Începând cu 25 mai 2018 se va aplica în toate statele membre ale Uniunii Europene Regulamentul GDPR (general data protection regulation) care aduce modificări substanțiale în ceea ce privește prelucrarea datelor cu caracter personale ale persoanelor vizate.
Asociaţia pentru bune practici GDPR(regulamentului european privind protecţia datelor) îşi propune să fie o voce a societăţilor în faţa autorităţii, astfel încât autoritatea să nu aibă doar punctul de vedere al statului, ci să ştie exact ce se întâmplă în piaţă, să vadă cu ce se confrunta societăţile, a declarat Elena Grecu, invitată la emisiunea Capital Live.
Asociaţia este constituită, pe de-o parte, din avocaţi şi specialişti în domeniul IT, care au lucrat în domeniul prelucrării datelor cu caracter personal şi pe de altă parte din membrii ai societăţii care vor să adere la un cod etic şi care vor să fie la curent cu tot ceea ce se întâmplă.
În sfera datelor cu caracter personal intra şi codul numeric personal(CNP). Din 2012, CNP-ul nu ar trebui să mai existe pe facturi. Acesta este un aspect foarte important şi priveşte foarte multe businessuri care se adresează consumatorilor. Foarte mulţi contabili sfătuiesc în continuare să se treacă CNP-ul pe facturi, având în vedere declaraţia 396 care specifica înainte obligativitatea depunerii codului numeric personal. Anul trecut a fost modificată şi această declaraţie, iar acum este suficient pentru emiterea unei facturi numele, prenumele şi domiciliul complet.
Numele şi adresa sunt şi ele date cu caracter personal, totuşi CNP-ul se distinge de celelalte date, deoarece este o dată mult mai sensibilă, în sensul în care în proiectul de lege este specificat că societăţile care colectează CNP-uri, vor trebui să aibă angajat un specialist care să fie responsabil de prelucrarea datelor cu caracter personal.
Instituţiile publice (cu excepţia instanţelor de judecată), companiile a căror activitate principală constă în operaţiuni de prelucrare care necesită o monitorizare periodică şi sistematică pe scară largă a persoanelor vizate, precum şi companiile care prelucrează, pe scară largă, categorii speciale de date (originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice, apartenenţa la sindicate, date genetice, date biometrice, date privind sănătatea, date privind viaţa sexuală sau orientarea sexuală) sau date referitoare la condamnări penale şi infracţiuni, vor fi obligate să îşi angajeze un responsabil cu protecţia datelor personale (DPO – Data Protection Officer).
Astfel, codul numeric devine mai important şi nu ar trebui să fie folosit decât în cazul în care chiar este nevoie de el, sau în cazul în care este cerut de autorităţi, deoarece în baza lui putem fi identificaţi în foarte multe situaţii.
Opoziţia la prelucrarea datelor se poate face în situaţiile în care cineva ne prelucrează datele pentru îndeplinirea unei sarcini care serveşte unui interes public sau în scopul unor interese legitime. Prin urmare, ne putem opune doar atunci când prelucrarea se face în baza unuia dintre aceste două temeiuri.
În cazul companiilor, angajatorii au obligativitatea de a avea copii ale cărţilor de identitate a tuturor angajaţiilor.
În afară de proprii angajaţi, companiile nu ar trebui să colecteze CNP-urile, cu mici excepţii, cum ar fi şcolile şi grădiniţele care trebuie să raporteze către Ministerul Educaţiei, sau contabilii care mai au şi anumite reglementări, dar altfel, societăţile obişnuite care nu au obligaţii de raportare către un minister, nu ar trebui să colecteze CNP-urile clienţilor.
Prelucrarea codului numeric personal sau a altor date cu caracter personal având o funcţie de identificare de aplicabilitate generală poate fi efectuată numai dacă: a) persoana vizată şi-a dat în mod expres consimţământul; sau b) prelucrarea este prevăzută în mod expres de o dispoziţie legala, prelucrarea facându-se nu în baza acordului beneficiarului, ci în baza unor prevederi legale exprese privind evidenţa muncii şi declararea şi plata obligaţiilor fiscale.
Potrivit textului său, intrarea în vigoare a Regulamentului european privind protecţia datelor a fost stabilită pentru 25 mai 2018, la aproximativ doi ani de la publicare, tocmai pentru a permite companiilor să îşi poată schiţa şi implementa propriul cadru de conformitate la prevederile Regulamentului. Cu alte cuvinte, companiile vor trebui să-şi rezolve problemele impuse de GDPR înainte de data de intrare în vigoare, pentru că după această dată riscă sancţiuni importante pentru lipsa de conformitate.
Nerespectarea GDPR poate atrage mai multe tipuri de sancţiuni, inclusiv amenzi de până la 20 de milioane de euro sau 4% din cifra de afaceri globală, oricare dintre acestea este mai mare. În plus, dacă au suferit un prejudiciu, persoanele vizate pot obţine despăgubiri care să acopere valoarea acestor prejudicii, iar drepturile lor pot fi reprezentate inclusiv de organisme colective.
Sursa: capital.ro