Regulamentul european de confidențialitate Regulamentul general privind protecția datelor (GDPR) este un regulament european (deci cu efect direct) care se referă la „protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal ale cetățenilor europeni și libera circulație a acestor date”.


Această nouă reglementare se aplică la nivel mondial tuturor companiilor și organizațiilor care dețin și prelucrează date cu caracter personal ale cetățenilor europeni, indiferent dacă plătesc sau nu pentru servicii sau produse. În limba engleză, AVG se numește General Data Protection Regulation (GDPR). Regulamentul înlocuiește directiva privind protecția datelor din 1995. Nu mai corespundea lumii digitale actuale. GDPR a intrat în vigoare în mai 2016. Din acel moment, se așteaptă ca organizațiile să își alinieze operațiunile de afaceri cu GDPR. Au până la 25 mai 2018 pentru a face acest lucru. După aceea, toată lumea poate răspunde organizațiilor pentru respectarea GDPR. Amenda maximă este de 20 de milioane de euro sau 4% din cifra de afaceri anuală la nivel mondial în cazul unei companii, indiferent de opțiunea care se aplică. Legislația separată privind confidențialitatea se aplică autorităților de anchetă și serviciului de urmărire penală. Propunerea UE este ca GDPR să fie însoțit de regulamentul privind e-confidențialitatea pe 25 mai 2018. Scutul de confidențialitate UE-SUA este un acord privind protecția datelor cu caracter personal ale cetățenilor UE prelucrate în SUA.

Principii

Datele cu caracter personal sunt date care pot fi legate de o persoană fizică sau cu care poate fi identificată o persoană: nume, fotografie, număr de telefon, adresă, număr de cont bancar, adresă de e-mail, adresă IP, amprentă digitală, date medicale etc. (o listă foarte lungă) ).

Trebuie respectate următoarele reguli:

  • transparenţă:
    persoana ale cărei date sunt prelucrate este conștientă de acest lucru, a dat permisiunea pentru acest lucru și își cunoaște drepturile.
  • limitarea obiectivelor:
    datele cu caracter personal sunt colectate pentru un anumit scop legitim și nu pot fi utilizate în alte scopuri
  • restricție de date:
    pot fi colectate numai datele necesare care sunt necesare pentru scopul urmărit
  • corectitudine:
    datele cu caracter personal trebuie să fie și să rămână corecte
  • limitarea stocării:
    datele personale nu pot fi păstrate mai mult decât este necesar în scopul urmărit
  • integritate și confidențialitate:
    datele cu caracter personal trebuie protejate împotriva accesului, pierderii sau distrugerii neautorizate
  • justificare:
    operatorul trebuie să poată demonstra conformitatea cu aceste reguli

Conţinut

Domeniul de aplicare

Regulamentul se aplică în cazul în care operatorul, o organizație care colectează date de la cetățenii UE sau un procesator, o organizație care procesează date în numele unui operator, cum ar fi furnizorii de servicii cloud sau în numele persoanei vizate (persoana), în UE este situat. Regulamentul se aplică și organizațiilor stabilite în afara UE care colectează sau prelucrează date cu caracter personal de la persoane stabilite în UE. Potrivit Comisiei Europene, „datele cu caracter personal sunt toate datele referitoare la o persoană, indiferent dacă se referă la viața sa privată, profesională sau publică. Poate fi un nume, o adresă de domiciliu, o fotografie, o adresă de e-mail, date bancare. , mesaje pe site-urile de rețele sociale, informații medicale sau adresa IP a unui computer. „

Regulamentul nu este destinat să se aplice prelucrării datelor cu caracter personal pentru activități de securitate națională sau de aplicare a legii în UE; cu toate acestea, grupurile industriale preocupate de potențialele conflicte de legi au pus la îndoială dacă articolul 48 din GDPR poate fi invocat pentru a încerca să împiedice un operator supus legii unei țări terțe să respecte orice ordine legală a autorităților de aplicare a legii din țara respectivă, a autorităților judiciare sau de securitate națională de la transferul datelor cu caracter personal către aceste autorități a oricărei persoane din UE, indiferent dacă datele sunt în sau în afara UE. Articolul 48 prevede că o decizie a unei instanțe sau a unei autorități administrative a unei țări terțe care impune unui operator sau procesator să transfere sau să divulge date cu caracter personal poate fi recunoscută sau executorie numai pe baza un acord internațional, cum ar fi un tratat de asistență juridică reciprocă în vigoare între țara terță solicitantă (din afara UE) și UE sau un stat membru. Pachetul privind reforma protecției datelor include, de asemenea, o directivă separată privind protecția datelor pentru sectorul poliției și justiției penale, care conține reguli pentru schimbul de date cu caracter personal la nivel național, european și internațional.

Un set de reguli și un contor

Aceleași reguli se vor aplica tuturor statelor membre ale UE. Fiecare stat membru va înființa o autoritate de supraveghere independentă pentru a gestiona și investiga plângerile, a sancționa infracțiunile administrative etc. Autoritățile de supraveghere din fiecare stat membru cooperează cu alte autorități de supraveghere, acordă asistență reciprocă și organizează acțiuni comune. Dacă o companie are mai multe sedii în UE, va avea o singură autoritate de supraveghere ca „autoritate principală”, pe baza locației „unității sale principale” unde au loc principalele activități de prelucrare. Un comitet european pentru protecția datelor va coordona autoritățile de supraveghere. Acest comitet va înlocui grupul de lucru prevăzut la articolul 29.

Există excepții pentru datele prelucrate în contextul angajării sau securității naționale care pot fi încă supuse reglementărilor naționale individuale (articolul 2 alineatul (2) litera (a) și articolul 82 GDPR).

Responsabilitate și responsabilitate

Cerințele anunțului vor fi menținute și extinse. Acestea ar trebui să includă perioada de păstrare a datelor cu caracter personal, iar informațiile de contact ar trebui furnizate operatorului și responsabilului cu protecția datelor.

Luarea deciziilor individuale automatizate, inclusiv profilarea (articolul 22), poate fi contestată, ca în Directiva privind protecția datelor (articolul 15). Cetățenii au dreptul de a pune întrebări și de a lupta împotriva deciziilor importante care îi afectează și se iau numai pe o bază algoritmică.

Pentru a demonstra conformitatea cu GDPR, operatorul trebuie să ia măsuri care să respecte principiile protecției datelor prin design (confidențialitate prin design) și protecția datelor prin setări implicite (confidențialitate implicită). Protecția datelor prin proiectare și protecția datelor în mod implicit (articolul 25) necesită să fie concepute măsuri de protecție a datelor pentru dezvoltarea proceselor de afaceri pentru produse și servicii. Astfel de măsuri includ pseudonimizarea datelor cu caracter personal de către operator cât mai curând posibil (considerentul 78).

Este responsabilitatea și responsabilitatea operatorului să ia măsuri eficiente și să demonstreze conformitatea activităților de prelucrare, chiar dacă prelucrarea este efectuată de un procesator de date în numele operatorului. (considerentul 74).

În cazul unor riscuri specifice pentru drepturile și libertățile persoanelor vizate, trebuie efectuate evaluări ale impactului asupra protecției datelor (articolul 35). Este necesară evaluarea și atenuarea riscurilor și este necesară aprobarea prealabilă din partea autorităților naționale pentru protecția datelor pentru riscuri majore. Responsabilii cu protecția datelor (articolele 37-39) sunt necesare pentru a asigura conformitatea în cadrul organizațiilor.

Acestea trebuie să fie denumite:

  • pentru toate autoritățile publice, cu excepția instanțelor care acționează în calitate de judecători
  • dacă activitățile de bază ale operatorului sau procesatorului sunt următoarele: operațiuni de prelucrare care, prin natura, sfera și / sau scopurile lor, necesită ca persoanele vizate să fie monitorizate în mod regulat și sistematic la scară largă; prelucrarea la scară largă a categoriilor speciale de date în conformitate cu Articolul 9 și datele cu caracter personal în legătură cu condamnările penale și infracțiunile menționate la articolul 10.

Temei legal pentru prelucrare

Datele nu ar trebui prelucrate decât dacă există cel puțin un temei legal pentru a face acest lucru:

  • Persoana vizată și-a dat consimțământul pentru prelucrarea datelor cu caracter personal pentru unul sau mai multe scopuri specifice.
  • Prelucrarea este necesară pentru executarea unui contract din care face parte persoana vizată sau pentru a lua măsuri la cererea persoanei vizate înainte de a încheia un contract.
  • Prelucrarea este necesară pentru respectarea unei obligații legale la care este supus operatorul.
  • Prelucrarea este necesară pentru a reprezenta interesele vitale ale persoanei vizate sau ale altei persoane fizice.
  • Prelucrarea este necesară pentru îndeplinirea unei sarcini efectuate în interes public sau pentru exercitarea autorității oficiale a operatorului.
  • Prelucrarea este necesară având în vedere interesele legitime urmărite de operator sau de o terță parte, cu excepția cazului în care aceste interese prevalează asupra intereselor sau drepturilor și libertăților fundamentale ale persoanei vizate, care necesită protecția datelor cu caracter personal, în special atunci când persoana în cauză este un copil.

Permisiune

Dacă consimțământul este utilizat ca bază legală pentru prelucrare, consimțământul trebuie dat în mod explicit pentru datele colectate și scopurile pentru care sunt utilizate datele (articolul 7; definit la articolul 4). Consimțământul pentru copii trebuie să fie dat de părintele sau tutorele copilului și trebuie să poată fi verificat (articolul 8). Operatorii de date trebuie să poată demonstra „consimțământul” și consimțământul poate fi retras.

Responsabil cu protecția datelor

Dacă prelucrarea este efectuată de o autoritate publică, cu excepția instanțelor sau instanțelor independente atunci când acționează în calitatea lor judiciară, sau dacă prelucrarea este efectuată în sectorul privat de către un operator al cărui activitate principală constă în operațiuni de prelucrare efectuate în mod regulat și necesită un control sistematic al persoanelor vizate, o persoană cu cunoștințe de specialitate despre legile și practicile privind protecția datelor ar trebui să asiste operatorul sau persoana împuternicită de supraveghere în conformitate cu prezentul regulament.

Responsabilul cu protecția datelor este similar cu un responsabil cu conformitatea și se așteaptă, de asemenea, să fie calificat în gestionarea proceselor IT, securitatea datelor (inclusiv gestionarea atacurilor cibernetice) și alte aspecte critice de continuitate a activității de păstrare și procesare a datelor personale și sensibile. Competențele necesare depășesc înțelegerea conformității legale cu legile și reglementările privind protecția datelor.

Numirea unui responsabil cu protecția datelor într-o organizație mare va reprezenta o provocare atât pentru consiliu, cât și pentru persoana vizată. Există numeroase probleme de guvernanță și factori umani pe care organizațiile și companiile trebuie să le abordeze, având în vedere dimensiunea și natura numirii. În plus, RPD trebuie să aibă o echipă de sprijin și va fi, de asemenea, responsabil pentru dezvoltarea profesională ulterioară, pentru a fi independent de organizația care îi angajează, în mod eficient ca „mini-autoritate”.

Mai multe detalii despre funcția și rolul responsabilului cu protecția datelor au fost furnizate într-un document de orientare la 13 decembrie 2016 (revizuit la 5 aprilie 2017).

Pseudonimizare

GDPR se referă la pseudonimizare ca la un proces de transformare a datelor cu caracter personal în așa fel încât datele rezultate să nu poată fi atribuite unei anumite persoane vizate fără utilizarea informațiilor suplimentare. Un exemplu în acest sens este criptarea, în care datele originale devin neinteligibile și procesul nu poate fi inversat fără acces la cheia corectă de decriptare. GDPR cere ca informațiile suplimentare (cum ar fi cheia de decriptare) să fie păstrate separat de datele pseudonimizate.

Un alt exemplu de pseudonimizare este simbolizarea, o abordare non-matematică a protecției datelor în repaus care înlocuiește datele sensibile cu înlocuitori nesensibili numiți simboluri. Simbolurile nu au nicio semnificație sau valoare extrinsecă sau exploatabilă. Simbolizarea nu modifică tipul sau lungimea datelor, ceea ce înseamnă că poate fi tratată de sisteme mai vechi, cum ar fi bazele de date care pot fi sensibile la lungime și tipul de date.

Acest lucru necesită mult mai puține resurse de calcul pentru procesare și mai puțin spațiu de stocare în baze de date decât datele codificate în mod tradițional. Acest lucru se realizează prin păstrarea datelor specifice complet sau parțial vizibile pentru procesare și analiză, păstrând în același timp informațiile sensibile ascunse.

Se recomandă pseudonimizarea pentru a limita riscurile la persoanele vizate și, de asemenea, pentru a ajuta operatorii și operatorii să își respecte obligațiile de protecție a datelor (considerentul 28).

În timp ce GDPR încurajează utilizarea pseudonimizării pentru a „reduce riscurile pentru persoanele vizate” (considerentul 28), datele pseudonimizate sunt încă considerate date cu caracter personal (considerentul 26) și, prin urmare, rămân supuse GDPR.

Încălcarea datelor

Conform GDPR, operatorul are obligația legală de a notifica autoritatea de supraveghere fără întârzieri nejustificate, cu excepția cazului în care este puțin probabil ca încălcarea datelor să conducă la un risc pentru drepturile și libertățile persoanelor vizate. Există o perioadă maximă de 72 de ore după cunoașterea încălcării datelor pentru a pregăti raportul (articolul 33). Persoanele trebuie să fie informate în momentul identificării efectelor adverse (articolul 34). În plus, procesatorul de date trebuie să notifice operatorul cu privire la o încălcare a datelor fără întârzieri nejustificate. (Articolul 33).

Cu toate acestea, notificarea către persoanele vizate nu este necesară dacă operatorul a implementat măsuri de protecție tehnică și organizațională adecvate care fac datele personale neinteligibile pentru oricine fără autorizație de acces, cum ar fi criptarea (articolul 34).

Sancțiuni

Se pot impune următoarele sancțiuni:

  • un avertisment scris în caz de nerespectare inițială și neintenționată
  • controale periodice de protecție a datelor
  • o amendă de până la 10 milioane EUR sau până la 2% din cifra de afaceri anuală mondială din exercițiul financiar anterior în cazul unei companii, oricare dintre acestea este mai mare, dacă sunt încălcate următoarele dispoziții (articolul 83 alineatul (4) punctul 20)
    • obligațiile operatorului și procesatorului în temeiul articolelor 8, 11, 25-39, 42 și 43
    • obligațiile autorității de certificare în temeiul articolelor 42 și 43
    • obligațiile organismului de control în conformitate cu articolul 41 alineatul (4)
  • o amendă de până la 20 de milioane de euro sau până la 4% din cifra de afaceri anuală mondială a exercițiului financiar anterior în cazul unei companii, oricare dintre acestea este mai mare, dacă sunt încălcate următoarele dispoziții (articolul 83, alineatele 5 și 6 )
    • principiile de bază pentru prelucrare, inclusiv condițiile de consimțământ în conformitate cu articolele 5,6,7 și 9
    • drepturile persoanelor vizate în temeiul articolelor 12-22
    • transferul de date cu caracter personal către un destinatar dintr-o țară terță sau o organizație internațională în conformitate cu articolele 44-49
    • orice obligații în temeiul legislației unui stat membru adoptate în conformitate cu capitolul IX
    • nerespectarea unei comenzi sau o restricție temporară sau permanentă a prelucrării sau suspendării fluxurilor de date de către autoritatea de supraveghere în conformitate cu articolul 58 alineatul (2) sau nerespectarea accesului cu încălcarea articolului 58 alineatul (1) sau nerespectarea de acces cu încălcarea articolului 58 alineatul (1)

Drepturi de confidențialitate

GDPR acordă persoanelor vizate următoarele drepturi, printre altele.

Dreptul de acces

Dreptul de acces (articolul 15) este un drept al persoanei vizate. Acest lucru oferă cetățenilor dreptul de a accesa datele lor personale și informații despre modul în care sunt prelucrate aceste date personale. Operatorul trebuie să furnizeze, la cerere, o prezentare generală a categoriilor de date procesate (articolul 15 alineatul (1) litera (b)) și o copie a datelor efective (articolul 15 alineatul (3)). În plus, operatorul trebuie să informeze persoana vizată despre detaliile prelucrării, cum ar fi care este scopul prelucrării (articolul 15 alineatul (1) litera) a)), cu care vor fi partajate datele (articolul 15 alineatul (1) litera (c)) și modul în care au fost obținute datele (articolul 15 alineatul (1) litera (g)).

Dreptul la corectare și ștergere

Dreptul de a fi uitat a fost înlocuit de un drept mai limitat la ștergere în versiunea GDPR adoptată de Parlamentul European în martie 2014. Articolul 17 prevede că persoana vizată are dreptul să solicite ștergerea datelor cu caracter personal care o privesc din orice motive, inclusiv nerespectarea articolului 6.1 (legalitate) care include un caz (f) în care interesele legitime ale persoanei vizate operatorul de date depășește interesele sau drepturile și libertățile fundamentale ale persoanei vizate care necesită protecție a datelor cu caracter personal (a se vedea, de asemenea, Google Spain SL, Google Inc. împotriva Agenției Spaniole de Protecție a Datelor, Mario Costeja González).

Dreptul la portabilitatea datelor

O persoană ar trebui să poată transfera datele sale personale de la un sistem electronic de prelucrare la altul, fără a fi împiedicată de operator. Datele care sunt suficient de anonimizate nu sunt eligibile, dar datele care sunt doar anonimizate, dar care pot fi în continuare legate de persoana în cauză, cum ar fi furnizarea de către acesta a identificatorului relevant, nu sunt. Atât datele „furnizate” de către persoana vizată, cât și datele „observate” – de exemplu despre comportamentul lor – intră în sfera acestui drept. În plus, datele trebuie furnizate de operator într-un standard deschis electronic structurat și utilizat pe scară largă. Dreptul la portabilitatea datelor este consacrat în articolul 20 din GDPR. Experții juridici văd în versiunea finală a acestei măsuri un „nou drept” care „depășește portabilitatea datelor între doi controlori, astfel cum se prevede la articolul 18”. (Notă: numărul articolului a fost actualizat în versiunea finală a secțiunii 20. Această ofertă a fost corectă la momentul respectiv.)

Limitări

Următoarele cazuri în afara regulamentului:

  • Securitatea națională, armata, poliția, justiția
  • Analiza statistică și științifică
  • Persoanele decedate sunt reglementate de legislația națională
  • Există o lege specială privind relațiile angajator-angajat
  • Prelucrarea datelor cu caracter personal de către o persoană fizică în cadrul unei activități pur personale sau de uz casnic

 

Sursa: WikipediA