logo ush

logo ushCe este GDPR?

Este unul dintre cele mai discutate subiecte din ultima perioadă. Vorbim despre noua lege a protecției datelor personale, General Data Protection Regulation (GDPR), care vine cu o serie de schimbări pentru toate statele Uniunii Europene. De ce este important GDPR, cui se aplica și, mai ales, ce inseamnă să fim în conformitate cu GDPR? Aici găsiți răspunsurile necesare.

GDPR este un regulament al Uniunii Europene privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestora.

Noul regulament, care intră în vigoare la 25 mai 2018, impune un set unic de reguli pentru protecția datelor personale, reguli ce se aplică în toate statele membre ale Uniunii Europene (înlocuind astfel Directiva 95/46/CE și prevederile Legii 677/2001).

Scopul este asigurarea transparenței cu privire la prelucrarea datelor personale și impunerea unor mijloace de control pentru protejarea lor, ceea ce se traduce printr-un control mai mare la nivel individual în ceea ce priveste modul în care sunt folosite datele personale.  

GDPR vine ca o evoluție normală a modului în care se utilizează datele personale, în contextul în care totul, de la telefonul inteligent pe care îl folosim, până la site-urile și aplicațiile pe care le accesăm, colectează date despre noi.

Ce date sunt considerate personale?

Care date sunt considerate ca fiind personale și ce înseamnă procesarea lor?

Conform noului regulament GDPR, datele personale reprezintă:

  • orice informație care presupune identificarea unei persoane cum ar fi: nume, prenume, cod numeric personal, date de localizare, numele contului online;
  • informaţii legate de identitatea fizică, genetică, psihică, socială, economică sau culturală.

Procesarea datelor reprezintă orice operațiune sau set de operațiuni care se realizează folosind informații cu caracter personal, indiferent dacă această procesare se face sau nu prin mijloace automatizate.

Colectarea, utilizarea, ștergerea, stocarea, înregistrarea, organizarea sau diseminarea datelor personale sunt doar câteva exemple de procesare a acestora.

Dacă vreți să aflați mai multe, dictionarul GDPR vă stă la dispoziție cu definițiile de care aveți nevoie.

Cui se aplică?

Noul regulament GDPR vizează toate organizațiile, din orice domeniu, care prelucrează date cu caracter personal. Mai exact, regulamentul se aplică în cazul:

  • Companiilor;
  • Agențiilor guvernamentale;
  • Organizațiilor non-profit;
  • Organizațiilor care oferă bunuri și servicii cetățenilor din Uniunea Europeană sau care colectează și analizează date ale rezidenților Uniunii Europene.

GDPR este direct aplicabil oricărei companii care:

  • furnizează bunuri sau servicii cetățenilor din țările membre ale Uniunii Europene;
  • monitorizează comportamentul cetățenilor din țările Uniunii Europene;
  • are angajați în țări membre ale Uniunii Europene.

Noutățile aduse de GDPR

Direcții generale

Față de actuala legislație în vigoare privind protecția datelor personale, GDPR pune accent pe:

  • Drepturile persoanelor vizate, impunând transparența în procesarea datelor cu caracter personal;
  • Responsabilizarea modului în care sunt prelucrate datele cu caracter personal de către un operator;
  • Introducerea responsabilității și a unor obligații extinse pentru prelucrarea datelor personale, dar și raportarea obligatorie a breșelor de securitate.

GDPR introduce și sancțiuni severe pentru companiile care încalcă prevederile legale, de până la 10-20 de milioane de euro sau între 2% și 4% din cifra de afaceri, la nivel de grup, pentru operatorii din sectorul privat.

Un prim pas în întelegerea impactului GDPR în activitîțile zilnice este informarea, asa că nu uitați să citiți principalele obligații pe care le au operatorii de date. 

Drepturi

Pentru a respecta direcțiile generale GDPR, regulamentul:

  • Stabilește o serie de garanții specifice pentru a proteja, cât mai eficient, viața privată a minorilor, în special în mediul online;
  • Consolidează drepturile garantate persoanelor vizate și introduce noi drepturi precum: dreptul de a fi uitat, dreptul la portabilitate și dreptul restricționării prelucrăii datelor personale.

Vă invităm să citiți drepturile pe care le are o persoană, atunci când îi sunt prelucrate datele cu caracter personal.

Strategie

A fi în conformitate cu regulamentul GDPR este un proces continuu. În acest sens, în USH a fost lansat un proiect transversal, cu scopul de a implementa cerințele actuale ale legislației și de a asigura îndeplinirea obiectivului comun la nivel de universitate: conformitatea GDPR.

Aspecte care sunt urmărite cu prioritate:

  • Strategia, guvernanța și responsabilitatea implementării regulamentului GDPR;
  • Completarea  proceselor, existente ce vizeaza procesarea datelor cu caracter personal, prin implementarea unui nou mecanism de obținere a consimțământului, precum și definirea unor procese concrete pentru o implementare mai facilă a drepturilor persoanei vizate (dreptul de acces, de modificare și ștergere);
  • Managementul partenerilor împuterniciți cu prelucrarea datelor personale în numele USH;
  • Detalierea procesului de răspuns la incidentele de securitate ce privesc datele personale;
  • Dezvoltarea de procese noi de lucru și implementarea de soluții tehnice dedicate protecției datelor personale;
  • Reevaluarea și implementarea politicilor cu privire la retenția datelor personale, în concordanță cu cerințele legale, consimțământul studenților/ angajaților și interesul legitim al USH;
  • Procesul de portabilitate al datelor.

Plan de acțiune

Pentru a fi in conformitate cu reglementările cuprinse în GDPR, la nivelul USH vor avea loc urmatoarele acțiuni:

  • Lansarea unor instruiri GDPR, care se adresează tuturor angajaților din USH, precum și a unor instruiri specifice dedicate echipelor din secretariate;
  • Pregătirea secretariatelor și acordarea de asistență pentru obținerea consimțământului din partea studenților/ angajaților, conform noilor cerinte GDPR;
  • Crearea unor noi funcții, precum responsabil cu protecția datelor la nivle instituțional și responsabil cu protecția datelor la nivel de facultate, care se vor asigura că datele personale sunt procesate în siguranță;
  • Adoptarea unor măsuri noi și întărirea celor actuale, pentru protecția datelor personale ale studenților și angajaților USH. 

Procesarea datelor în siguranță

Pentru a procesa in siguranță datele cu caracter personal ale studenților/ angajaților nostri, trebuie știut că acestea nu pot fi divulgate altcuiva, în afară de persoana fizică sau împuternicitul acesteia.

Exemple de date personale ce nu trebuie divulgate terților:

  • date personale: CNP, adresa, sex, vârsta, numele studentului/ angajatului, datele de contact sau adresa de e-mail a unei anumite persoane etc.;
  • date legate de situația școlară sau financiară sau orice altă informație personală;
  • orice alt tip de date furnizate de studenți/ angajați care există în baza noastră de date.

Reguli GDPR pentru angajați

Indiferent de departamentul in care lucrați sau de functie, este foarte probabil ca, în activitatea dvs., să prelucrați date personale ale unor studenti/ angajați (persoane fizice), reprezentanți ai furnizorilor sau clienților persoane juridice, colegi etc.

Orice astfel de prelucrare trebuie facuta in mod responsabil si urmand strict regulile stabilite la nivel de instituție, care sunt aliniate noului regulament (GDPR).

Pentru a fi mereu in conformitate cu GDPR, trebuie să se țină cont de câteva reguli de bună practică:

  • nu contactați studenții sau potențialii studenți, pentru a le propune oferte de studii sau produse noi, decât în conformitate cu procesele agreate la nivel de instituție;
  • contactați doar studenții care si-au dat consimțământul pentru prelucrarea datelor personale în acest scop sau pentru care există o obligație legală ori un interes legitim aprobat și comunicat în cadrul proceselor desfășurate la nivel de instituție;
  • respectați politicile și instrucțiunile de lucru din interiorul instituției;
  • accesați sau căutați studenții ori date personale ale acestora doar cu un motiv valid și doar în legătură cu activitatea instituției, limitându-vă doar la datele de care aveți nevoie și asigurând în permanență securitatea acestor accesări;
  • nu căutați și nu verificați anumiți studenți sau datele lor personale doar pentru că ați fost rugat(ă) de familie ori prieteni;
  • verificați identitatea solicitantului și validitatea cererii înainte de a accesa contul unui student;
  • furnizați informații cu privire la datele personale/ contul studenților doar după ce vă asigurați ca solicitantul este îndreptățit să le primească (este titularul sau persoana autorizată de acesta);
  • asigurați-vă că nu lasați documente ce conțin date personale pe birou sau în orice alte locuri în care pot fi accesate de persoane neautorizate;
  • nu comunicați nimanui userul si parolele dvs. de acces în diverse aplicatii.

Nu ezitați să consultați regulile care vă vor ajuta să intelegeți mai bine ce înseamnă a fi în conformitate cu GDPR.

Riscuri

GDPR nu este un set de reguli facultative, ci are puterea unei legi, ce se aplică obligatoriu în toate statele membre ale Uniunii Europene. În cazul în care un angajat USH încalcă regulamentul de protecție a datelor personale, în special dacă acest lucru este făcut cu intenție, poate suferi consecinte grave, cum ar fi:

  • Răspunderea disciplinară: prelucrarea abuzivă, cu vinovăție, a datelor personale constituie abatere disciplinară gravă, ce poate fi sanctionată chiar și cu desfacerea disciplinară a contractului individual de muncă;
  • Răspunderea materială față de USH, ca angajator, pentru prejudiciile aduse (amenzi, litigii cu titularii drepturilor, pierderi de imagine etc.), ce ar putea fi suferite de USH în urma prelucrării abuzive a datelor cu caracter personal;
  • Răspunderea civilă directă a angajatului, față de persoana căreia i-au fost încălcate cu vinovăție drepturile în legatură cu prelucrarea datelor sale personale;
  • Răspunderea penală, când încălcarea cu intenție a drepturilor persoanelor devine o ingerință gravă în viața sa privată și constituie elementele unei infracțiuni.

Datele dumneavoastră

La fel ca în cazul studenților nostri și a oricaror altor titulari de date cu caracter personal, datele personale ale angajaților sunt tratate cu aceeași prioritate și atenție. Datele la care are acces USH sunt în siguranță și sunt protejate atât prin politicile de confidențialitate existente la nivelul instituției și obligatorii pentru toți angajații, cât și prin clauzele cuprinse în declarația de confidențialitate anexă la contractul individual de muncă și prin noul set de reguli impus de GDPR.

Datele dvs. cu caracter personal, furnizate în calitate de angajat, sunt prelucrate:

  • În scopuri legale, pentru îndeplinirea oricăror drepturi și obligații ce decurg din relația de muncă (consimtamantul nu este necesar, iar unele drepturi ale dvs. pot fi limitate – cum ar fi dreptul de a solicita stergerea);
  • În scopuri pentru care USH, ca angajator, justifică un interes legitim (de asemenea, consimțământul nu este necesar, iar unele drepturi ale dvs. pot fi limitate);
  • În baza consimțământului dvs. prealabil, pentru scopuri care exced interesul legitim sau obligatiile legale.

Orice prelucrare a datelor dvs. personale, ca angajat, se face cu aceeași strictețe și responsabilitate, ca pentru orice alt titular de date cu caracter personal, iar principiile GDPR sunt aplicate întocmai.

De asemenea, beneficiați de aceleași drepturi pe care le au titularii de date cu caracter personal în relația cu USH, ca angajator.

Odată cu intrarea in vigoare a regulamentului, la 25 mai 2018, este important să se știe că asigurarea obiectivului USH de a fi în conformitate cu GDPR reprezintă atât un efort permanent, cât și o responsabilitate comună. 

Pentru orice informație sau nelămurire, vă rugăm să ne contactați la adresa de email Această adresă de email este protejată contra spambots. Trebuie să activați JavaScript pentru a o vedea.