RGPD se aplică în cazul în care:

• compania dumneavoastră procesează date cu caracter personal și are sediul în UE, indiferent de locul în care se desfășoară prelucrarea efectivă a datelor
• compania dumneavoastră are sediul în afara UE, dar procesează date cu caracter personal în contextul furnizării de bunuri sau servicii către cetățeni din UE sau monitorizează comportamentul cetățenilor din UE

Companiile din afara UE care procesează date cu caracter personal ale cetățenilor europeni trebuie să desemneze un reprezentant în UE.

Când nu se aplică Regulamentul general privind protecția datelor?

RGPD nu se aplică în cazul în care:

• datele se referă la o persoană decedată
• datele se referă la o persoană juridică
• procesarea datelor este realizată de o persoană care acționează în scopuri aflate în afara activității sale comerciale sau profesionale.

Când este permisă prelucrarea datelor?

Potrivit normelor UE privind protecția datelor, ar trebui să prelucrați datele în mod corect și legal, pentru un scop specific și legitim și doar acele date care sunt necesare pentru îndeplinirea scopului respectiv. Pentru a prelucra date cu caracter personal trebuie să îndepliniți una din următoarele condiții:

• aveți consimțământul persoanei vizate
• aveți nevoie de date personale pentru a onora o obligație contractuală față de persoana în cauză
• aveți nevoie de datele personale pentru a îndeplini o obligație legală
• aveți nevoie de datele personale pentru a proteja interesele vitale ale persoanei vizate
• prelucrați date cu caracter personal pentru a îndeplini o sarcină în interesul publicului
• acționați în interesul legitim al companiei dumneavoastră, atâta timp cât nu sunt afectate în mod serios drepturile și libertățile fundamentale ale persoanelor ale căror date sunt prelucrate. Dacă drepturile persoanei prevalează asupra intereselor companiei dumneavoastră, nu puteți prelucra datele cu caracter personal.

Acordul față de prelucrarea datelor: consimțământul

RGPD prevede norme stricte pentru prelucrarea datelor pe baza consimțământului. Scopul acestor norme este să garanteze că persoana vizată înțelege pentru ce își acordă consimțământul. De aceea, consimțământul trebuie să fie acordat în mod liber, specific, informat și lipsit de ambiguitate, prin intermediul unei cereri prezentate într-un limbaj clar și simplu. Consimțământul trebuie acordat printr-un act pozitiv, cum ar fi bifarea unei casete on-line sau semnarea unui formular.

Când o persoană își dă acordul pentru prelucrarea datelor cu caracter personal, datele respective pot fi prelucrate doar în scopul pentru care s-a obținut consimțământul. De asemenea, trebuie să-i acordați persoanei respective posibilitatea de a-și retrage consimțământul.

Când datele personale sunt transferate în afara UE, protecția oferită de RGPD ar trebuie să „călătorească” împreună cu ele. Aceasta înseamnă că dacă exportați date în străinătate, compania dumneavoastră trebuie să se asigure că cel puțin una dintre prevederile următoare este pusă în aplicare:

• protecția oferită de țara din afara UE este considerată adecvată de către UE
• compania dumneavoastră ia măsurile necesare pentru a oferi protecția adecvată, de exemplu prin includerea de clauze specifice în contractul convenit cu importatorul de date din afara UE
• compania dumneavoastră se bazează pe derogări specifice care permit transferul, cum ar fi consimțământul persoanei.

Operatorul de date poate împuternici o persoană care să se ocupe de prelucrarea datelor doar dacă aceasta prezintă suficiente garanții. Acestea trebuie incluse într-un contract scris încheiat între părțile implicate. Contractul trebuie să conțină și o serie de clauze obligatorii, de exemplu faptul că persoana împuternicită va prelucra date doar atunci când operatorul de date îi va cere acest lucru.