Modificarea politicilor de confidențialitate conform GDPR

vizualizari: 163
29 Oct 2018

Societățile care dețin site-uri web sunt obligate să-și actualizeze politicile de confidențialitate astfel încât să fie conforme cu prevederile Regulamentului general privind protecția datelor (UE) 2016/679 (GDPR), care se aplică în România din mai 2018. În esență, politicile de confidențialitate trebuie să fie concise, scrise într-un limbaj simplu și clar, ușor accesibile și gratuite.

Regulamentul pune un accent mare pe consimțământul persoanei. În cazul în care obținerea acestuia este dificilă sau imposibilă, este necesar să se identifice o bază legală pentru a continua procesarea datelor. Consimtământul exprimat trebuie să fie clar, concis și explicit.

Persoanele vizate trebuie să știe clar cum și la ce intenționați să le folosiți datele. Cea mai bună și ușoară metodă de a face acest lucru sunt ”notele de confidențialitate”. Chiar dacă aveți deja aceste notificări, ele vor trebui modificate și îmbunătățite pentru a informa utilizatorii cu privire la timpul de stocare a datelor și baza legală pentru aceste operațiuni.

Este foarte important să obțineți acordul pentru fiecare colectare sau procesare în parte, astfel veți putea dovedi clar că sunteți îndreptățit să folosiți informațiile personale în scopul precizat.

Ca parte a acestei obligații fundamentale, orice societate trebuie să se angajeze să protejeze și să utilizeze în mod corespunzător informațiile cu caracter personal, care au fost colectate atât în format electronic cât și în format fizic.

Legea permite oricărei persoane să prelucreze date cu caracter personal, atât timp cât există un temei legal pentru a face acest lucru. În consecință, atunci când se procesează date cu caracter personal, se va avea în vedere una dintre următoarele condiții privind prelucrarea:
• încheierea unui contract - atunci când prelucrarea datelor este necesară în vederea efectuării de demersuri pentru încheierea unui contract;
• executarea unui contract - atunci când prelucrarea datelor este necesară pentru îndeplinirea obligațiilor care decurg dintr-un contract;
• obligația legală - atunci când societățile sunt obligate să proceseze datele cu caracter personal pentru a respecta o obligație legală, precum păstrarea registrelor în scopuri fiscale sau furnizarea de informații către o autoritate publică sau o instituție de aplicare a legii;
• interese legitime - se vor prelucra date cu caracter personal în cazul în care aceasta este în interesul legitim al unei entități, în decursul desfășurării unei afaceri în conformitate cu dispozițiile legii, pentru a continua derularea acesteia, atât timp cât nu prevalează intereselor unor persoane;
• consimțământul fiecărei persoane - în anumite cazuri, se va solicita permisiunea specifică de a procesa unele dintre datele cu caracter personal și se vor prelucra datele în acest fel numai dacă persoana este de acord cu acest lucru.

Exemple privind „interesele legitime” menționate mai sus sunt:
• oferirea de informații și/sau servicii persoanelor care vizitează un site sau oferirea de informații despre oportunitățile de angajare;
• prevenirea fraudei sau a activității infracționale și protejarea sistemelor IT;
• personalizarea experienței online a persoanelor fizice și îmbunătățirea gradului de utilizare și a eficacității performanței legate de prezența online a unei societăți;
• îndeplinirea obligațiilor de responsabilitate corporatistă și socială;
• exercitarea drepturilor fundamentale în UE în temeiul articolelor 16 și 17 din Carta drepturilor fundamentale, inclusiv libertatea de a desfășura o afacere și dreptul de proprietate;
• pentru menținerea securității locațiilor și personalului unei societăți;
• pentru desfășurarea procedurilor de management al riscului.

Categoriile de date cu caracter personal care pot fi prelucrate de către oricare dintre societăți sunt următoarele:
• date cu caracter personal de identificare sau de contact, cum ar fi nume, data nașterii, naționalitate, serie și număr carte de identitate, cod numeric personal (CNP sau altul), locul nașterii, fotografie, adresă domiciliu, reședință sau adresa de corespondență, adresa de e-mail, număr telefon etc;
• date cu caracter personal privind pregătirea profesională, cum ar fi certificate/atestate/diplome de studii și/sau de absolvire cursuri de pregătire profesională;
• date de localizare, cum ar fi cele care sunt legate de conexiunea la internet de la distanță ale utilizatorilor (remote desktop) sau datele de localizare a vehiculului (GPS);
• date financiare, cum ar fi numărul de cont bancar sau alte detalii pentru plăți, salarii, beneficii, acțiuni etc.;
• statutul civil sau date cu caracter personal referitoare la familie, cum ar fi numărul copiilor sau al altor persoane aflate în îngrijire;
• date electronice de identificare, cum ar fi adresa IP, cookies, tehnologii de tip “web beacons;
• date video sau alt tip de date în legătură cu vizitatorii sediilor societății.

În unele cazuri datele cu caracter personal vor include și categorii speciale de date, precum informații referitoare la diversitate (inclusiv date despre originea rasială și etnică, opiniile politice, convingerile religioase și alte convingeri de natură similară, afilierea la sindicate și date despre viața sexuală și orientarea sexuală) sau date privind sănătatea și infracțiunile presupuse sau dovedite, în fiecare caz în care acest lucru este permis de lege.

Orice societate este liberă să colecteze și să proceseze datele cu caracter personal ale potențialilor, actualilor și foștilor parteneri de afaceri, precum și date de contact obținute direct de la astfel de persoane vizate sau de la terțe părți în scopul menținerii, stabilirii și reînnoirii comunicării cu partenerii de afaceri fie în baza consimțământului, fie a interesului legitim.


Constantin Neacșu, avocat Baroul București
Tel.: 0744244852

Inapoi