Asociația pentru bune practici GDPR(regulamentului european privind protecția datelor) își propune să fie o voce a societăților în fața autorității, astfel încât autoritatea să nu aibă doar punctul de vedere al statului, ci să știe exact ce se întâmplă în piață, să vadă cu ce se confrunta societățile, a declarat Elena Grecu, invitată la emisiunea Capital Live.
Asociația este constituită, pe de-o parte, din avocați și specialiști în domeniul IT, care au lucrat în domeniul prelucrării datelor cu caracter personal și pe de altă parte din membri ai societății care vor să adere la un cod etic și care vor să fie la curent cu tot ceea ce se întâmplă.
În sfera datelor cu caracter personal intra și codul numeric personal(CNP). Din 2012, CNP-ul nu ar trebui să mai existe pe facturi. Acesta este un aspect foarte important și privește foarte multe businessuri care se adresează consumatorilor. Foarte mulți contabili sfătuiesc în continuare să se treacă CNP-ul pe facturi, având în vedere declarația 394 care specifica înainte obligativitatea depunerii codului numeric personal. Anul trecut a fost modificată și această declarație, iar acum este suficient pentru emiterea unei facturi numele, prenumele și domiciliul complet.
Numele și adresa sunt și ele date cu caracter personal, totuși CNP-ul se distinge de celelalte date, deoarece este o dată mult mai sensibilă, în sensul în care în proiectul de lege este specificat că societățile care colectează CNP-uri, vor trebui să aibă angajat un specialist care să fie responsabil de prelucrarea datelor cu caracter personal.
Instituțiile publice (cu excepția instanțelor de judecată), companiile a căror activitate principală constă în operațiuni de prelucrare care necesită o monitorizare periodică și sistematică pe scară largă a persoanelor vizate, precum și companiile care prelucrează, pe scară largă, categorii speciale de date (originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice, apartenența la sindicate, date genetice, date biometrice, date privind sănătatea, date privind viața sexuală sau orientarea sexuală) sau date referitoare la condamnări penale și infracțiuni, vor fi obligate să își angajeze un responsabil cu protecția datelor personale (DPO – Data Protection Officer).
Astfel, codul numeric devine mai important și nu ar trebui să fie folosit decât în cazul în care chiar este nevoie de el, sau în cazul în care este cerut de autorități, deoarece în baza lui putem fi identificați în foarte multe situații.
Opoziția la prelucrarea datelor se poate face în situațiile în care cineva ne prelucrează datele pentru îndeplinirea unei sarcini care servește unui interes public sau în scopul unor interese legitime. Prin urmare, ne putem opune doar atunci când prelucrarea se face în baza unuia dintre aceste două temeiuri.
În cazul companiilor, angajatorii au obligativitatea de a avea copii ale cărților de identitate ale tuturor angajațiilor.
În afară de propriii angajați, companiile nu ar trebui să colecteze CNP-urile, cu mici excepții, cum ar fi școlile și grădinițele care trebuie să raporteze către Ministerul Educației, sau contabilii care mai au și anumite reglementări, dar altfel, societățile obișnuite care nu au obligații de raportare către un minister, nu ar trebui să colecteze CNP-urile clienților.
Prelucrarea codului numeric personal sau a altor date cu caracter personal având o funcție de identificare de aplicabilitate generală poate fi efectuată numai dacă: a) persoana vizată și-a dat în mod expres consimțământul; sau b) prelucrarea este prevăzută în mod expres de o dispoziție legala, prelucrarea facându-se nu în baza acordului beneficiarului, ci în baza unor prevederi legale exprese privind evidența muncii și declararea și plata obligațiilor fiscale.
Potrivit textului său, intrarea în vigoare a Regulamentului european privind protecția datelor a fost stabilită pentru 25 mai 2018, la aproximativ doi ani de la publicare, tocmai pentru a permite companiilor să își poată schița și implementa propriul cadru de conformitate la prevederile Regulamentului. Cu alte cuvinte, companiile vor trebui să-și rezolve problemele impuse de GDPR înainte de data de intrare în vigoare, pentru că după această dată riscă sancțiuni importante pentru lipsa de conformitate.
Nerespectarea GDPR poate atrage mai multe tipuri de sancțiuni, inclusiv amenzi de până la 20 de milioane de euro sau 4% din cifra de afaceri globală, oricare dintre acestea este mai mare. În plus, dacă au suferit un prejudiciu, persoanele vizate pot obține despăgubiri care să acopere valoarea acestor prejudicii, iar drepturile lor pot fi reprezentate inclusiv de organisme colective.
Mai multe informații, aici: