GDPR: Prezentare generală
GENERAL
DATA
PROTECTION
REGULATION

GDPR: Prezentare generală

Ghidul GDPR (General Data Protection Regulation) pentru cluburile de fitness.
Ce înseamnă GDPR?

GDPR sau Regulamentul General pentru Protecția Datelor este un noul regulament la Uniunii Europene care va înlocui Directiva 1995/46/CE referitoare la protecția datelor cu caracter personal. GDPR este menit să sporească protejarea datelor cu caracter personal ale cetățenilor UE. Ca urmare, companiile sau organizațiile care colectează ori procesează date personale au acum mai multe obligații.

Regulamentul intră în vigoare în 25 mai 2018 și include o serie de norme care vor consolida drepturile persoanelor. GDPR aduce și penalități aspre în cazul abaterilor grave.

Textul complet al Regulamentului General pentru Protecția Datelor aplicabil în România îl poți consulta aici, iar un glosar cu principalele noțiuni ale legii îl poți vedea aici.

Cum au funcționat lucrurile înainte de GDPR?

Cu siguranță ai auzit de ceva vreme despre GDPR, dar știai că Uniunea Europeană avea deja o legislație în acest sens? Deși directiva din 1995 este înlocuită cu GDPR, vechea lege a fost cea care a stabilit cele opt principii pentru protejarea datelor cu caracter personal.

Până în mai 2018 acel set de legi a guvernat modul în care companiile au administrat datele personale pe teritoriul Uniunii Europene. Din moment ce noul Regulament este bazat pe directivele vechi, ar fi bine să te familiarizezi și cu prevederile acesteia.

Pe mine mă afectează GDPR?

DA! Deoarece clubul tău de fitness este o firmă înregistrată în România, iar majoritatea membrilor tăi sunt rezidenți ai Uniunii Europene.

În cazul cluburilor de fitness, deoarece au o bază de date cu informațiile personale ale membrilor, inclusiv numele, adresa fizică, adresa de e-mail, numărul de telefon sau orice altă informație similară, sunt afectate de regulile GDPR.

Dacă vechea legislație făcea referire doar la teritoriul Uniunii Europene, GDPR se aplică și companiilor din afara UE, care monitorizează comportamentul rezidenților Uniunii. Astfel, chiar dacă o companie are sediul în afara UE, atâta timp cât administrează date cu caracter personal ale cetățenilor UE, este obligată să respecte GDPR.

ATENȚIONARE

Autorii acestui website nu sunt avocați. Articolele de pe acest site nu trebuie să fie luate ca o consultație juridică asupra legislației UE sau asupra modului în care firma ta ar trebui să aplice regulile GDPR. UPfit nu își asumă responsabilitatea pentru interpretarea greșită a acestor informații de către cititor.

În schimb, acest website încearcă să ofere informații care să te ajute să înțelegi mai bine cum a reușit UPfit să pună în practică anumite reglementări. Aceste informații nu sunt o consultație juridică, în care un avocat aplică legea la circumstanțele specifice companiei tale. De aceea, insistăm să consulți un avocat pentru a obține sfaturi specifice referitoare la GDPR sau orice alt act normativ.

Cele mai importante reguli impuse de GDPR

Dreptul de a fi informat – trebuie să pui la dispoziția membrilor tăi informații despre modul în care le administrezi datele personale. Acest lucru trebuie făcut gratuit, într-un limbaj simplu și ușor de înțeles.


Dreptul la acces – trebuie să le oferi membrilor acces la datele lor personale, în mod gratuit, într-un format utilizat în mod curent (ex. PDF, Word etc).


Dreptul la modificare – membrii pot să-ți ceară să le modifici sau să le completezi datele lor personale pe care le deții; tu trebuie să onorezi această cerere în maxim 30 de zile calendaristice.


Dreptul la ștergere sau dreptul de a fi uitat – membrii au dreptul să-ți ceară să le ștergi datele cu caracter personal din baza ta de date, dacă este posibil.


Dreptul la restricționarea procesării – un membru are dreptul de a restricționa sau de a bloca modul în care folosești datele lui cu caracter personal.


Dreptul la portabilitatea datelor – o persoană are dreptul de a obține și de a refolosi pentru alte servicii informațiile sale personale pe care le ai în baza ta de date.


Dreptul de a obiecta – membrul are dreptul să obiecteze împotriva folosirii datelor sale personale în scopuri de marketing, cercetare sau statistici.


Dreptul de a nu fi supus deciziilor automate – membrii tăi au dreptul ca datele lor personale să nu fie procesate în mod automat și să ceară ca o persoană să fie implicată în acest proces.

Protecția datelor implicită (privacy by design)

Există mai multe reguli noi pentru companiile care administrează datele cu caracter personal. Una dintre ele este obligația de a asigura protecția datelor personale în mod implicit, atunci când dezvoltă sisteme noi.

De asemenea, aceste firme sunt obligate să facă o Evaluare a impactului asupra protecției datelor personale atunci când folosesc tehnologii noi. Asta înseamnă că firmele trebuie să verifice, în mod constant, impactul pe care îl poate avea un proiect sau o inițiativă nouă asupra protecției datelor.

De exemplu, dacă adopți un soft de management nou în clubul tău de fitness, trebuie să te asiguri că respectă în totalitate normele GDPR.


Responsabilul cu protecția datelor (DPO)

GDPR cere ca majoritatea firmelor să aibă un Responsabil cu protecția datelor care să supravegheze modul în care firma respectă directivele regulamentului.

Printre organizațiile care vor fi nevoite să aibă un DPO se numără companii a căror activitate implică administrarea și monitorizarea în mod regulat a unui număr mare de date cu caracter personal.

Responsabilul cu protecția datelor trebuie să se asigure că și celelalte companii care au acces la datele personale ale firmei respectă regulile GDPR.


Contracte și documente referitoare la protecția datelor

Din moment ce scopul principal la GDPR este transparența și corectitudinea, Controlorii și Procesatorii trebuie să-și revizuiască Politica de confidențialitate și orice alte politici interne care au legătură cu datele cu caracter personal.

În cazul în care Controlorii lucrează cu alte companii pentru a procesa datele personale pe care le administrează (de exemplu, softuri de management pentru cluburi de fitness, cum este și UPfit), atunci ei trebuie să se asigure că toate contractele cu acei procesatori includ reglementările GDPR din Articolul 28 (link Articol). La rândul lor, procesatorii ar trebui să se asigure că fac modificările necesare la contractele cu clienții pentru a fi pregătiți de GDPR.

Deoarece UPfit este procesator de date, softul respectă în totalitate prevederile GDPR, iar clienții noștri au la dispoziție o serie de funcționalități care să-i ajute să implementeze mai ușor toate aceste reguli.

O singură autoritate de supraveghere

Această reglementare GDPR este menită să ajute activitatea Responsabililor cu protecția datelor. Astfel, companiile au o singură autoritate de supraveghere, chiar și atunci când au birouri în mai multe țări din Uniunea Europeană. Astfel, nu se vor confrunta cu indicații contradictorii primite de la mai multe autorități de supraveghere.

În România autoritatea pentru GDPR este Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal.


Anunțarea breșelor de securitate

Printre cerințele GDPR se numără și faptul că firmele care au rolul de controlori trebuie să anunțe autoritatea de supraveghere în cazul în care are o breșă de securitate ce afectează protecția datelor.

Astfel, companiile să raporteze în maxim 72 de ore din momentul în care află de respectiva breșă de securitate, în cazul în care datele afectate nu sunt anonime sau criptate. Asta înseamnă că majoritatea breșelor de securitate vor trebui raportate către ANSPDCP.

Breșele care pot afecta securitate individului – precum furtul de identitate sau încălcarea confidențialității – trebuie să fie raportate și către persoanele în cauză.

Aria de acoperire

Deși Directiva din 1995 guverna organizații din Uniunea Europeană, aria de acoperire a GDPR este mai mare. Astfel, noul regulament de protecție a datelor se aplică firmelor din afara UE, dacă acestea își vând produsele în țările din Uniune sau monitorizează comportamentul rezidenților UE. Cu alte cuvinte, chiar dacă ai sediul în afara Uniunii Europene, dacă procesezi sau controlezi date cu caracter personal al cetățenilor UE, trebuie să plici GDPR.


Responsabilitate

Noul regulament prevede ca procesatorii și controlorii să poată demonstra oricând că respectă GDPR. Toate procedurile trebuie înregistrate, implementate și revizuite în mod regulat. Angajații trebuie să fie educați cu privire la regulile GDPR, iar companiile trebuie să implementeze măsuri organizaționale și tehnice pentru a se asigura că respectă GDPR și că pot demonstra acest lucru.


Amenzi severe

Importanța Regulamentului General de Protecția Datelor este subliniată și de penalizările impuse în cazul încălcării acestui act normativ. În funcție de gravitatea abaterii, controlorii și procesatorii care nu administrează datele cu caracter personal în concordanță cu GDPR sau încalcă drepturile cetățenilor UE în acest sens pot primi amenzi de până la 20 de milioane de euro sau 4% din profitul anual global, oricare sumă este mai mare.

Întrebări frecvente

Confirmarea de două ori a consimțământului pentru notificări sau double opt-in este un mecanism în 2 pași prin care o persoană trebuie să-și confirme adresa de e-mail de două ori, după ce s-a abonat pentru un anumit serviciu. Deși GDPR nu obligă firmele să introducă acest procedeu, este bine să optezi pentru el, deoarece este o măsură adițională care te ajută să demonstrezi că ai obținut consimțământul necesar.

Deja persoana fizică are o mulțime de drepturi menite să-i protejeze datele cu caracter personal. Cu toate astea, GDPR consolidează aceste drepturi, astfel încât persoanele fizice pot:

  • să obțină detalii despre cum sunt procesate datele lor de către o organizație sau o companie
  • să obțină copii ale datelor lor cu caracter personal care se află în baza de date a unei companii
  • să li se corecteze informațiile personale care sunt incorecte sau incomplete
  • să li se șteargă datele cu caracter personal dintr-o bază de date a unei companii sau a unei organizații, în cazurile în care respectiva companie nu are un motiv legitim pentru a le stoca
  • să obțină datele lor personale de la o organizație sau companie și să le poată transmite unei alte organizații sau companii
  • să obiecteze împotriva procesării datelor lor în anumite circumstanțe
  • să nu fie supuși deciziilor automate (cu anumite excepții)

Consimțământul individului este obligatoriu în majoritatea cazurilor în care i se procesează datele cu caracter personal. Totuși, există și anumite excepții în care informațiile personale pot fi procesate fără consimțământ specific:

  • când sunt necesare pentru realizarea unui contract în care individul în cauză este unul dintre partenerii din contract
  • când există o obligație legală de a procesa datele personale ale unui individ, de exemplu, trimiterea informațiilor unui angajat către ANAF
  • uneori există interes legitim, precum obiective comerciale sau de marketing. Totuși, în aceste circumstanțe, interesul legitim trebuie să fie mai important, decât detrimentul confidențialității unei persoane

Consimțământul este invalid în următoarele circumstanțe:

  • când nu ești sigur că un individ și-a dat consimțământul necesar pentru a-i procesa datele cu caracter personal
  • când individul nu își dă seama că și-a dat consimțământul
  • când nu ai documente clare care să demonstreze faptul că persoanele și-au dat consimțământul
  • când persoanele nu au avut de ales, nu și-au dat consimțământul în mod voit
  • când individul ar putea fi penalizat dacă nu-și dă consimțământul
  • când este o inegalitate de putere clară între firma ta și individ
  • când consimțământul este o precondiție pentru un serviciu, dar procesarea datelor nu este necesară pentru acel serviciu
  • când consimțământul a fost inclus în alți termeni și condiții
  • când cerere de consimțământ a fost vagă sau neclară
  • când folosești check-box-uri pre-selectate sau alte metode de consimțământ implicit
  • când firma ta nu a fost menționată cu numele în cererea de consimțământ
  • când nu le-ai spus persoanelor despre dreptul lor de a-și retrage consimțământul
  • când oamenii nu își pot retrage într-un mod ușor consimțământul
  • când scopul procesării datelor pe care le deții s-a schimbat

GDPR nu specifică o limită de timp în care ai voie să păstrezi și să procesezi datele cu caracter personal. Cu toate astea, consimțământul poate să expire, în funcție de context, și trebuie să consideri scopul cu care a fost obținut acel consimțământ și care au fost așteptările individului în acest sens.

De exemplu, clubul tău de fitness face o campanie prin care ceri consimțământul membrilor tăi să primească e-mailuri cu sfaturi despre cum să fii în formă în vacanța de vară din acest an. Din moment ce cererea de consimțământ menționează o perioadă de timp exactă, așteptarea rezonabilă a membrilor care își dau consimțământul pentru această campanie este ca, la finalul vacanței de vară, să nu mai primească aceste de e-mailuri. Astfel, consimțământul expiră.

Dacă scopul pentru care ai colectat datele cu caracter personal s-a schimbat, consimțământul inițial nu mai este valabil.

De asemenea, în cazul minorilor, consimțământul părinților expiră în momentul în care copilul împlinește 16 ani. Atunci, respectiva persoană trebuie să-și dea singur consimțământul pentru prelucrarea datelor personale.

GDPR nu impune măsuri anume pentru securitate în cazul folosirii sistemelor de tip CRM. În schimb, Regulamentul cere companiilor să ia toate măsurile tehnice și organizaționale necesare pentru a limita riscul de încălcare a confidențialității datelor. În anumite cazuri este recomandat să se folosească criptarea datelor când nu sunt folosite (encription at rest) sau folosirea pseudonimelor, dar acest lucru nu este obligatoriu.

Dreptul de a cere ștergerea datelor cu caracter personal se numește și dreptul de a fi uitat. Acesta nu este un drept absolut, are anumite limitări. În cele mai multe cazuri, atunci când se consideră o cerere de ștergere a datelor, se ia în considerare mai mulți factori relevanți.

De exemplu, acest drept nu se aplică atunci când o companie are obligații legale de a transmite datele personale ale unui individ autorităților. În schimb, o persoană are tot dreptul de a cere companiilor și organizațiilor să nu îi mai proceseze datele cu caracter personal în scopuri de marketing.

Potrivit GDPR, este obligatoriu ca o organizație sau companie să aibă un DPO în următoarele circumstanțe:

  • organizația este o instituție guvernamentală
  • organizația procesează anumite date personale speciale, la scară largă (de exemplu, informații referitoare la sănătate sau religie), aceasta fiind activitatea sa principală
  • organizația monitorizează în mod sistematic persoane (prin camere de supraveghere sau prin softuri care monitorizează comportamentul online), aceasta fiind activitatea sa principală

Dacă ai vreo întrebare sau vreo cerere vizavi de GDPR, te rugăm să ne trimiți un e-mail pe adresa dpo@upfit.cloud, iar DPO-ul nostru va lua legătura cu tine în cel mai scurt timp.

Noul Regulament pentru Protecția Datelor impune o astfel de evaluare doar în circumstanțe cu un grad de risc ridicat, precum:

  • procesarea datelor din categorii speciale la scară largă, precum date referitoare la sănătatea unei persoane
  • atunci când o companie se bazează în mod regulat și extensiv pe decizii automate (inclusiv profiling – procesarea automată a datelor personale), iar rezultatul poate avea urmări legale (de exemplu, folosirea softurilor pentru detectarea fraudelor)
  • monitorizarea sistematică și la scară largă a spațiului public (de exemplu, camerele de supraveghere)

Procesarea automată a datelor personale pentru a evalua, analiza sau a prezice orice caracteristică a persoanei în cauză (profiling) și deciziile automate ce implică datele cu caracter personal nu sunt interzise de GDPR.

Aceste activități pot fi supuse unor condiții. Mai ales când aceste decizii automate pot avea repercusiuni legale asupra indivizilor în cauză. În aceste circumstanțe, persoana trebuie să primească:

  • informații ușor de înțeles referitoare la logica acestui proces și să îi fie aduse la cunoștință potențialele consecințe
  • posibilitatea să ceară ca un om să fie implicat în acest proces (în anumite cazuri) sau să fie exclus cu totul din acest proces

Află mai multe despre GDPR

Ți-am pregătit o serie de materiale menite să te ajute să înțelegi mai bine ce înseamnă GDPR și cum să te pregătești pentru noul Regulament.

CHECKLIST GDPR

Citește mai multe
service

MARKETING GDPR

Citește mai multe
service

Resurse GDPR

Pentru mai multe informații despre ce înseamnă Regulamentul General pentru Protecția Datelor îți recomandăm următoarele resurse.

Data protection

Campania de informare publică privind Regulamentul (UE) 2016/679.

Citește mai multe

EUGDPR

Cele mai importante schimbări în reglementarea confidenţialităţii datelor din ultimii 20 de ani.

Citește mai multe

EUR-Lex

Legile Uniunii Europene.


Citește mai multe

Senat

Textul complet al Regulamentul General pentru Protecția Datelor.

Citește mai multe

GDPR-info.eu

Textul complet al Regulamentul General pentru Protecția Datelor.

Citește mai multe

EDPS

European data protection supervisor. The Eu’s independent data protection authority.

Citește mai multe

Fii informat!

Descarcă gratuit ghidul nostru GDPR pentru cluburile de fitness, precum și o prezentare a Regulamentului care te va ajuta să-ți instruiești mai eficient echipa.

service

GDPR Prezentare Generală

Ghidul GDPR pentru sălile de fitness.

DESCARCĂ PDF
service

GDPR pentru echipa ta

Cele mai importante aspecte ale GDPR pentru echipa ta.

DESCARCĂ PDF