Ce inseamna Prelucrarea de date si cine poate fi considerat Operator de date cu caracter personal in sensul GDPR
Ce vei afla din acest material:
- ce inseamna prelucrare de date cu caracter personal
- cum se poate face o prelucrare de date
- ce este un operator de date (cine face o prelucrare de date)
Ce inseamna prelucrare de date cu caracter personal
Am intalnit numerosi clienti care imi spun, “nu, eu nu prelucrez date cu caracter personal”. De aici a venit si ideea unei campanii de informare si constientizare, pe care am numit-o “GDPR Romania”. Pentru a putea sa aduc plus valoare antreprenorilor si a lucra deopotriva in beneficiul persoanelor vizate din Romania.
GDPR-ul este inteles gresit, astfel ca unii operatori nici nu stiu ca sunt operatori si ca au anumite obligatii privind protectia datelor cu caracter personal.
Dar ce inseamna efectiv prelucrare? Este posibil ca o societatea sa nu prelucreze date cu caracter personal dupa modelul amintiti anterior? Nu. nu prea se poate.
Orice societate care vinde ceva unei persoane, fie ca este vorba despre un serviciu sau un produs, prelucreaza minim datele clientilor.
Cand ai in spate un proces de vanzare, faci marketing. Aici intervin prelucrari; prelucrezi cookies, IP-uri, date de contact ale unei persoane fizice, nume si prenume si asa mai departe.
Sa presupunem ca tu vinzi fara sa faci marketing sau chiar daca o faci, nu este necesar sa folosesti clasicele prelucrari. Dar de facturat, facturezi? Evident. Facturarea implica prelucrare de date cu caracter personal. In operatiunea de facturare prelucrezi nume, prenume, adresa postala sau CNP dupa caz, minim. Sunt minimele date necesare facturarii.
Inchei un contract? Oferi o garantie? Si acestea se numesc prelucrari. De ce? Pentru ca folosesti date cu caracter personal ale cumparatorului.
Si daca faci comert electronic si nu facturezi, pentru ca folosesti casa de marcat, mai prelucrezi date personale? Pai, livrezi vreun produs? Da, evident. Atunci ai raspunsul deja, prelucrezi un nume, un prenume, o adresa postala pentru a face livrarea, prelucrezi date de contact, adica minim numarul de telefon.
Daca ai minim un salariat, faci prelucrare de date, pentru ca in scopul angajarii, ii folosesti datele; ceea ce se numeste prelucrare.
Chiar si altfel poti face prelucrari. Cand inchei un contract, prelucrezi numele, prenumele, functia si semnatura olografa ca minim de date personale existente intr-un contract, chiar si atunci cand cocontractamtul tau nu iti este client, ci furnizor.
Daca esti operator si vrei sa stii cum sa te protejezi si cum sa protejezi datele cu caracter personal, operand astfel date cu caracter personal in legalitate, citeste materialul “Ghid de implementare GDPR“.
Prelucrare inseamna ORICE operatiune sau set de operatiuni efectuate asupra datelor cu caracter personal.
Textul de lege spune ca „prelucrare” inseamna orice operatiune sau set de operatiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fara utilizarea de mijloace automatizate, cum ar fi colectarea, inregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispozitie in orice alt mod, alinierea sau combinarea, restrictionarea, stergerea sau distrugerea.
Plecand de la cele mai sus amintite si de la definitia legala, intelegem cu multa usurinta ca prelucrare nu inseamna ca faci ceva deosebit cu datele cu caracter personal, ci doar ca le folosesti intr-un scop determinat, le folosesti mai exact in atingerea scopului unei persoane juridice; fie ca este de drept privat (societate, ONG), fie ca este de drept public (organism public, institutie de invatamant etc).
In aceste conditii, mai credeti ca exista vreo societate care nu prelucreaza minim datelele clientilor sai?
Cum se face o prelucrare de date. In ce fel sunt prelucrate datele?
Colectarea, inregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispozitie in orice alt mod, alinierea sau combinarea, restrictionarea, stergerea sau distrugerea sunt feluri de prelucrare a datelor.
Observi desigur, ca inclusiv stergerea datelor reprezinta o prelucrare.
Chiar daca ai facturat si pastrezi factura pe o perioada de minim 10 ani pentru ca asa te obliga legea, faci o prelucrare; o prelucrare cu termen de 10 ani, dupa cum vezi, o prelucrare prin stocare/arhivare. Ultima prelucrare pe care o vei face cu datele personale dintr-o factura, va fi distrugerea. Doar de la acel moment poti spune ca nu mai prelucrezi acea categorie de date pentru acea persoana vizata.
Cine este oprerator sau cine poate deveni operator?
Sa incepem mai degraba cu cine NU este operator pentru ca asa simplificam foarte mult lucrurile, Asadar nu reprezinta prelucrare de date si cel care face o astfel de actiune nu poate fi numit operator urmatoarele:
- datele personale folosite in cadrul unei activitati care nu intra sub incidenta dreptului Uniunii;
- prelucrarea efectuata de catre statele membre atunci cand desfasoara activitati care intra sub incidenta capitolului 2 al titlului V din Tratatul UE;
- prelucrarea de catre o persoana fizica in cadrul unei activitati exclusiv personale sau domestice;
- prelucrarea de catre autoritatile competente in scopul prevenirii, investigarii, depistarii sau urmaririi penale a infractiunilor, sau al executarii sanctiunilor penale, inclusiv al protejarii impotriva amenintarilor la adresa sigurantei publice si al prevenirii acestora.
- prelucrarea datelor cu caracter personal de catre institutiile, organele, oficiile si agentiile Uniunii, se aplica Regulamentul (CE) nr. 45/2001. Regulamentul (CE) nr. 45/2001 si alte acte juridice ale Uniunii aplicabile unei asemenea prelucrari a datelor cu caracter personal se adapteaza la principiile si normele din prezentul regulament in conformitate cu articolul 98 din GDPR.
Textul de lege ne arata ca „operator” inseamna persoana fizica sau juridica, autoritatea publica, agentia sau alt organism care, singur sau impreuna cu altele, stabileste scopurile si mijloacele de prelucrare a datelor cu caracter personal; atunci cand scopurile si mijloacele prelucrarii sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevazute in dreptul Uniunii sau in dreptul intern.
Cand ai un flux de vanzare, cand ai angajati, cand ai scopuri determinate pe care tu le stabilesti, care evident trebuie sa fie si legitime, fie ca esti o persoana fizica sau o persoana juridica, esti operator de date.
Ca sa simplific, de vreme ce stabilesti scopurile prelucrarii (si cand desfasori activitate economica sau publica asta se intampla) esti operator de date cu caracter personal in sensul GDPR.
Mai multe despre operatori si obligatiile lor, poti citi in materialul Sunt operator, cum protejez datele persoanei vizate.
Poti citi mai jos restul materialelor de informare despre care am vorbit in acest articol.
- Ce sunt datele cu caracter personal. Cand datele devin date cu caracter personal potrivit GDPR
- Drepturile persoanei vizate
- Ce inseamna si cum se face Auditul GDPR