fbpx

GDPR: noul Bau-Bau pentru firme. Ce înseamnă și cum te poți alege cu o amendă de 4% din cifra de afaceri?

Din 25 mai 2018 se vor produce schimbări importante în legislația privind protecția datelor personale în Europa, odată cu intrarea în vigoare a Regulamentului (UE) 679/2016, cunoscut drept Regulamentul General privind Protecția Datelor Personale. Specialiștii spun ca asistam chiar la o adevărată revoluție în domeniu, dacă analizăm magnitudinea la care schimbările din legislație vor afecta bunul mers al afacerilor mici și mari din Europa și nu numai.
„GDPR” (General Data Protection Regulation), este un regulament adoptat de Parlamentul European în aprilie 2016. Spre deosebire de directiva europeană, regulamentul european nu are nevoie de o lege națională care să transpună prevederile în legislația fiecărui stat UE, ci se aplică direct, fără nicio altă formalitate, în toate statele Uniunii Europene.
Intrarea în vigoare, pe 25 mai 2018, a Regulamentului (UE) 679/2016 – Regulamentul General privind Protecţia Datelor Personale (GDPR) înseamnă că, din acea zi, dacă cineva din cadrul unei companii „scapă” informaţii cu caracter personal (CNP, act de identitate, nume şi alte informaţii personale), compania respectivă este pasibilă să primească o amendă de până la 20 milioane de euro sau 4% din cifra de afaceri înregistrată în anul fiscal anterior.

Ce este de făcut pentru a preveni şi împiedica o astfel de situaţie?

Companiile au nevoie de consultanţă de business pentru asigurarea unui mod de lucru care respectă anumite proceduri, atât la nivelul întregii organizaţii, cât şi la nivelul departamentelor. Acestă consultanţă trebuie aliniată şi din punct de vedere juridic la exigenţele legale în vigoare din domeniul protecţiei datelor cu caracter personal.
În plus, companiile au nevoie şi de suportul necesar, asigurat de instrumente IT de securizare a datelor cu caracter personal (aplicaţii software, infrastructură dedicată) cu ajutorul cărora să clasifice datele cu caracter personal din întreaga organizaţie. Au de asemenea nevoie şi de sisteme de prevenţie a pierderilor de date, de protecţie a acestora împotriva furtului din exterior şi interior, etc.
Evident, companiile au nevoie de furnizori de încredere şi cu experienţă în gestionarea unor astfel de proiecte complexe care înglobează atât servicii de consultanţă cât şi componente hardware si software.
Tocmai pentru că finalul lunii mai nu este o dată foarte îndepărtată, multe companii au nevoie să grăbească ritmul pentru a lua măsuri concrete către îndeplinirea prevederilor impuse prin regulamentul GDPR. Este vorba de necesitatea unei analize consistente a proceselor de afaceri, a unui inventar al  datelor private existente şi a clasificării acestora, respectiv de obligativitatea inventarierii fluxurilor de date şi a schimbului de date cu alţi prelucrători. Nu în ultimul rând, companiile trebuie să dispună de o soluţie viabilă pentru asigurarea confidenţialităţii datelor pe întreaga lor durată de viaţă.

Se aplică GDPR și companiei mele?

De regulă, răspunsul este „DA”. În majoritatea cazurilor, companiile procesează, într-o formă sau alta, date cu caracter personal, fie că realizează această procesare în interes propriu, fie că o realizează în interesul altor companii. Conceptul de date personale este atât de larg, încât este aproape imposibil ca o entitate să nu prelucreze astfel de date. Fie că vorbim despre prelucrarea datelor angajaților, a datelor clienților în scopuri de marketing sau a datelor sensibile ale unor clienți (date de sănătate, cazier fiscal sau judiciar etc.), toate aceste situații transformă compania într-un subiect al GDPR.
Mi se aplică GDPR și dacă am sediul firmei într-o țară din afara UE?
Da! GDPR se aplică nu doar companiilor cu sediul în Uniunea Europeană, ci și celor cu sediul în alte state ale lumii, în măsura în care ele prelucrează date personale ale unor persoane din Uniunea Europeană.

Care sunt principalele modificări aduse de GDPR?

Se naște o nouă funcție în cadrul companiei: Ofițerul de protecție a datelor cu caracter personal.
Instituțiile publice (cu excepția instanțelor de judecată), companiile a căror activitate principală constă în operațiuni de prelucrare care necesită o monitorizare periodică și sistematică pe scară largă a persoanelor vizate, precum și companiile care prelucrează, pe scară largă, categorii speciale de date (originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice, apartenența la sindicate, date genetice, date biometrice, date privind sănătatea, date privind viața sexuală sau orientarea sexuală) sau date referitoare la condamnări penale și infracțiuni, vor fi obligate să își angajeze un responsabil cu protecția datelor personale (DPO – Data Protection Officer).

Reguli noi pentru consimțământ

Consimțământul pentru prelucrare, unul din posibilele temeiuri legitime, va avea un regim mult mai restrictiv. Astfel, solicitarea acordului trebuie să fie in formă inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu; dacă sunt incluse mai multe aspecte, solicitarea acordului trebuie clar diferențiată de celelalte aspecte; retragerea consimțământului trebuie să poată fi făcută la fel de simplu cum a fost dat; și, mai ales, nu este admisă condiționarea consimțământului.

Drepturi noi pentru persoana vizată. Portabilitatea datelor personale.

Pe lângă drepturile reglementate deja, persoanele vizate vor avea unele drepturi noi, printre care dreptul la portabilitatea datelor. Persoanele vor avea dreptul să primească (direct sau prin intermediul unui alt operator indicat) datele lor într-un format structurat, utilizat în mod curent și care poate fi citit automat – una dintre cele mai provocatoare noutăți pentru întreprinderile digitale.

Transparenţă extinsă

Și în prezent prelucrarea datelor personale trebuie adusă la cunoștința persoanelor vizate, însă regulile aplicabile potrivit GDPR impun o serie de elemente adiționale, cum ar fi cine este responsabilul cu protecția datelor, care este temeiul prelucrării, dacă se recurge la profilare, cât timp sunt ținute datele, etc.
În caz de neconformare amenzile sunt foarte mari.
Nerespectarea GDPR poate atrage mai multe tipuri de sancțiuni, inclusiv amenzi de până la 20 de milioane de euro sau 4% din cifra de afaceri globală, oricare dintre acestea este mai mare. În plus, dacă au suferit un prejudiciu, persoanele vizate pot obține despăgubiri care să acopere valoarea acestor prejudicii, iar drepturile lor pot fi reprezentate inclusiv de organisme colective.
Surse: http://www.privacyone.ro/dpo/gdpr.html, www.adevarul.ro