Pentru cine e?

Regulamentul General De Protecție a Datelor al Uniunii Europene va înlocui actuala Directivă 95/46/EC din 2018. Față de actuala Directivă, GDPR va fi lege și va trebui să fie adoptat de toate țările membre UE.

Cei familiari cu Directiva vor observa cu ușurință că GDPR e construit pe Directivă – unele aspecte rămân la fel, altele se schimbă și sunt adăugate reguli noi. De exemplu, GDPR pune mai mult accentul pe drepturile individuale, aducând în același timp amenzi mai mare pentru nerespectarea regulamentului. Scopul său este de a reconcilia legi specifice fiecărei țări care se află deseori în conflict. Și mai important, se dorește schimbarea modului în care organizațiile care operează pe teritoriul UE sau care colectează date personale ale cetățenilor Uniunii, abordează confidențialitatea datelor.

Unul din principalele obiective ale Regulamentului este a da permite cetățenilor un control mai mare asupra datelor personale.

Ca regulament, GDPR trebuie aplicat ca atare în țările membre UE, spre diferență de Directivă, care a fost adaptată de fiecare țară în legea națională.

CUI I SE APLICĂ?

Una din trăsăturile principale ale Regulamentului este că va avea un impact asupra fiecărei entități care utilizează date personale ale cetățenilor europeni, fie că operează pe teritoriul UE sau nu. Pe scurt, oriunde te-ai afla în lume, dacă vinzi bunuri cetățenilor UE sau le procesezi datele personale, trebuie să te conformezi GDPR. Asta înseamnă că Regulamentul va afecta mult mai multe organizații ca Directiva. Este un aspect pozitiv pentru cetățenii europeni care sunt acum mai protejați și mai puțin pozitiv pentru organizațiile din afara Uniunii care vor fi nevoiți să se conformeze unui nou set de reguli. Se răspunde astfel și la întrebarea pe care mulți cetățeni din Marea Britanie o pun: „cum îi va afecta Brexitul pe ei și afacerea lor?” Pe scurt, răspunsul este că depinde de persoanele cu care lucrează. Este puțin probabil, cel puțin pentru început, ca organizațiile din Marea Britanie să taie complet legăturile cu persoanele din UE. Prin urmare, organizațiile are trebui să se conformeze GDPR, pentru a fi siguri că vor evita amenzile.

OPERATORI DE DATE ȘI PERSOANA ÎMPUTERNICITĂ DE OPERATOR

Alte schimbări pe care ar trebui să le aibă în vedere organizațiile sunt cele legate de operatori, respectiv persoanele împuternicite de aceștia. Operatorul este entitatea care determină scopul, condițiile și modalitățile de procesare a datelor; persoana împuternicită de operator este o entitate care procesează datele personale în numele controlorului. Sub Directivă, doar operatorii erau considerați responsabili pentru protecția datelor, nu și persoanele împuternicite de aceștia. Acum, și persoanele împuternicite de operatori vor avea obligația de a se conforma cu cerințele pentru protecția datelor. Atât operatorul cât și persoana împuternicită pot fi persoane fizice, juridice, autoritate publică, o agenție sau alt organism.

Ca persoană împuternicită de operator veți avea o serie de obligații în conformitate cu GDPR, dintre care multe se întrepătrund cu cele ale operatorului. Pentru început, toate operațiunile de procesare a datelor trebuie să satisfacă anumite cerințe ale Regulamentului. Câteva exemple ar fi faptul că un operator poate să numească doar persoane împuternicite care garantează că vor implementa suficiente măsuri tehnice și organizatorice pentru a se conforma cu regulile de protecție a datelor. De asemenea, trebuie să existe un contract între operator și persoana împuternicită. Ambii trebuie să implementeze măsuri potrivite de securitate. Ce înseamnă cu exactitate „potrivit” va fi decis în fiecare caz în parte, luându-se în considerare datele procesate, riscurile unei breșe de securitate, costul implementării și natura procesării datelor.