GDPR, un cuvânt care sperie companiile care lucrează cu publicul larg - mass media, sănătate, resurse umane, comerț online, marketing.
Începând cu data de 25 mai 2018 va intra în vigoare noua lege Europeană pentru Protecția Datelor personale - noul Regulament UE 2016/679 - pe scurt GDPR.
GDPR prevede un proces mai transparent și mai sigur de colectare și administrare a datelor personale pe care le tranzacționăm online.
Cum procedăm daca primim, după 25 mai, mesaje sau telefoane din partea unor institutii sau firme cărora nu le-am dat acordul explicit să ne păstreze stocate datele de contact?
Realitatea.net a aflat de la o companie de consultanţă pe tematica GDPR, Omega Trust, cum poţi să te protejezi în cazul în care vei mai primi mailuri, SMS-uri sau telefoane de la companii cărora nu le-ai dat acordul să îţi păstreze datele de contact.
Vezi mai jos răspunsurile oferite de Cosmin Măcăneață, Managing Partner al Omega Trust:
Intrebare: Ce metode de reclamare ai la dispozitie?
Raspuns: Regulamentul 679/2016 (GDPR) vine cu o serie de cerinte privind obligatia companiilor/instituatiilor care prelucreaza date personal (denumite generic de GDPR "operatori") de a prelucra, intr-un mod securizat, datele cu caracter personal ale persoanelor fizice si pune accent pe respectarea drepturilor acestora.
In baza GDPR, orice persoana vizata are dreptul de a depune o plangere la Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal (ANSPDCP), in cazul in care considera ca prelucrarea datelor cu caracter personal, care o vizeaza, incalca drepturile si libertatile sale sau prevederile GDPR.
Intrebare: Cum sa procedezi ca sa nu se repete situatia? cui te poti adresa in afara de institutia vizata?
Raspuns: Pana a se ajunge la depunerea unei plangeri in fata Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal, persoana vizata poate solicita exercitarea unuia sau mai multora din drepturile sale direct operatorului caruia i-a incredintat datele sale personale.
De exemplu, daca persoana vizata nu mai doreste sa primeasca mesaje promotionale, mesaje privind campanii publicitare sau alte mesaje de marketing, atunci aceasta isi poate exercita dreptul la opozitie, privind prelucrarea datelor sale in scop de marketing direct. In acest caz, operatorul trebuie sa inceteze sa contacteze persoana si sa nu ii mai prelucreze datele, in scop de marketing.
In cazul in care compania ignora solicitarea persoanei si continua sa ii prelucreze datele, atunci persoana este indreptatita sa depuna o plangere la ANSPDCP.
Intrebare: Unele companii au trimis catre clienti mesajul urmator: "daca nu ne raspunzi deloc, vom considera acord tacit si iti trimitem in continuare newsletter". Este o abordare corecta, legala?
Raspuns: Abordarea aceasta este incorecta si incalca prevederile GDPR. Regulamentul mentioneaza ca, in cazul in care prelucrarea se bazeaza pe consimtamant, aspect obligatoriu pentru transmiterea newsletter-elor in scopuri de marketing, operatorul trebuie sa fie in masura sa demonstreze ca persoana vizata si-a exprimat consimtamantul pentru prelucrarea datelor sale cu caracter personal.
Ori in cazul in care operatorul interpreteaza lipsa raspunsului ca acord tacit, nu poate demonstra ca are consimtamant pentru prelucrarea acelor date si, pe cale de consecinta, ar putea face subiectul unei sanctiuni din partea ANSPDCP.
Mai mult, GDPR reglementeaza cererea privind consimtamantul sa fie prezentata intr-o forma care o diferentiaza in mod clar de celelalte aspecte, intr-o forma inteligibila si usor accesibila, utilizand un limbaj clar si simplu.
Asadar, daca respectivele companii nu obtin acordul explicit al persoanelor vizate, atunci acestea trebuie sa inceteze prelucrarea datelor personale ale respectivelor persoane. In caz contrar, persoanele vizate vor fi indreptatite sa depuna o plangere la ANSPDCP.
Intrebare: Ce amenzi risca compania/institutia care iti pastreaza totusi datele dupa ce ai facut sesizarea si te contacteaza din nou?
Raspuns: Regulamentul stabileste noi sume maxime ale amenzilor. Pentru nerespectarea, de exemplu, a obligatiilor operatorului si ale persoanei imputernicite, companiile sunt pasibile de amenzi de pana la 10.000.000 Euro sau, in cazul unei intreprinderi, de pana la 2% din cifra de afaceri mondiala totala anuala corespunzatoare exercitiului financiar anterior, luandu-se in calcul cea mai mare valoare.
Pentru nerespectarea, de exemplu, a principiilor legate de prelucrarea datelor cu caracter personal, inclusiv conditiile privind consimtamantul, nerespectarea drepturilor persoanei vizate, nerespectarea prevederilor privind transferul de date cu caracter personal catre destinatari aflati in state terte sau catre o organizatie internationala, companiile sunt pasibile de amenzi de pana la 20.000.000 Euro sau, in cazul unei intreprinderi, de pana la 4 % din cifra de afaceri mondiala totala anuala corespunzatoare exercitiului financiar anterior, luandu-se in calcul cea mai mare valoare.
Pentru o gestionare eficienta a situatiilor de mai sus, recomandam numirea unui Responsabil pentru Protectia Datelor (DPO – Data Protection Officer). Acesta reprezinta un avantaj major pentru operator in vederea intelegerii si respectarii obligatiilor prevazute de GDPR, mentinerii si gestionarii dialogului cu persoanele vizate, cu ANSPDCP si reducerii riscurilor aparitiei unor litigii.