Despre GDPR. O scurtă introducere în lumea datelor personale

Începând cu 25 mai 2018, în România, a devenit aplicabil Regulamentul General privind Protecția Datelor (General Data Protection Regulation – GDPR). Acesta protejează persoanele fizice în ceea ce privește prelucrarea datelor lor cu caracter personal. Indiferent de volumul de date personale, dacă efectuezi prelucrări, ești operator de date și te supui legislației în vigoare.

Multă lume crede că lumea datelor personale se reduce la CNP și uită de alte informații personale la fel de importante. Mă refer aici la date precum: nume, prenume, adresă poștală sau adresă de email. E bine să știi că orice informație care poate duce la identificarea unei persoane fizice este o dată cu caracter personal.

Și totuși, ce treabă am eu cu GDPR?

Ți-ai dorit întotdeauna să strângi în jurul tău o comunitate de oameni care să împărtășească aceleași pasiuni ca și tine? Sau poate ai visat ca ceea ce știi să faci tu cel mai bine să ajungă și la alții? Atunci te felicit, oficial ești operator de date cu caracter personal. De-abia acum începe pentru tine aventura în lumea necunoscută a GDPR.

Dacă oferi servicii de consiliere, dacă ești specialist în nutriție, fotograf, cu siguranță îți dorești să fii văzut și auzit de cât mai mulți oameni. Să cunoști oameni înseamnă, printre altele, să le colectezi datele personale.

Mie nu mi se aplică GDPR

Sunt antreprenori (organizatori de cursuri sau de evenimente) care cred că ei nu sunt operatori de date. Asta deși activitatea lor presupune să țină o evidență a clienților într-o agendă și să îi contacteze când e cazul. Dar de ce nu ar fi asta o prelucrare de date? Vorbim totuși despre date personale colectate și stocate pe un suport fizic. Toate aceste date (nume, prenume, număr de telefon, adresă de email) pot duce la identificarea unor persoane.

Sunt totuși câteva situații în care GDPR nu se aplică prelucrărilor de date cu caracter personal. Una dintre acestea este cea în care o persoană fizică colectează date personale în cadrul unei activități exclusiv personale sau domestice. Dar una este să ai o agendă personală cu datele medicului de familie, ale instalatorului sau ale profesorului de pian și o altă situație să strângi date în scop profesional. În ultimul caz, ești operator de date și trebuie să respecți prevederile legale.

Eu nu îmi dau datele personale oricui

Hai să o lămurim din capul locului: poți fi operator de date și persoană vizată în același timp. Dacă operator este cel care prelucrează date, persoana vizată este persoana fizică ale cărei date se prelucrează.

Indiferent că vrei să îi cumperi un buchet de flori iubitei în drum spre casă sau să îți faci un abonament la sală, datele tale personale vor fi prelucrate într-o formă sau alta. În ziua de azi, nu știu dacă mai există vreo activitate care să nu implice prelucrări de date și care să nu intre sub incidența GDPR. Hai să luăm la o situație banală ca să îți fie mai clar. Cobori seara să îți cumperi o pâine de la magazinul din colț. O să spui că nici vorbă de date în această poveste. La prima vedere, poate ai dreptate, dar dacă te gândești un pic mai mult o să vezi că nu e așa. Dacă magazinul are sistem de supraveghere video, imaginea ta a fost prima colectată din secunda în care ai intrat. Și dacă nici imaginea nu poate duce la identificarea ta, atunci nu știu ce altceva.

GDPR – Cât costă datele tale personale?

Să mergem mai departe și să vedem ce situații mai putem întâlni într-o seară în care nu vrei decât să îți cumperi ceva de mâncare.

În timp ce te îndrepți spre casă să plătești, la unul dintre raioane, la cel de detergenți de rufe să spunem, te abordează o domnișoară foarte drăguță. Tânăra te invită să cumperi noul produs al brandului pe care îl reprezintă, pe al doilea oferindu-ți-l gratis. Accepți și te grăbești să te întorci la casă, dar juna nu se lasă așa ușor. Te informează că una dintre condițiile pentru a primi produsul gratis este să participi la o tombolă. Asta presupune, bineînțeles, să completezi un formular cu datele tale. Iată cum ți-ai lăsat într-un singur magazin de cartier numele, prenumele, un număr de telefon, un email. Probabil și imaginea.

Ce sunt, de fapt, datele personale?

Cum se mănâncă un elefant? Bucățică cu bucățică. Dar un GDPR? Păi, îți propun să îl mestecăm bine și pe el.

În primul rând, trebuie să reții că orice informație care poate duce la identificarea unei persoane este o dată cu caracter personal. Putem începe cu banalul nume și termina cu o adresă IP. Între cele două avem multe alte informații personale la care nici nu te-ai fi gândit vreodată că pot intra sub incidența unei legi (prenume, adresă poștală, adresă de email, vârstă, loc de muncă, CNP, localizare geografică etc.).

Prenumele este o dată personală prea puțin luată în serios în ziua de azi, dar fii convins că și ea poate duce la identificarea unei persoane în anumite situații. Dacă în cadrul unui departament dintr-o anumită instituție există un singur ‘domn Vasile’ și într-o dimineață afli că acesta a ajuns în spital, vei ști despre cine e vorba? Evident că da pentru că numai unul e nea Vasile la departamentul cu pricina, nu? Dar dacă s-ar povesti că un domn pe nume Vasile din orașul cutărică a murit, ai mai avea cum să știi cine e? Probabil că nu.

Ce concluzie putem trage de aici? Că o anumită informație poate fi considerată ‘dată cu caracter personal’ numai în măsura în care poate duce la identificarea unei persoane. Exemple în acest sens pot fi multe altele: fata cu aluniță dintr-a șaptea A, doamna roșcată de la parter etc.

GDPR – Categorii speciale de date cu caracter personal

Sunt anumite categorii de date personale care sunt, prin natura lor, deosebit de sensibile. Acestea necesită o protecție specifică deoarece prelucrarea lor poate genera riscuri mari pentru drepturile și libertățile fundamentale ale persoanelor fizice. GDPR limitează prelucrarea unor date precum: date privind starea de sănătate, date biometrice, date privind orientarea sexuală, orientarea religioasă, date privind originea rasială sau convingerile politice la situații bine determinate.

De aceea, atunci când ne definim business-ul și știm exact ce avem nevoie de la clienții noștri pentru a le putea oferi servicii de calitate, trebuie să fim foarte atenți ce date ne sunt necesare pentru realizarea scopului nostru și să ne limităm doar la prelucrarea acestora.

Ce putem face cu datele personale?

GDPR prevede mai multe operațiuni care se pot efectua asupra datelor personale. Colectarea, înregistrarea, organizarea, structurarea, stocarea  sau modificarea  sunt numai câteva dintre ele.

Toate aceste operațiuni poartă numele de prelucrări. Colectarea este primul pas al unei prelucrări. Ea presupune să aduni datele unei persoane prin intermediul unui flyer, formular fizic sau online, contract, tabel. Odată intrat în posesia acesor date, le poți organiza, stoca, modifica, dezvălui sau poți face orice alte operațiuni de prelucrare care îți sunt necesare. Toate aceste prelucrări de date personale trebuie să respecte însă anumite principii. Te sfătuiesc să apelezi la un specialist pentru a fi sigur că nu încalci drepturile clienților tăi.

Mai sunt multe de povestit despre acest elefant numit GDPR. Îți voi spune mai multe data viitoare. Nu am stabilit deja că un elefant se mănâncă bucățică cu bucățică?

Dacă ai nevoie de consiliere cu privire la prelucrarea datelor pesonale, dacă vrei să fii în legalitate cu politicile de confidențialitate pe site-ul tău, avem în echipă un specialist cu 15 ani de experiență în acest domeniu. Scrie-ne la ana@parentingpr.ro și spune-ne de ce ai nevoie.

Foto: Pexels.com



Lasă un răspuns