GDPR Atenție la protecția datelor personale!

General Data Protection Regulation (GDPR) nr. 679/2016 – sau cum va arăta lumea după 25 mai 2018, când noua directivă europeană va intra în vigoare.

Cătălin Olteanu

Foarte puțini dintre noi am fost afectați de legislația veche Data Privacy Directive din 1995 (directiva 95/46/CE), care stabilea liniile directoare în ceea ce privește dreptul la viață privată și protecția datelor cu caracter personal. Deși mai toate firmele care gestionează probleme logistice colectează date cu caracter personal – oricine intră și iese pe poartă trebuie să dea buletinul, este filmat și înregistrat, monitorizat, datele colectate în sistemele informatice etc., prea puțini și-au pus problema respectării legislației în domeniu, în mare măsură pentru că legislația veche nu era foarte clară, nici punitivă… și, de ce să nu recunoaștem, în România nu prea era nimeni la curent cu această problemă.

Dura lex, sed lex…

Ei bine, noua legislație va fi mult mai dură în ceea ce privește partea punitivă – stabilește sancțiuni între 4% din cifra de afaceri și 20 milioane de euro – și nu se aplică pe principiul mioritic, potrivit căruia ne târguim pentru suma cea mai mică.

Altfel spus, nerespectarea legii europene devine costisitoare și se aplică oriunde în Europa. Nu vom mai fi salvați de abordarea locală a reglementărilor legale, pentru că orice firmă din România intră sub incidenta acestei legi, și… Dura lex, sed lex…

Dar despre ce este vorba în această nouă legislație? În principiu, impactul în toate firmele va fi resimțit la nivel de departament legal și IT.

Legal, pentru că fiecare firmă va trebui să elaboreze, să pună în practică și să acționeze conform unui set de proceduri, care vor stabili pașii de urmat pentru aplicarea legii, sau ceea ce trebuie făcut în cazul în care datele cu caracter personal sunt colectate. Ce anume tip de consens trebuie obținut de la cel care își comunică datele personale, care sunt limitele de timp în care datele sunt reținute și ce anume justifică acest lucru. De asemenea, se va stabili ce tip de mesaj trebuie transmis către partenerii de business, dar și către persoanele fizice care intră sub incidența legii.

După ce departamentul juridic sau consultantul legal extern au stabilit procedurile care vor fi urmate, intră în scenă departamentul IT, care se va asigura că sunt respectate integral, din punctul de vedere al sistemului informatic. Pe scurt, specialiștii din domeniu trebuie să se asigure că aceste date nu sunt scăpate de sub control, iar accesul la ele, precum și utilizarea lor, vor avea loc în limitele proiectate de lege și de avizul celor din juridic.

Tot departamentul IT trebuie să ofere posibilitatea de a transmite, la cerere, orice informație cu privire la datele personale deținute de companie, dar și să arate că le poate șterge, în cazul unei cereri îndreptățite, sau că se șterg singure, o dată ce limita de timp în care aceste date se pot stoca expiră.

Nu în ultimul rând, departamentul de IT trebuie să se asigure că, în cazul unei breșe de securitate, aceasta este anunțată în maximum 72 de ore de la incident și că poate parcurge o serie de pași, astfel încât incidentul să fie cât mai limitat, persoanele afectate anunțate și efectele scăpării controlate și ameliorate.

12 pași de urmat

Pasul 1 – Conștientizarea

  • Modificarea GDPR: GDPR va modifica în mod semnificativ legislația actuală privind protecția datelor. Nu toată lumea din cadrul unei organizații va fi conștientă de acest lucru.
  • Acțiuni care trebuie întreprinse: Realizarea reformelor GDPR cu implicarea oamenilor cheie în companie (de exemplu, cei care au competențe de supraveghere sau de luare a deciziilor) și de a le aduce la cunoștința efectele unor astfel de reforme.

Pasul 2 – Informații deținute

  • Modificarea GDPR: dacă o companie a împărtășit date personale incorecte cu o altă organizație, GDPR cere ca firma să anunțe acea altă organizație, în cazul unor inexactități. Ca parte a noului principiu al responsabilității, întreprinderile vor trebui, de asemenea, să poată demonstra modul în care respectă principiile de protecție a datelor.
  • Acțiuni care trebuie întreprinse: companiile trebuie să aibă în vedere efectuarea unui audit al sistemului informatic, care să documenteze datele cu caracter personal deținute, sursa acestor date și nivelul lor de detaliu.

Pasul 3 – Comunicarea informațiilor privind confidențialitatea

  • Schimbarea GDPR: Persoanele fizice trebuie să primească informații suplimentare, atunci când li se cer datele lor personale.
  • Acțiuni care trebuie întreprinse: Revedeți notițele / politicile actuale privind confidențialitatea și identificați domeniile care vor necesita actualizarea, pentru a asigura conformitatea cu GDPR.

Pasul 4 – Drepturile persoanelor

  • Schimbarea GDPR: Persoanele fizice vor avea drepturi îmbunătățite pentru: –

◦ accesul la informațiile lor;

◦ a fi corectate inexactitățile;

◦ a fi șterse informațiile despre ele;

◦ prevenirea marketingului direct;

◦ împiedicarea luării deciziilor și profilarea automată;

◦ portabilitatea datelor.

  • Acțiuni care trebuie întreprinse: revizuiți procedurile și politicile de protecție a vieții private/datelor, pentru a vă asigura că sistemul în care ați colectat aceste date este conform cu cerințele GDPR.

Pasul 5 – Solicitări cu privire la date de către persoanele fizice

  • Schimbarea GDPR: Se schimbă regulile curente pentru solicitările de acces la date – se vor reduce termenele de răspuns pentru livrarea datelor, se interzice perceperea taxelor pentru răspunsul la astfel de cereri și devine obligatoriu ca aceste informații suplimentare să fie furnizate persoanelor. De exemplu, despre perioadele de păstrare a datelor și dreptul de a corecta inexactitățile.
  • Acțiuni care trebuie întreprinse: Revizuirea și actualizarea procedurilor actuale, pentru tratarea solicitărilor cu privire la datele personale.

Pasul 6 – Temeiul juridic pentru prelucrarea datelor cu caracter personal

  • Schimbarea GDPR: Baza legală pentru procesare va trebui explicată în anunțurile de confidențialitate și în răspunsul la solicitările de date către cei cărora li se adresează. Drepturile acordate persoanelor fizice vor varia în funcție de baza legală pentru prelucrarea datelor.
  • Acțiuni care trebuie întreprinse: Revizuirea procesării datelor de către companie și identificarea și documentarea bazei juridice pentru procesare.

Pasul 7 –Consimțământul

  • Schimbarea GDPR: Consimțământul trebuie să fie dat în mod liber, specific, informat și lipsit de ambiguitate. Înregistrarea consimțământului este importantă deoarece controlorii de date trebuie să poată demonstra că a fost acordat consimțământul.
  • Acțiuni care trebuie întreprinse: Metode de analiză pentru căutarea, obținerea și înregistrarea consimțământului, pentru a asigura conformitatea.

Pasul 8 – Copii

  • Schimbarea GDPR: Trebuie obținut un consimțământ parental sau tutorial pentru a procesa informațiile personale ale copiilor (adică cei sub 18 ani, în Romania). Consimțământul trebuie să fie verificabil și scris în limbaj prietenos pentru copii.
  • Acțiuni care trebuie întreprinse: Crearea și implementarea de noi practici pentru (i) verificarea vârstei persoanelor și (ii) obținerea consimțământului părinților sau tutorilor la prelucrarea datelor copiilor.

Pasul 9 – Încălcarea datelor

  • Schimbarea GDPR: GDPR mărește numărul de firme obligate să notifice autoritatea de reglementare și persoanele private de încălcări ale datelor. Nerespectarea acestei obligații poate conduce la aplicarea unor amenzi semnificative de către autoritatea de reglementare.
  • Acțiuni care trebuie întreprinse: Asigurați-vă că există proceduri pentru detectarea, investigarea și raportarea încălcărilor datelor cu caracter personal. Autoritatea de reglementare sugerează evaluarea tipurilor de date deținute și documentarea celor care ar declanșa notificarea în cazul unei încălcări.

Pasul 10 – Protecția datelor prin evaluări ale impactului privind modul în care sistemele informatice asigura criptarea și pseudonomizarea datelor

  • Schimbarea GDPR: Organizațiile trebuie să adopte „confidențialitatea prin design” (adică o abordare care promovează respectarea vieții private și protecția datelor încă de la început). Organizațiile ar trebui, de asemenea, să efectueze o evaluare a impactului privind protecția datelor („DPIA”) în situații de risc înalt. În cazul în care prelucrarea este de mare risc, Autoritatea de reglementare ar trebui să fie consultată dacă prelucrarea respectă GDPR.
  • Acțiuni care trebuie întreprinse: să știți când trebuie utilizate DPIA, cine ar trebui să fie implicat și procesul care urmează să fie adoptat. Consultați îndrumările autorității de reglementare privind evaluările impactului asupra vieții private, pentru informații suplimentare.

Pasul 11 – Ofițeri de protecție a datelor (DPO)

  • Schimbarea GDPR: Autoritățile publice și întreprinderile mari vor fi obligate să numească un responsabil pentru protecția datelor pentru a supraveghea conformitatea.
  • Acțiuni care trebuie luate: Dacă este necesar, identificați și desemnați un responsabil de protecție a datelor – acesta poate fi cineva din cadrul sau din afara organizației. Acesta va fi un rol important pentru organizație în ceea ce privește asigurarea conformității cu GDPR. Selectați pe cineva care are o experiență adecvată.

Pasul 12 – Internațional

  • Schimbarea GDPR: GDPR creează un sistem pentru a determina ce autoritate de supraveghere pentru protecția datelor preia conducerea atunci când investighează o plângere cu caracter internațional.
  • Acțiuni care trebuie întreprinse: În cazul în care compania operează la nivel internațional, stabiliți care autoritate de supraveghere pentru protecția datelor va fi principala autoritate de supraveghere a unui potențial incident. În cazul în care organizația este complexă, iar deciziile privind activitățile de prelucrare a datelor se desfășoară în locuri diferite, Autoritatea de reglementare recomandă întreprinderilor să stabilească unde sunt luate cele mai importante decizii, pentru a determina principalele unități și, apoi, autoritatea principală de supraveghere.

Pentru moment, autoritatea de reglementare este ICO/CIO – Biroul comisarului european pentru informații. La nivel de cancelarie a primului ministru, în România, există, astăzi, o persoană desemnată care trebuie să se ocupe de implementarea GDPR.

Din păcate, la nivel național, a fost mult prea puțin mediatizată această reglementare, deși, așa cum comentam, impactul este, de data aceasta, european, nu local.

Orice solicitare venită din altă țară trebuie să aibă un răspuns auditabil. În cazul unui audit care demonstrează incapacitatea firmei de a răspunde cererilor respective, sancțiunile sunt, de data asta, insurmontabile și pot duce la dispariția firmei.

Amenzi de 20 de milioane de dolari sau de 4% din cifra de afaceri!

Noile reglementări par cel puțin complicate… Gândiți-vă, însă, că o lege care trebuie să protejeze persoanele fizice poate fi exploatată în zona gri sau neagră de orice concurent fără scrupule. E destul să își învețe șoferii străini să facă anumite cereri tip către firmele din România care le-au colectat datele. În cazul în care cei din România nu pot oferi informațiile solicitate, vor avea de suferit rigorile legii europene.

Cătălin OLTEANU

LĂSAȚI UN MESAJ

This site uses Akismet to reduce spam. Learn how your comment data is processed.