Contents
• Ce date putem prelucra și în ce condiții? Tipul și cantitatea de date cu caracter personal pe care o companie / organizație le poate prelucra depinde de motivul prelucrării acestora (motivul legal utilizat) și de utilizarea prevăzută. Compania / organizația trebuie să respecte mai multe reguli cheie, inclusiv:
• datele personale trebuie prelucrate în mod legal și transparent, asigurând corectitudinea față de persoanele ale căror date cu caracter personal sunt procesate („legalitate, corectitudine și transparență”);
• trebuie să existe scopuri specifice pentru prelucrarea datelor, iar compania / organizația trebuie să indice aceste scopuri persoanelor fizice atunci când colectează datele lor personale. O companie / organizație nu poate colecta pur și simplu date cu caracter personal în scopuri nedefinite („limitarea scopului”);
• compania / organizația trebuie să colecteze și să proceseze doar datele personale care sunt necesare pentru îndeplinirea acestui scop („minimizarea datelor”);
• compania / organizația trebuie să se asigure că datele personale sunt corecte și actualizate, având în vedere scopurile pentru care sunt prelucrate și să le corecteze, dacă nu („acuratețe”);
• compania / organizația nu poate utiliza în continuare datele cu caracter personal în alte scopuri care nu sunt compatibile cu scopul inițial;
• compania / organizația trebuie să se asigure că datele cu caracter personal sunt stocate nu mai mult decât este necesar pentru scopurile pentru care au fost colectate („limitare de stocare”);
• compania / organizația trebuie să instaleze garanții tehnice și organizaționale adecvate care să asigure securitatea datelor cu caracter personal, inclusiv protecția împotriva prelucrărilor neautorizate sau ilegale și împotriva pierderii accidentale, distrugerii sau daunelor, folosind tehnologia adecvată („integritate și confidențialitate”).
• Datele pot fi procesate în orice scop? Nu. Scopul prelucrării datelor cu caracter personal trebuie cunoscut și persoanele ale căror date pe care le prelucrați trebuie să fie informate. Nu este posibil să indicați pur și simplu că datele personale vor fi colectate și procesate. Acesta este cunoscut sub numele de „limitarea scopului”.
• Putem folosi datele în alt scop? Da, dar numai în unele cazuri. Dacă compania / organizația dvs. a colectat date pe baza interesului legitim, un contract sau interese vitale, acesta poate fi utilizat în alt scop, dar numai după ce ați verificat că noul scop este compatibil cu scopul inițial.
• Trebuie luate în considerare următoarele puncte:
• legătura dintre scopul inițial și scopul nou / viitor;
• contextul în care au fost colectate datele (care este relația dintre compania / organizația dvs. și persoana fizică?);
• tipul și natura datelor (este sensibilă?);
• posibilele consecințe ale prelucrării ulterioare prevăzute (cum va avea impact asupra individului?);
• existența unor garanții adecvate (cum ar fi criptarea sau pseudonimizarea).
• Dacă compania / organizația dvs. dorește să utilizeze datele pentru statistici sau pentru cercetări științifice, nu este necesar să executați testul de compatibilitate.
• Dacă compania / organizația dvs. a colectat datele pe baza consimțământului sau în urma unei cerințe legale, nu este posibilă prelucrarea ulterioară a celor acoperite de consimțământul inițial sau de dispozițiile legii. Procesarea ulterioară ar necesita obținerea unui nou consimțământ sau o nouă bază legală.
• Câte date pot fi colectate? Datele cu caracter personal trebuie prelucrate numai acolo unde nu este în mod rezonabil realizabil prelucrarea într-un alt mod. Atunci când este posibil, este de preferat să folosiți date anonime. Acolo unde este nevoie de date cu caracter personal, acestea ar trebui să fie adecvate, relevante și limitate la ceea ce este necesar în acest scop („minimizarea datelor”). Este responsabilitatea companiei / organizației dvs. ca operator de a evalua cât de multe date sunt necesare și de a se asigura că datele irelevante nu sunt colectate.
• Cât timp pot fi păstrate datele și este necesar să le actualizați? Datele trebuie stocate pentru cel mai scurt timp posibil. Această perioadă ar trebui să țină seama de motivele pentru care compania / organizația dvs. trebuie să prelucreze datele, precum și orice obligații legale de păstrare a datelor pentru o perioadă determinată de timp (de exemplu, legile naționale privind munca, impozitul sau antifraudă care vă solicită păstrați date cu caracter personal despre angajații dvs. pentru o perioadă determinată, durata garanției produsului etc.).
• Compania / organizația dvs. ar trebui să stabilească limite pentru a șterge sau revizui datele stocate.
• Cu titlu de excepție, datele cu caracter personal pot fi păstrate o perioadă mai lungă în scopuri de arhivare în interesul public sau din motive de cercetare științifică sau istorică, cu condiția punerii în aplicare a unor măsuri tehnice și organizatorice adecvate (cum ar fi anonimizarea, criptarea etc. .).
• Compania / organizația dvs. trebuie să se asigure, de asemenea, că datele deținute sunt corecte și păstrate la zi.
• Ce informații trebuie furnizate persoanelor fizice ale căror date sunt colectate? În momentul colectării datelor, oamenii trebuie informați clar despre cel puțin:
• cine este compania / organizația dvs. (datele de contact și cele ale DPO-ului dvs. dacă există);
• de ce compania / organizația dvs. va folosi datele lor personale (scopuri);
• categoriile de date cu caracter personal în cauză;
• justificarea legală pentru prelucrarea datelor lor;
• pentru cât timp vor fi păstrate datele;
• cine ar putea să-l primească;
• dacă datele lor personale vor fi transferate către un destinatar din afara UE;
• că au dreptul la o copie a datelor (dreptul de acces la datele cu caracter personal) și alte drepturi de bază în domeniul protecției datelor (a se vedea lista completă a drepturilor);
• dreptul lor de a depune o plângere la o autoritate pentru protecția datelor (DPA);
• dreptul lor de a retrage consimțământul în orice moment;
• dacă este cazul, existența procesului decizional automatizat și logica implicată, inclusiv consecințele acestora.
• Informațiile pot fi furnizate în scris, oral, la cererea persoanei fizice, atunci când identitatea persoanei este dovedită prin alte mijloace sau prin mijloace electronice, după caz. Compania / organizația dvs. trebuie să facă acest lucru într-un mod concis, transparent, inteligibil și ușor accesibil, într-un limbaj clar și simplu și gratuit.
• Când datele sunt obținute de la o altă companie / organizație, compania / organizația dvs. ar trebui să furnizeze persoanei în cauză cel târziu în termen de 1 lună după ce compania dvs. a obținut datele personale; sau, în cazul în care compania / organizația dvs. comunică cu persoana fizică, atunci când datele sunt utilizate pentru a comunica cu acestea; sau, dacă este prevăzută o dezvăluire către o altă companie, când datele personale au fost dezvăluite pentru prima dată.
• De asemenea, compania / organizația dvs. trebuie să informeze individul despre categoriile de date și sursa de la care a fost obținută, inclusiv dacă a fost obținută din surse accesibile publicului. În circumstanțe specifice enumerate la articolele 13 alineatul (4) și 14 (5) din GDPR, compania / organizația dvs. poate fi scutită de obligația de a informa persoana respectivă. Vă rugăm să verificați dacă această scutire se aplică companiei / organizației
• Ce date putem prelucra și în ce condiții? Tipul și cantitatea de date cu caracter personal pe care o companie / organizație le poate prelucra depinde de motivul prelucrării acestora (motivul legal utilizat) și de utilizarea prevăzută. Compania / organizația trebuie să respecte mai multe reguli cheie, inclusiv:
• datele personale trebuie prelucrate în mod legal și transparent, asigurând corectitudinea față de persoanele ale căror date cu caracter personal sunt procesate („legalitate, corectitudine și transparență”);
• trebuie să existe scopuri specifice pentru prelucrarea datelor, iar compania / organizația trebuie să indice aceste scopuri persoanelor fizice atunci când colectează datele lor personale. O companie / organizație nu poate colecta pur și simplu date cu caracter personal în scopuri nedefinite („limitarea scopului”);
• compania / organizația trebuie să colecteze și să proceseze doar datele personale care sunt necesare pentru îndeplinirea acestui scop („minimizarea datelor”);
• compania / organizația trebuie să se asigure că datele personale sunt corecte și actualizate, având în vedere scopurile pentru care sunt prelucrate și să le corecteze, dacă nu („acuratețe”);
• compania / organizația nu poate utiliza în continuare datele cu caracter personal în alte scopuri care nu sunt compatibile cu scopul inițial;
• compania / organizația trebuie să se asigure că datele cu caracter personal sunt stocate nu mai mult decât este necesar pentru scopurile pentru care au fost colectate („limitare de stocare”);
• compania / organizația trebuie să instaleze garanții tehnice și organizaționale adecvate care să asigure securitatea datelor cu caracter personal, inclusiv protecția împotriva prelucrărilor neautorizate sau ilegale și împotriva pierderii accidentale, distrugerii sau daunelor, folosind tehnologia adecvată („integritate și confidențialitate”).
• Ce reguli se aplică dacă organizația mea transferă date în afara UE? În lumea globalizată de astăzi, există cantități mari de transferuri transfrontaliere de date cu caracter personal, care sunt uneori stocate pe servere din diferite țări. Protecția oferită de Regulamentul general de protecție a datelor (GDPR) se deplasează cu datele, ceea ce înseamnă că normele de protecție a datelor cu caracter personal continuă să se aplice indiferent de locul în care datele aparțin. Acest lucru se aplică și atunci când datele sunt transferate într-o țară care nu este membră a UE (denumită în continuare „țară terță”).
• GDPR oferă diferite instrumente pentru a încadra transferurile de date de la UE la o țară terță:
• uneori, o țară terță poate fi declarată ca oferind un nivel adecvat de protecție printr-o decizie a Comisiei Europene („Decizia de adecvare”), ceea ce înseamnă că datele pot fi transferate cu o altă companie din țara terță fără ca exportatorul de date să fie obligat să furnizeze în continuare garanții sau că sunt supuse unor condiții suplimentare. Cu alte cuvinte, transferurile către o țară terță „adecvată” vor fi comparabile cu o transmisie de date în UE.
• în absența unei decizii de adecvare, un transfer poate avea loc prin furnizarea de garanții adecvate și cu condiția ca drepturile executorii și căile de atac efective să fie disponibile pentru persoane fizice. Aceste garanții adecvate includ:
• în cazul unui grup de întreprinderi sau a unor grupuri de companii angajate într-o activitate economică comună, companiile pot transfera date cu caracter personal pe baza așa-numitelor reguli corporative obligatorii;
• aranjamente contractuale cu destinatarul datelor cu caracter personal, folosind, de exemplu, clauzele contractuale standard aprobate de Comisia Europeană;
• respectarea unui cod de conduită sau a unui mecanism de certificare împreună cu obținerea de la destinatar a unor angajamente obligatorii și executorii de a aplica garanțiile adecvate pentru protejarea datelor transferate.
Title:
Obligatii
Keywords
Protecția datelor, drepturi, obligații, înregistrare, marcă
Author:
AE
Languages:
English
Prin acest curs va facem cunoscute fundamentele È™i conceptele generale ale reglementărilor privind protecÈ›ia datelor cu caracter personal, proprietatea intelectuală È™i Registrul mărcilor, printr-un studiu al celor mai relevante aspecte ale acestora, facilitând astfel o imagine de ansamblu asupra drepturilor È™i obligaÈ›iilor È™i oferind o viziune practică a obligaÈ›iilor existente.
Description:
Noul regulament european privind protecÈ›ia datelor a intrat în vigoare pe 25 mai 2018 în toate țările Uniunii Europene. Acest nou regulament afectează toate companiile imediat ce deÈ›in date cu caracter personal ale clienÈ›ilor, lucrătorilor È™i terÈ›ilor, sporind un angajament activ în protejarea drepturilor fundamentale, în special a celor legate de confidenÈ›ialitate în toate domeniile, dar mai ales pe internet.
DobândiÈ›i cunoÈ™tinÈ›e È™i abilități pentru a cunoaÈ™te sistemul de protecÈ›ie a datelor cu caracter personal, în cele mai relevante aspecte. Tratamentul È™i procedurile care trebuie furnizate acestor date; drepturile È™i obligaÈ›iile titularului È™i ale persoanei responsabile pentru acestea È™i a sistemului de penalități în caz de nerespectare.
În acelaÈ™i mod, sunt tratate aspecte la fel de relevante pentru companii precum Proprietatea intelectuală È™i Înregistrarea mărcilor
• Ce date putem prelucra și în ce condiții? Tipul și cantitatea de date cu caracter personal pe care o companie / organizație le poate prelucra depinde de motivul prelucrării acestora (motivul legal utilizat) și de utilizarea prevăzută. Compania / organizația trebuie să respecte mai multe reguli cheie, inclusiv: • datele personale trebuie prelucrate în mod legal și transparent, asigurând corectitudinea față de persoanele ale căror date cu caracter personal sunt procesate („legalitate, corectitudine și transparență”); • trebuie să existe scopuri specifice pentru prelucrarea datelor, iar compania / organizația trebuie să indice aceste scopuri persoanelor fizice atunci când colectează datele lor personale. O companie / organizație nu poate colecta pur și simplu date cu caracter personal în scopuri nedefinite („limitarea scopului”); • compania / organizația trebuie să colecteze și să proceseze doar datele personale care sunt necesare pentru îndeplinirea acestui scop („minimizarea datelor”); • compania / organizația trebuie să se asigure că datele personale sunt corecte și actualizate, având în vedere scopurile pentru care sunt prelucrate și să le corecteze, dacă nu („acuratețe”); • compania / organizația nu poate utiliza în continuare datele cu caracter personal în alte scopuri care nu sunt compatibile cu scopul inițial; • compania / organizația trebuie să se asigure că datele cu caracter personal sunt stocate nu mai mult decât este necesar pentru scopurile pentru care au fost colectate („limitare de stocare”); • compania / organizația trebuie să instaleze garanții tehnice și organizaționale adecvate care să asigure securitatea datelor cu caracter personal, inclusiv protecția împotriva prelucrărilor neautorizate sau ilegale și împotriva pierderii accidentale, distrugerii sau daunelor, folosind tehnologia adecvată („integritate și confidențialitate”). • Datele pot fi procesate în orice scop? Nu. Scopul prelucrării datelor cu caracter personal trebuie cunoscut și persoanele ale căror date pe care le prelucrați trebuie să fie informate. Nu este posibil să indicați pur și simplu că datele personale vor fi colectate și procesate. Acesta este cunoscut sub numele de „limitarea scopului”. • Putem folosi datele în alt scop? Da, dar numai în unele cazuri. Dacă compania / organizația dvs. a colectat date pe baza interesului legitim, un contract sau interese vitale, acesta poate fi utilizat în alt scop, dar numai după ce ați verificat că noul scop este compatibil cu scopul inițial. • Trebuie luate în considerare următoarele puncte: • legătura dintre scopul inițial și scopul nou / viitor; • contextul în care au fost colectate datele (care este relația dintre compania / organizația dvs. și persoana fizică?); • tipul și natura datelor (este sensibilă?); • posibilele consecințe ale prelucrării ulterioare prevăzute (cum va avea impact asupra individului?); • existența unor garanții adecvate (cum ar fi criptarea sau pseudonimizarea). • Dacă compania / organizația dvs. dorește să utilizeze datele pentru statistici sau pentru cercetări științifice, nu este necesar să executați testul de compatibilitate. • Dacă compania / organizația dvs. a colectat datele pe baza consimțământului sau în urma unei cerințe legale, nu este posibilă prelucrarea ulterioară a celor acoperite de consimțământul inițial sau de dispozițiile legii. Procesarea ulterioară ar necesita obținerea unui nou consimțământ sau o nouă bază legală. • Câte date pot fi colectate? Datele cu caracter personal trebuie prelucrate numai acolo unde nu este în mod rezonabil realizabil prelucrarea într-un alt mod. Atunci când este posibil, este de preferat să folosiți date anonime. Acolo unde este nevoie de date cu caracter personal, acestea ar trebui să fie adecvate, relevante și limitate la ceea ce este necesar în acest scop („minimizarea datelor”). Este responsabilitatea companiei / organizației dvs. ca operator de a evalua cât de multe date sunt necesare și de a se asigura că datele irelevante nu sunt colectate. • Cât timp pot fi păstrate datele și este necesar să le actualizați? Datele trebuie stocate pentru cel mai scurt timp posibil. Această perioadă ar trebui să țină seama de motivele pentru care compania / organizația dvs. trebuie să prelucreze datele, precum și orice obligații legale de păstrare a datelor pentru o perioadă determinată de timp (de exemplu, legile naționale privind munca, impozitul sau antifraudă care vă solicită păstrați date cu caracter personal despre angajații dvs. pentru o perioadă determinată, durata garanției produsului etc.). • Compania / organizația dvs. ar trebui să stabilească limite pentru a șterge sau revizui datele stocate. • Cu titlu de excepție, datele cu caracter personal pot fi păstrate o perioadă mai lungă în scopuri de arhivare în interesul public sau din motive de cercetare științifică sau istorică, cu condiția punerii în aplicare a unor măsuri tehnice și organizatorice adecvate (cum ar fi anonimizarea, criptarea etc. .). • Compania / organizația dvs. trebuie să se asigure, de asemenea, că datele deținute sunt corecte și păstrate la zi. • Ce informații trebuie furnizate persoanelor fizice ale căror date sunt colectate? În momentul colectării datelor, oamenii trebuie informați clar despre cel puțin: • cine este compania / organizația dvs. (datele de contact și cele ale DPO-ului dvs. dacă există); • de ce compania / organizația dvs. va folosi datele lor personale (scopuri); • categoriile de date cu caracter personal în cauză; • justificarea legală pentru prelucrarea datelor lor; • pentru cât timp vor fi păstrate datele; • cine ar putea să-l primească; • dacă datele lor personale vor fi transferate către un destinatar din afara UE; • că au dreptul la o copie a datelor (dreptul de acces la datele cu caracter personal) și alte drepturi de bază în domeniul protecției datelor (a se vedea lista completă a drepturilor); • dreptul lor de a depune o plângere la o autoritate pentru protecția datelor (DPA); • dreptul lor de a retrage consimțământul în orice moment; • dacă este cazul, existența procesului decizional automatizat și logica implicată, inclusiv consecințele acestora. • Informațiile pot fi furnizate în scris, oral, la cererea persoanei fizice, atunci când identitatea persoanei este dovedită prin alte mijloace sau prin mijloace electronice, după caz. Compania / organizația dvs. trebuie să facă acest lucru într-un mod concis, transparent, inteligibil și ușor accesibil, într-un limbaj clar și simplu și gratuit. • Când datele sunt obținute de la o altă companie / organizație, compania / organizația dvs. ar trebui să furnizeze persoanei în cauză cel târziu în termen de 1 lună după ce compania dvs. a obținut datele personale; sau, în cazul în care compania / organizația dvs. comunică cu persoana fizică, atunci când datele sunt utilizate pentru a comunica cu acestea; sau, dacă este prevăzută o dezvăluire către o altă companie, când datele personale au fost dezvăluite pentru prima dată. • De asemenea, compania / organizația dvs. trebuie să informeze individul despre categoriile de date și sursa de la care a fost obținută, inclusiv dacă a fost obținută din surse accesibile publicului. În circumstanțe specifice enumerate la articolele 13 alineatul (4) și 14 (5) din GDPR, compania / organizația dvs. poate fi scutită de obligația de a informa persoana respectivă. Vă rugăm să verificați dacă această scutire se aplică companiei / organizației • Ce date putem prelucra și în ce condiții? Tipul și cantitatea de date cu caracter personal pe care o companie / organizație le poate prelucra depinde de motivul prelucrării acestora (motivul legal utilizat) și de utilizarea prevăzută. Compania / organizația trebuie să respecte mai multe reguli cheie, inclusiv: • datele personale trebuie prelucrate în mod legal și transparent, asigurând corectitudinea față de persoanele ale căror date cu caracter personal sunt procesate („legalitate, corectitudine și transparență”); • trebuie să existe scopuri specifice pentru prelucrarea datelor, iar compania / organizația trebuie să indice aceste scopuri persoanelor fizice atunci când colectează datele lor personale. O companie / organizație nu poate colecta pur și simplu date cu caracter personal în scopuri nedefinite („limitarea scopului”); • compania / organizația trebuie să colecteze și să proceseze doar datele personale care sunt necesare pentru îndeplinirea acestui scop („minimizarea datelor”); • compania / organizația trebuie să se asigure că datele personale sunt corecte și actualizate, având în vedere scopurile pentru care sunt prelucrate și să le corecteze, dacă nu („acuratețe”); • compania / organizația nu poate utiliza în continuare datele cu caracter personal în alte scopuri care nu sunt compatibile cu scopul inițial; • compania / organizația trebuie să se asigure că datele cu caracter personal sunt stocate nu mai mult decât este necesar pentru scopurile pentru care au fost colectate („limitare de stocare”); • compania / organizația trebuie să instaleze garanții tehnice și organizaționale adecvate care să asigure securitatea datelor cu caracter personal, inclusiv protecția împotriva prelucrărilor neautorizate sau ilegale și împotriva pierderii accidentale, distrugerii sau daunelor, folosind tehnologia adecvată („integritate și confidențialitate”). • Ce reguli se aplică dacă organizația mea transferă date în afara UE? În lumea globalizată de astăzi, există cantități mari de transferuri transfrontaliere de date cu caracter personal, care sunt uneori stocate pe servere din diferite țări. Protecția oferită de Regulamentul general de protecție a datelor (GDPR) se deplasează cu datele, ceea ce înseamnă că normele de protecție a datelor cu caracter personal continuă să se aplice indiferent de locul în care datele aparțin. Acest lucru se aplică și atunci când datele sunt transferate într-o țară care nu este membră a UE (denumită în continuare „țară terță”). • GDPR oferă diferite instrumente pentru a încadra transferurile de date de la UE la o țară terță: • uneori, o țară terță poate fi declarată ca oferind un nivel adecvat de protecție printr-o decizie a Comisiei Europene („Decizia de adecvare”), ceea ce înseamnă că datele pot fi transferate cu o altă companie din țara terță fără ca exportatorul de date să fie obligat să furnizeze în continuare garanții sau că sunt supuse unor condiții suplimentare. Cu alte cuvinte, transferurile către o țară terță „adecvată” vor fi comparabile cu o transmisie de date în UE. • în absența unei decizii de adecvare, un transfer poate avea loc prin furnizarea de garanții adecvate și cu condiția ca drepturile executorii și căile de atac efective să fie disponibile pentru persoane fizice. Aceste garanții adecvate includ: • în cazul unui grup de întreprinderi sau a unor grupuri de companii angajate într-o activitate economică comună, companiile pot transfera date cu caracter personal pe baza așa-numitelor reguli corporative obligatorii; • aranjamente contractuale cu destinatarul datelor cu caracter personal, folosind, de exemplu, clauzele contractuale standard aprobate de Comisia Europeană; • respectarea unui cod de conduită sau a unui mecanism de certificare împreună cu obținerea de la destinatar a unor angajamente obligatorii și executorii de a aplica garanțiile adecvate pentru protejarea datelor transferate.