Ca urmare a aplicării directe a Regulamentului (UE) 2016/679 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal și libera circulație a acestor date, începând cu data de 25 mai 2018, au fost create mai multe obligații necesar a fi respectate de către:

i) Companiile care procesează date cu caracter personal și au sediul în UE, indiferent de locul în care se desfășoară prelucrarea efectivă a datelor;

(ii) Companiile care au sediul în afara UE, dar procesează date cu caracter personal în contextul furnizării de bunuri sau servicii către cetățeni din UE sau monitorizează comportamentul cetățenilor din UE.

De principiu, obligațiile existente se referă la:

1. Ce tip de date cu caracter personal pot fi prelucrate

2. În ce condiții se poate realiza prelucrarea acestora

Astfel, tipul și cantitatea de date cu caracter personal care pot fi în mod legal colectate și ulterior prelucrate depinde de temeiul juridic al colectării (articolul de lege în sens larg care permite colectarea respectivelor date), precum și de scopul colectării (obiectivul final pentru care datele sunt colectate).

În concret pentru ca orice colectare și prelucrare de date cu caracter personal să fie realizată în conformitate cu normele legale în vigoare, aceasta trebuie să respecte următoarele principii generale:

1. Datele cu caracter personal trebuie prelucrate în mod legal, așadar, respectând toate normele care reglementează acest domeniu; iar prelucrarea trebuie să fie transparentă, în sensul că persoana ale cărei date sunt prelucrate trebuie să fie constant informată cu privire la orice modificare privind prelucrarea acestora, asupra căreia nu și-a exprimat în prealabil consimțământul.

2. Datele trebuie colectate în vederea realizării unui anumit scop, nefiind permise colectăriile de date cu caracter personal pentru scopuri nedefinite. De asemenea, la momentul colectării datelor persoana în cauză trebuie informată care sunt scopurile pentru care se realizează colectarea.

3. Companiile au obligația de a colecta doar minimul necesar de date pentru realizarea scopului anterior menționat, nu și alte date suplimentare care nu folosesc la atingerea scopului.

4. Compania trebuie să se asigure în permanență că datele prelucrate sunt exacte, că acestea corespund realității, și să le corecteze în caz contrar.

5. Datele trebuie să fie stocate doar atât timp cât este necesar pentru realizarea scopului în care au fost colectate. Ulterior, deținerea acestora nu mai are o justificare legală.

6. Este interzisă folosirea datelor cu caracter personal în alte scopuri decât cele pentru care au fost colectate inițial și care au fost aduse la cunoștința persoanei vizate.

7. Companiile trebuie să își ia toate măsurile necesare privind securitatea datelor cu caracter personal stocate pentru ca acestea să nu fie accidental distruse ori deteriorate, și pentru a nu putea fi utilizate în mod neautorizat ori nelegal.

Spre exemplu, dumneavoastră în calitate de reprezentant al unei companii care are nevoie din diverse motive de date personale ale clienților în vederea realizării obiectului de activitate, când obțineți date cu caracter personal ale acestora, ar trebui să le explicați într-un limbaj clar și simplu de ce aveți nevoie de datele respective, cum le veți utiliza și cât timp intenționați să le păstrați.

În final, atragem atenția asupra faptului că orice încălcări ale obligațiilor mai sus descrise constituie o prelucrare nelegală a datelor cu caracter personal, care se poate sfârși prin aplicarea unei amenzi contravenționale considerabile.