Rezumat simplu - Gândiți-vă la GDPR nu ca la un bau-bau, ci ca la un mijloc prin care sunteți siguri că protejați și voi unul dintre drepturile fundamentale ale omului: dreptul la viață privată, drept care conține și datele personale ale oamenilor.

 

Pe scurt, asta înseamnă să colectați doar datele personale de care aveți realmente nevoie, să o faceți legal și transparent, să le păstrați în condiții de siguranță și să le ștergeți atunci când nu mai aveți nevoie de ele.

 

În oglindă, persoana fizică ale cărei date le colectați trebuie să știe (transparența), dintr-un document accesibil, răspunsul la întrebările cheie legate de datele sale personale:

 

Cine îmi ia datele și ce face cu ele?

 

Cât timp sunt păstrate și cum sunt ținute în siguranță?

 

Cum le pot corecta sau mă pot opune colectării?

 

Top 3 sfaturi GDPR:

1. Spuneți oamenilor pentru ce prelucrați datele lor (transparența), adică:

 

Cine îmi ia datele și ce face cu ele?

Cât timp sunt păstrate și cum sunt ținute în siguranță?

Cum le pot corecta sau mă pot opune colectării?

 

2. Păstrați datele în siguranță! Dacă le păstrați digital, folosiți parole și nu unele simple. Învățați să vă criptați dispozitivele mobile: telefon, laptop, tabletă. Deja tehnologia face să fie o procedură simplă, o faceți o singură dată și vă protejează perfect dacă pierdeți cumva dispozitivul. Dacă le păstrati pe hârtie, puneți-le într-un dulap cu cheie.

 

3. Ștergeți sau distrugeți datele personale de care nu mai aveți nevoie.

 

Birocrație

NU trebuie să vă înregistrați undeva pentru a prelucra datele personale!

 

Dar, dacă aveți o încălcare de securitate care afectează datele personale, trebuie să notificați Autoritatea printr-unformular online,în maximum 72 de ore de când ați descoperit încălcarea.

 

Rezumat puțin mai complicat și juridic

Date personale sunt orice informație care poate identifica o persoană fizică (cum ar fi: nume, prenume, adresă fizică, e-mail, date din cartea de identitate, imaginea persoanei, voce, adresa IP, alt identificator unic).

 

Dacă prelucrați date cu caracter personal (și este cam imposibil să nu le prelucrați, pentru că asta înseamnă cam orice legat de date personale, de la colectare până la ștergere), trebuie să o faceți respectând principiile legii (acum GDPR, adică Regulamentul UE 679/2016). Adică datele trebuie să fie:

 

prelucrate în mod legal, echitabil, transparent - adică „Oops, ai uitat să-mi zici că datele mele le dai și finanțatorului”...;

colectate în scopuri determinate, explicite și legitime - adică “Pentru a vă înscrie la noutăți despre proiectul XY” și nu “Putem folosi datele atât noi cât și partenerii noștri, în orice scop”;

Datele suntadecvate, relevante și limitate – adică, în mod normal, n-ai nevoie de data nașterii într-o listă de prezență;

Datele suntexacte, actualizate - adică „Mă cheamă Popescu, nu Popesci, nu Popesco, nu Pipescu. Cum pot corecta?”;

Datele sunt stocatepe o perioadă determinată - adică “10 ani de la colectare” sau “Până la retragerea consimțământului” și nu “la infinit”;

Datele sunt păstrate în condiții de integritate și confidențialitate - adică “Omul de serviciu nu ar trebui să aibă acces la datele mele”.

Dacă însă colectați date personale care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate și prelucrați date genetice biometrice pentru identificarea unică a unei persoane fizice, date privind sănătatea sau date privind viața sexuală sau orientarea sexuală a unei persoane fizice, atunci prelucrați date din categorii speciale și situația s-ar putea să fie mai complicată; trebuie să vă bazați pe consimțământul persoanei sau pe una din excepțiile GDPR (art 9 alin 2).

 

Resurse suplimentare

Autoritatea din UK (ICO) are unul din cele mai bune site-uri de informare, inclusiv cu texte specifice pentru ONG-uri: https://ico.org.uk/for-organisations/in-your-sector/charity/

 

Informații mininale pentru transparență (ex. Politica de confidențialitate) – un tabel cu 14 puncte și exemple: https://www.trusted.ro/blog/2018/05/24/gdpr-politica-confidentialitate-recomandari-explicatii/

 

Un webinar de o oră pentru ONG-uri, legat de date personale și GDPR, făcut de Bogdan Manolea (ApTI), în noiembrie 2017 (atenție, GDPR nu era încă în vigoare, anumite informații legate de legea veche sunt deja în desuetudine) - https://ongonline.techsoup.ro/course/protectia-datelor-cadrul-unui-ong/ sau prezentarea în format PPT - https://www.slideshare.net/TechSoupRo/protecia-datelor-personale-n-cadrul-unui-ong sau înregistrarea video - https://www.youtube.com/watch?v=q9ZY-1Y5CrY.

 

Textul GDPR în română, aranjat frumos pe un site fără cookie-uri: https://gdpr.dataskydd.net/ro/art/

 

+ Legea 190/2018, de implementare a GDPR în România: https://www.dataprotection.ro/servlet/ViewDocument?id=1520

 

Site-ul Autorității pentru Protecția Datelor Personale din România: https://www.dataprotection.ro/.

 

 (Acesta este un rezumat ultra-simplicat al GDPR pentru ONG-uri, nu un sfat juridic perfect pentru situația voastră de care autorul nu are cum să știe. :-) )

*****

Asociația pentru Tehnologie și Internet

ApTI este o asociație nonguvernamentală care susține și promovează o lume digitală liberă și deschisă prin respectarea drepturilor fundamentale ale omului. Un Internet liber este un mediu în care libertatea de exprimare și viața privată sunt respectate și garantate. O lume digitală deschisă reprezintă o garanție a accesului legal și sigur la beneficiile aduse de tehnologia informației.

Sursa: https://www.apti.ro/gdpr-pt-ong