Navigation path

Cum mă asigur că sunt în conformitate cu normele de protecție a datelor cu caracter personal?

Cum mă asigur că sunt în conformitate cu normele de protecție a datelor cu caracter personal?

Este posibil ca clienții dumneavoastră din mediul online să vă ofere informații precum numele, adresa, date bancare sau date privind cardul de credit fără a se gândi prea mult. Însă dumneavoastră, în calitate de comerciant online, aveți obligația de a proteja datele cu caracter personal ale acestora împotriva utilizării ilegale și de a respecta drepturile lor la confidențialitate pe parcursul prelucrării datelor cu caracter personal. 

Datele cu caracter personal sunt definite ca și informații privind o persoană fizică identificată sau identificabilă (numit și „persoană vizată”). 

Exemple de date cu caracter personal care pot fi utilizate pentru a identifica o persoană fizică sunt: numele, sexul, un cod numeric de identificare, numărul cardului de credit, informațiile de contact (adresa, numărul de telefon, e-mailul etc.), vârsta și data nașterii, numărul de înregistrare la asigurările sociale, numărul de înregistrare fiscală, limba vorbită, datele biometrice (de exemplu, amprentele digitale sau ADN-ul).

Anumite tipuri de date cu caracter personal intră în categoria de date cu caracter sensibil, adică categorii de date care indică: originea rasială sau etnică, opiniile politice, convingerile religioase sau filozofice, apartenența la un sindicat sau informații privind sănătatea sau viața sexuală. Nu puteți prelucra datele cu caracter sensibil decât dacă aveți consimțământul explicit al persoanei în cauză („activare”).

„Prelucrarea” este orice operațiune efectuată asupra datelor cu caracter personal, inclusiv prin mijloace automatizate, precum colectarea, înregistrarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, difuzarea sau punerea la dispoziție într-un alt fel, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea. 

Respectați cerințele privind protecția datelor cu caracter personal referitoare la entitățile de colectare a datelor

Regulamentul general privind protecția datelor (RGPD) a intrat în vigoare la 25 mai 2018; RGPD constituie o reformă majoră a normelor UE de protecție a datelor și actualizează în mod eficient Directiva privind protecția datelor 95/46. Tot ceea ce trebuie să cunoașteți despre normele pentru afaceri și organizații se găsește pe site-ul web al Comisiei Europene privind reforma normelor UE în materie de protecție a datelor.

Normele RGPD se aplică atât întreprinderilor care au sediul sau desfășoară activități în UE, cât și întreprinderilor din afara UE care prelucrează date cu caracter personal de la persoane vizate din UE.
Conform normelor europene privind protecția datelor, sunteți considerat operator de date dacă sunteți (individual sau prin asociere) persoana care determină motivul (mai precis, scopurile) și modul (mai precis, mijloacele) în care se prelucrează datele cu caracter personal ale clienților.

Dacă dvs. sunteți entitatea care prelucrează date cu caracter personal în numele operatorului de date (de ex. în calitate de furnizor de servicii cloud, o companie de cercetare a pieței sau o companie care oferă servicii de salarizare), atunci sunteți persoana împuternicită de operator. 

Pe lângă faptul că trebuie să câștigați încrederea clienților, în calitate de entitate care colectează date aveți obligația:
•    Să vă asigurați că datele sunt adunate într-o manieră corectă și transparentă și clienții sunt informați corespunzător  asupra modalității de prelucrare a datelor cu caracter personal pe care dumneavoastră o aplicați;
•    Să colectați și să prelucrați datele cu caracter personal doar în cazul în care scopul este unul legitim   și anume dacă acest lucru este necesar (de exemplu pentru un contract);
•    Să respectați anumite obligații  ce privesc prelucrarea datelor cu caracter personal. Printre altele, puteți aduna date cu caracter personal în numele unui operator de date, dacă s-a încheiat un contract care impune un număr de condiții obligatorii pentru persoana împuternicită de operator, potrivit celor stipulate în RGPD. Persoana împuternicită de operator trebuie să păstreze evidențe privind activitățile de prelucrare de date și să le facă disponibile la solicitarea autorității de supraveghere. Trebuie să vă asigurați că personale vizate pot accesa, corecta, șterge sau bloca datele incorecte care le aparțin și că datele cu caracter personal nu sunt păstrate mai mult decât este strict necesar.
•    Să răspundeți reclamațiilor  primite în legătură cu operațiunea de prelucrare a datelor;
•    Să colaborați cu autoritățile de supraveghere a protecției datelor la nivel național, responsabile cu monitorizarea respectării legilor naționale privind protecția datelor și cu gestionarea reclamațiilor legate de prelucrarea datelor cu caracter personal.

Rețineți că ați fi în continuare responsabil din punct de vedere legal în cazul în care cineva care lucrează pentru dumneavoastră ar dezvălui date cu caracter personal și ar încălca legislația pentru protecția datelor.

Informați-vă clienții

Aveți obligația de a vă informa clienții dacă prelucrați informații personale. În acest scop, ar trebui să publicați o notificare privind confidențialitatea pe site-ul web, „într-o formă inteligibilă, utilizând un limbaj clar și simplu”.

În calitate de entitate care adună date, aveți responsabilitatea de a oferi cel puțin următoarele informații:
•    Numele complet al societății, al entității sau al dumneavoastră (în calitate de operator de date);
•    Datele dumneavoastră de contact;
•    O descriere a scopurilor în care vor fi utilizate datele;
•    Locul unde se va desfășura operațiunea de prelucrare a datelor;
•    O descriere a persoanei, a autorității publice, a agenției sau a oricărui organism către care există posibilitatea ca datele să fie divulgate;
•    Modul în care persoanele pot consulta datele cu caracter personal care le aparțin și în care își pot exercita drepturile pe care le au (de exemplu cum pot accesa, corecta sau șterge datele cu caracter personal), precum și modul în care pot obiecta cu privire la utilizarea datelor în scopuri de marketing direct.

Notificarea privind confidențialitatea ar putea include și informații suplimentare precum perioada de timp în care vor fi păstrate datele, modul în care acestea sunt protejate etc.
 

Austria Complete the notification via  Österreichische Datenschutzbehörde website before starting the processing activity.
Belgium Complete the notification via Commission for the protection of privacy website before starting the processing activity.
Bulgaria Complete the notification via Commission for Personal Data Protection website before starting the processing activity.
Croatia Complete the notification via Croatian Personal Data Protection Agency website before starting the processing activity.
Cyprus Complete the notification via Commissioner for Personal Data Protection website before starting the processing activity.
Czech Republic Complete the notification via The Office for Personal Data Protection website before starting the processing activity.
Denmark Complete the notification via Datatilsynet website before starting the processing activity.
Estonia Complete the notification via Estonian Data Protection Inspectorate (Andmekaitse Inspektsioon) website before starting the processing activity.
Finland Complete the notification via Office of the Data Protection website before starting the processing activity.
France Complete the notification via Commission Nationale de l'Informatique et des Libertés website before starting the processing activity.
Germany Complete the notification via Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit website before starting the processing activity.
Greece Complete the notification via Hellenic Data Protection Authority website before starting the processing activity.
Hungary Complete the notification via Data Protection Commissioner of Hungary website before starting the processing activity.
Ireland Complete the notification via Data Protection Commissioner website before starting the processing activity.
Italy Complete the notification via Garante per la protezione dei dati personali website before starting the processing activity.
Latvia Complete the notification via Data State Inspectorate website before starting the processing activity.
Lithuania Complete the notification via State Data Protection website before starting the processing activity.
Luxembourg Complete the notification via Commission nationale pour la protection des données website before starting the processing activity.
Malta Complete the notification via Office of the Information and Data Protection Commissioner website before starting the processing activity.
Netherlands Complete the notification via College bescherming persoonsgegevens
(Dutch Data Protection Authority) website before starting the processing activity.
Poland Complete the notification via The Bureau of the Inspector General for the Protection of Personal Data website before starting the processing activity.
Portugal Complete the notification via Comissão Nacional de Protecção de Dados website before starting the processing activity.
România Completați notificarea prin site-ul web al Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal, înainte de a începe activitatea de prelucrare.
Slovakia Complete the notification via Office for Personal Data Protection of the Slovak Republic website before starting the processing activity.
Slovenia Complete the notification via Information Commissioner website before starting the processing activity.
Spain Complete the notification via Agencia de Protección de Datos website before starting the processing activity.
Sweden Complete the notification via Datainspektionen website before starting the processing activity.
United Kingdom Complete the notification via The Office of the Information Commissioner Executive Department website before starting the processing activity.

 

Surse de informații

Respectați cerințele privind protecția datelor
•    Agenția pentru Drepturi Fundamentale a Uniunii Europene, Consiliului Europei, (2014), Manual privind Legislația comunitară privind protecția datelor
•    Directiva UE privind protecția datelor (Directiva 95/46/CE)
•    Directiva privind protecția datelor: http://ec.europa.eu/justice/data-protection/index_en.htm 
•    Curtea Europeană de Justiție (2014), Protecția datelor cu caracter personal, disponibil la http://ec.europa.eu/justice/data-protection/index_en.htm 
•    Curtea Europeană de Justiție, Grupul de lucru al articolului 29, disponibil la http://ec.europa.eu/justice/data-protection/article-29/index_en.htm 

Declarație către autoritatea națională
•    Directiva UE privind protecția datelor (Directiva 95/46/CE)

Informați-vă clienții
•    Agenția pentru Drepturi Fundamentale a Uniunii Europene, Consiliului Europei, (2014), Manual privind Legislația comunitară privind protecția datelor
•    Directiva UE privind protecția datelor (Directiva 95/46/CE) – Articolul 10

Country specifics

Suggested country specifics to be covered:

National Data protection authority

Questions:

•    Do you agree that the above list of country specific elements is relevant to the audience of European Digital Entrepreneurs?
•    Do you have suggestions for other than the above country specific elements that are relevant to the audience of European Digital Entrepreneurs?
•    What sources of information can you provide as an input for describing the country specifics?