GDPR

Prezentare generală

Regulamentul General privind Protecția Datelor (GDPR) este piatra de temelie a legislației UE privind protecția datelor. A înlocuit Directiva privind protecția datelor 95/46/CE și a consolidat semnificativ drepturile indivizilor asupra datelor lor personale, impunând în același timp obligații cuprinzătoare operatorilor și împuterniciților de date.^[1]

GDPR se aplică oricărei organizații care prelucrează date personale ale persoanelor din UE, indiferent de locul în care este stabilită organizația. Această sferă extraterritorială a făcut din GDPR un standard global de facto pentru protecția datelor.^[2]

Cine trebuie să se conformeze

• Operatori de date: Organizații care determină scopurile și mijloacele prelucrării datelor personale
• Împuterniciți de date: Organizații care prelucrează date personale în numele operatorilor
• Entități non-UE: Orice organizație care oferă bunuri/servicii rezidenților UE sau monitorizează comportamentul acestora
• Toate sectoarele: Se aplică în toate industriile cu excepții limitate pentru aplicarea legii și securitatea națională

Cerinte cheie pentru dezvoltatori

Bază legală pentru prelucrare

Fiecare operațiune de prelucrare trebuie să aibă o bază legală valabilă conform Articolului 6:^[3]

1. Consimțământ: Acordat liber, specific, informat și neechivoc
2. Contract: Necesare pentru executarea unui contract cu persoana vizată
3. Obligație legală: Cerută de legislația UE sau a statului membru
4. Interese vitale: Protejarea vieții persoanei vizate sau a altei persoane
5. Interes public: Necesare pentru o sarcină de interes public sau autoritate oficială
6. Interese legitime: Echilibrate cu drepturile persoanei vizate (nu se aplică autorităților publice)

Cerinte tehnice

• Minimizarea datelor: Colectați doar ceea ce este necesar pentru scopul specificat
• Limitarea stocării: Păstrați datele personale doar atât timp cât este necesar
• Integritate și confidențialitate: Implementați măsuri de securitate adecvate
• Confidențialitate prin design și implicit: Integrați protecția datelor în sisteme de la început (Articolul 25)^[4]

Drepturile persoanei vizate

Aplicațiile trebuie să susțină următoarele drepturi:

Notificarea încălcărilor

• Autorității de supraveghere: În termen de 72 de ore de la luarea la cunoștință (Articolul 33)^[5]
• Persoanelor vizate: Fără întârziere nejustificată când există risc ridicat pentru drepturi și libertăți (Articolul 34)
• Documentație: Păstrați evidența tuturor încălcărilor, indiferent de obligația de notificare

Sancțiuni

GDPR stabilește o structură de sancțiuni pe niveluri:

• Nivel inferior: Până la 10 milioane € sau 2% din cifra de afaceri globală anuală, oricare este mai mare
• Nivel superior: Până la 20 milioane € sau 4% din cifra de afaceri globală anuală, oricare este mai mare^[6]

Amenzi majore aplicate includ:

• Amazon (Luxemburg, 2021): 746 milioane €
• Meta/Facebook (Irlanda, 2023): 1,2 miliarde €
• Google (Franța, 2022): 90 milioane €

Lista de verificare pentru implementare

• Identificați toate activitățile de prelucrare a datelor personale
• Stabiliți baza legală pentru fiecare operațiune de prelucrare
• Implementați gestionarea consimțământului acolo unde este cazul
• Creați notificări de confidențialitate care să respecte cerințele de transparență
• Construiți mecanisme pentru gestionarea cererilor persoanelor vizate
• Implementați măsuri de securitate adecvate
• Stabiliți proceduri de detectare și notificare a încălcărilor
• Realizați Evaluări ale Impactului asupra Protecției Datelor pentru prelucrări cu risc ridicat
• Numiți un Responsabil cu Protecția Datelor dacă este necesar
• Mențineți Evidența Activităților de Prelucrare (RoPA)