Ce principii trebuie să îndeplinesc atunci când prelucrez date cu caracter personal?
Datele cu caracter personal trebuie să fie prelucrate în legalitate, echitabil și transparent.
Prelucrarea trebuie să fie limitată la scop. Datele prelucrate trebuie să fie reduse la minim și trebuie să fie exacte. Perioada de stocare trebuie să fie limitată, iar confidențialitatea și integritatea datelor trebuie să fie asigurate prin măsuri tehnice și organizatorice, pe care le implementează operatorul.
Vreau să trimit emailuri de marketing către clienți, ce reguli trebuie să respect?
Este foarte probabil, ca operator, să aveți nevoie de consimțământul persoanei vizate în temeiul instrumentului privind viața privată și comunicațiile electronice. Pentru majoritatea mesajelor de marketing online sau a apelurilor de marketing, pe care doriți să le efectuați, consimțământul este condiția prelucrării în legalitate a datelor cu caracter personal ,în vederea activităților de marketing.
Când am nevoie de consimțământul persoanei vizate?
În cazul în care prelucrarea datelor cu caracter personal nu are la bază un temei juridic și nu există un interese legitim care poate fi invocat de operator, datele cu caracter personal pot fi prelucrate doar cu acordul persoanei vizate.
Consimțământul trebuie să fie dat înaintea prelucrării datelor cu caracter personal. El trebuie să fie liber exprimat, specific, informat și fără ambiguitate.
Operatorul trebuie să fie în măsură să demonstreze că persoana vizată și-a dat acordul pentru prelucrarea datelor sale.
Persoana vizată are dreptul de a-și retrage în orice moment consimțământul dat. Retragerea acestuia trebuie să se facă la fel de simplu ca acordarea acestuia.
În cazul în care consimțământul este condiționat de executarea unui contract sau serviciu, se consideră că nu a fost liber exprimat.
Atunci când prelucrarea datelor cu caracter personal este prevăzută de un act normativ, mai este necesar să obțin consimțământul?
În acest caz, nu mai este necesară obținerea consimțământului. Însă, operatorul are obligația să informeze persoana vizată cu privire la prelucrarea datelor conform art. 13 GDPR.
Ce informații trebuie să conțină informarea persoanei vizate cu privire la prelucrarea datelor cu caracter personal?
În momentul obținerii datelor cu caracter personal, operatorul trebuie să furnizeze persoanei vizate următoarele informații:
- Identitatea operatorului inclusiv datele lui de contact
- Datele responsabilului cu protecția datelor
- Scopurile în care sunt prelucrate datele
- Temeiul juridic al prelucrării
- Interesele legitime, acolo unde este cazul
- Destinatarii sau categoriile de destinatari
- Intenția de a transfera datele cu caracter personal către o țară terță sau o organizație internațională (dacă este cazul)
- Perioada pentru care vor fi stocate datele
- Drepturile persoanei vizate (la acces, rectificare și ștergerea datelor, restricționarea prelucrării, dreptul de a se opune prelucrării și dreptul la portabilitatea datelor)
- Dreptul de a depune o plângere în fața autorității de supraveghere
- Dacă furnizarea de date este o obligație legală, contractuală și eventualele consecințe ale nerespectării obligației
- Existența unui proces decizional automat
Când trebuie să desemnez un responsabil cu protecția datelor?
Autoritățile publice au obligația de a desemna un responsabil cu protecția datelor (DPO), dar și operatorii a căror activități principale constau în operațiuni de prelucrare care necesită o monitorizare periodică și sistematică a persoanelor vizate pe scară largă sau prelucrează categorii de date speciale sau condamnări penale și infracțiuni.
Conform legii naționale 190/2018 , atunci când se prelucrează un număr de identificare național precum CNP, în scopul unui interes legitim, numirea unui responsabil cu protecția datelor este obligatorie.
Chiar și în cazul în care desemnarea unui DPO nu este obligatorie, organizațiile pot considera, uneori, ca fiind utilă desemnarea unui DPO în mod voluntar, fiind de mare folos în stabilirea măsurilor necesare pentru a asigura conformarea societății cu privire la legislația pentru protecția datelor cu caracter personal.
În calitate de persoană juridică ce trebuie să iau în considerare, atunci când instalez un sistem de supraveghere video?
În primul rând trebuie să respectați legislația în vigoare, în special legea 333/2003, HG 301/2012 și alte acte normative aferente.
Sistemul de supraveghere video trebuie instalat doar pe baza unei recomandări care reiese din analiza de risc la securitatea fizică. Analiza de risc la securitatea fizică trebuie efectuată de o persoană autorizată în domeniu.
La amplasarea camerelor de supraveghere trebuie să vă asigurați că raza de supraveghere nu filmează zonele învecinate, publice, zone de recreere sau a vieții private.
Trebuie, de asemenea, să vă asigurați că informați persoanele vizate, în conformitate cu cerințele GDPR și legislația națională în vigoare. Că sunt implementate măsurile tehnice și organizatorice necesare pentru a asigura integritatea și confidențialitatea imaginilor salvate și să respectați perioada de stocare a datelor în concordanță cu legislația în vigoare.
Cât timp pot stoca imaginile in sistemul de supraveghere video?
Conform HG 301/2012 puteți stoca imaginile pe o perioadă de 20 de zile.
Atunci când supravegherea se efectuează la locul de muncă durata de stocare nu are voie să depășească 30 de zile, conform legii 190/2018.