De acum, românii pot REFUZA să dea buletinul de identitate. Schimbarea adusă de GDPR

Asociaţia pentru bune practici GDPR (regulamentului european privind protecţia datelor) îşi propune să fie o voce a societăţilor în faţa autorităţii, astfel încât autoritatea să nu aibă doar punctul de vedere al statului, ci să ştie exact ce se întâmplă în piaţă, să vadă cu ce se confrunta societăţile, a declarat Elena Grecu, potrivit capital.ro.

Citeşte şi Scandalul Cambridge Analytica: FBI face anchetă despre utilizarea reţelei de socializare Facebook

Asociaţia este constituită, pe de-o parte, din avocaţi şi specialişti în domeniul IT, care au lucrat în domeniul prelucrării datelor cu caracter personal şi pe de altă parte din membrii ai societăţii care vor să adere la un cod etic şi care vor să fie la curent cu tot ceea ce se întâmplă.

În sfera datelor cu caracter personal intra şi codul numeric personal(CNP). Din 2012, CNP-ul nu ar trebui să mai existe pe facturi. Acesta este un aspect foarte important şi priveşte foarte multe businessuri care se adresează consumatorilor. Foarte mulţi contabili sfătuiesc în continuare să se treacă CNP-ul pe facturi, având în vedere declaraţia 396 care specifica înainte obligativitatea depunerii codului numeric personal. Anul trecut a fost modificată şi această declaraţie, iar acum este suficient pentru emiterea unei facturi numele, prenumele şi domiciliul complet.

Alte articole

Clienții platformei Temu va trebui să ofere date personale suplimentare. Cum justifică compania chineză măsura

Hackerii au spart sistemele Orange şi ameninţă cu publicarea datelor, dacă compania nu este dispusă să negocieze

Numele şi adresa sunt şi ele date cu caracter personal, totuşi CNP-ul se distinge de celelalte date, deoarece este o dată mult mai sensibilă, în sensul în care în proiectul de lege este specificat că societăţile care colectează CNP-uri, vor trebui să aibă angajat un specialist care să fie responsabil de prelucrarea datelor cu caracter personal.

Instituţiile publice (cu excepţia instanţelor de judecată), companiile a căror activitate principală constă în operaţiuni de prelucrare care necesită o monitorizare periodică şi sistematică pe scară largă a persoanelor vizate, precum şi companiile care prelucrează, pe scară largă, categorii speciale de date (originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice, apartenenţa la sindicate, date genetice, date biometrice, date privind sănătatea, date privind viaţa sexuală sau orientarea sexuală) sau date referitoare la condamnări penale şi infracţiuni, vor fi obligate să îşi angajeze un responsabil cu protecţia datelor personale (DPO – Data Protection Officer).

Astfel, codul numeric devine mai important şi nu ar trebui să fie folosit decât în cazul în care chiar este nevoie de el, sau în cazul în care este cerut de autorităţi, deoarece în baza lui putem fi identificaţi în foarte multe situaţii.

Opoziţia la prelucrarea datelor se poate face în situaţiile în care cineva ne prelucrează datele pentru îndeplinirea unei sarcini care serveşte unui interes public sau în scopul unor interese legitime. Prin urmare, ne putem opune doar atunci când prelucrarea se face în baza unuia dintre aceste două temeiuri.

În cazul companiilor, angajatorii au obligativitatea de a avea copii ale cărţilor de identitate a tuturor angajaţiilor.

În afară de proprii angajaţi, companiile nu ar trebui să colecteze CNP-urile, cu mici excepţii, cum ar fi şcolile şi grădiniţele care trebuie să raporteze către Ministerul Educaţiei, sau contabilii care mai au şi anumite reglementări, dar altfel, societăţile obişnuite care nu au obligaţii de raportare către un minister, nu ar trebui să colecteze CNP-urile clienţilor.

Prelucrarea codului numeric personal sau a altor date cu caracter personal având o funcţie de identificare de aplicabilitate generală poate fi efectuată numai dacă: a) persoana vizată şi-a dat în mod expres consimţământul; sau b) prelucrarea este prevăzută în mod expres de o dispoziţie legala, prelucrarea facându-se nu în baza acordului beneficiarului, ci în baza unor prevederi legale exprese privind evidenţa muncii şi declararea şi plata obligaţiilor fiscale.

Potrivit textului său, intrarea în vigoare a Regulamentului european privind protecţia datelor a fost stabilită pentru 25 mai 2018, la aproximativ doi ani de la publicare, tocmai pentru a permite companiilor să îşi poată schiţa şi implementa propriul cadru de conformitate la prevederile Regulamentului. Cu alte cuvinte, companiile vor trebui să-şi rezolve problemele impuse de GDPR înainte de data de intrare în vigoare, pentru că după această dată riscă sancţiuni importante pentru lipsa de conformitate.

Nerespectarea GDPR poate atrage mai multe tipuri de sancţiuni, inclusiv amenzi de până la 20 de milioane de euro sau 4% din cifra de afaceri globală, oricare dintre acestea este mai mare. În plus, dacă au suferit un prejudiciu, persoanele vizate pot obţine despăgubiri care să acopere valoarea acestor prejudicii, iar drepturile lor pot fi reprezentate inclusiv de organisme colective.