GDPR sau Regulamentul General pentru Protecția Datelor este un noul regulament la Uniunii Europene care va înlocui Directiva 1995/46/CE referitoare la protecția datelor cu caracter personal. GDPR este menit să sporească protejarea datelor cu caracter personal ale cetățenilor UE. Ca urmare, companiile sau organizațiile care colectează ori procesează date personale au acum mai multe obligații.
Regulamentul intră în vigoare în 25 mai 2018 și include o serie de norme care vor consolida drepturile persoanelor. GDPR aduce și penalități aspre în cazul abaterilor grave.
Textul complet al Regulamentului General pentru Protecția Datelor aplicabil în România îl poți consulta aici, iar un glosar cu principalele noțiuni ale legii îl poți vedea aici.
Cu siguranță ai auzit de ceva vreme despre GDPR, dar știai că Uniunea Europeană avea deja o legislație în acest sens? Deși directiva din 1995 este înlocuită cu GDPR, vechea lege a fost cea care a stabilit cele opt principii pentru protejarea datelor cu caracter personal.
Până în mai 2018 acel set de legi a guvernat modul în care companiile au administrat datele personale pe teritoriul Uniunii Europene. Din moment ce noul Regulament este bazat pe directivele vechi, ar fi bine să te familiarizezi și cu prevederile acesteia.
DA! Deoarece clubul tău de fitness este o firmă înregistrată în România, iar majoritatea membrilor tăi sunt rezidenți ai Uniunii Europene.
În cazul cluburilor de fitness, deoarece au o bază de date cu informațiile personale ale membrilor, inclusiv numele, adresa fizică, adresa de e-mail, numărul de telefon sau orice altă informație similară, sunt afectate de regulile GDPR.
Dacă vechea legislație făcea referire doar la teritoriul Uniunii Europene, GDPR se aplică și companiilor din afara UE, care monitorizează comportamentul rezidenților Uniunii. Astfel, chiar dacă o companie are sediul în afara UE, atâta timp cât administrează date cu caracter personal ale cetățenilor UE, este obligată să respecte GDPR.
Autorii acestui website nu sunt avocați. Articolele de pe acest site nu trebuie să fie luate ca o consultație juridică asupra legislației UE sau asupra modului în care firma ta ar trebui să aplice regulile GDPR. UPfit nu își asumă responsabilitatea pentru interpretarea greșită a acestor informații de către cititor.
În schimb, acest website încearcă să ofere informații care să te ajute să înțelegi mai bine cum a reușit UPfit să pună în practică anumite reglementări. Aceste informații nu sunt o consultație juridică, în care un avocat aplică legea la circumstanțele specifice companiei tale. De aceea, insistăm să consulți un avocat pentru a obține sfaturi specifice referitoare la GDPR sau orice alt act normativ.
Confirmarea de două ori a consimțământului pentru notificări sau double opt-in este un mecanism în 2 pași prin care o persoană trebuie să-și confirme adresa de e-mail de două ori, după ce s-a abonat pentru un anumit serviciu. Deși GDPR nu obligă firmele să introducă acest procedeu, este bine să optezi pentru el, deoarece este o măsură adițională care te ajută să demonstrezi că ai obținut consimțământul necesar.
Deja persoana fizică are o mulțime de drepturi menite să-i protejeze datele cu caracter personal. Cu toate astea, GDPR consolidează aceste drepturi, astfel încât persoanele fizice pot:
Consimțământul individului este obligatoriu în majoritatea cazurilor în care i se procesează datele cu caracter personal. Totuși, există și anumite excepții în care informațiile personale pot fi procesate fără consimțământ specific:
Consimțământul este invalid în următoarele circumstanțe:
GDPR nu specifică o limită de timp în care ai voie să păstrezi și să procesezi datele cu caracter personal. Cu toate astea, consimțământul poate să expire, în funcție de context, și trebuie să consideri scopul cu care a fost obținut acel consimțământ și care au fost așteptările individului în acest sens.
De exemplu, clubul tău de fitness face o campanie prin care ceri consimțământul membrilor tăi să primească e-mailuri cu sfaturi despre cum să fii în formă în vacanța de vară din acest an. Din moment ce cererea de consimțământ menționează o perioadă de timp exactă, așteptarea rezonabilă a membrilor care își dau consimțământul pentru această campanie este ca, la finalul vacanței de vară, să nu mai primească aceste de e-mailuri. Astfel, consimțământul expiră.
Dacă scopul pentru care ai colectat datele cu caracter personal s-a schimbat, consimțământul inițial nu mai este valabil.
De asemenea, în cazul minorilor, consimțământul părinților expiră în momentul în care copilul împlinește 16 ani. Atunci, respectiva persoană trebuie să-și dea singur consimțământul pentru prelucrarea datelor personale.
GDPR nu impune măsuri anume pentru securitate în cazul folosirii sistemelor de tip CRM. În schimb, Regulamentul cere companiilor să ia toate măsurile tehnice și organizaționale necesare pentru a limita riscul de încălcare a confidențialității datelor. În anumite cazuri este recomandat să se folosească criptarea datelor când nu sunt folosite (encription at rest) sau folosirea pseudonimelor, dar acest lucru nu este obligatoriu.
Dreptul de a cere ștergerea datelor cu caracter personal se numește și dreptul de a fi uitat. Acesta nu este un drept absolut, are anumite limitări. În cele mai multe cazuri, atunci când se consideră o cerere de ștergere a datelor, se ia în considerare mai mulți factori relevanți.
De exemplu, acest drept nu se aplică atunci când o companie are obligații legale de a transmite datele personale ale unui individ autorităților. În schimb, o persoană are tot dreptul de a cere companiilor și organizațiilor să nu îi mai proceseze datele cu caracter personal în scopuri de marketing.
Potrivit GDPR, este obligatoriu ca o organizație sau companie să aibă un DPO în următoarele circumstanțe:
Dacă ai vreo întrebare sau vreo cerere vizavi de GDPR, te rugăm să ne trimiți un e-mail pe adresa dpo@upfit.cloud, iar DPO-ul nostru va lua legătura cu tine în cel mai scurt timp.
Noul Regulament pentru Protecția Datelor impune o astfel de evaluare doar în circumstanțe cu un grad de risc ridicat, precum:
Procesarea automată a datelor personale pentru a evalua, analiza sau a prezice orice caracteristică a persoanei în cauză (profiling) și deciziile automate ce implică datele cu caracter personal nu sunt interzise de GDPR.
Aceste activități pot fi supuse unor condiții. Mai ales când aceste decizii automate pot avea repercusiuni legale asupra indivizilor în cauză. În aceste circumstanțe, persoana trebuie să primească:
Ți-am pregătit o serie de materiale menite să te ajute să înțelegi mai bine ce înseamnă GDPR și cum să te pregătești pentru noul Regulament.
Pentru mai multe informații despre ce înseamnă Regulamentul General pentru Protecția Datelor îți recomandăm următoarele resurse.
Cele mai importante schimbări în reglementarea confidenţialităţii datelor din ultimii 20 de ani.
Citește mai multeEuropean data protection supervisor. The Eu’s independent data protection authority.
Citește mai multeDescarcă gratuit ghidul nostru GDPR pentru cluburile de fitness, precum și o prezentare a Regulamentului care te va ajuta să-ți instruiești mai eficient echipa.
Join our client roster, that has already discovered the benefits of UPfit.cloud. From streamlining the activity at the reception desk to online services for members, you can have everything.
During a demo session, we can go over in detail about how we can help you expand your business, grow your revenue, and impress your members.