Află cum influențează GDPR business-ul tău!

GDPR – Regulamentul General pentru Protecția Datelor, a fost întocmit de către Parlamentul European, Consiliul Uniunii Europene și Comisia Europeană și are ca scop unificarea și consolidarea procedurilor privind protecția datelor cu caracter personal la nivelul întregii Uniuni Europene.

Încălcarea prevederilor din GDPR se sancționează cu amenzi foarte mari, scopul acestuia fiind să ofere indivizilor mai mult control asupra prelucrării datelor lor personale de către companii. GDPR este un regulament, nu o directivă, așadar aceeași legislație se va aplica în toate statele UE.

De ce a apărut GDPR

Există doua mari motive pentru introducerea GDPR: securitatea și legalitatea.

Regulamentul este creat astfel încât legislația cu privire la protecția datelor să fie în conformitate cu modalitățile de folosire a datelor, care se află în permanentă schimbare.

Securitate

Legislația actuală din Legea privind Protecția Datelor din 1998 a apărut înaintea utilizării pe scară largă a internetului și a inventării serviciilor bazate pe cloud și nu este actualizată cu privire la aspectele corelate cu probleme de securitate precum exploatarea datelor. Prin consolidarea legislației privind protecția datelor și introducerea unor măsuri mai stricte de aplicare și de urmărire penală, Uniunea Europeană urmărește creșterea nivelului de încredere în sfera digitală.

Legalitate

Prin introducerea unui domeniu juridic clar și uniform, în care business-urile să opereze, Uniunea Europeană urmărește să uniformizeze măsurile de protecție a datelor pe o piață unică. Economia de cost a acestui efort este estimată la 2.3 miliarde de dolari pe an.

Deși regulamentul a intrat în vigoare la 24 mai 2016, când toate statele membre ale Uniunii Europene au fost de acord cu conținutul, data de implementare oficială a GDPR a fost 25 mai 2018.

Ce impact are GDPR asupra business-ului tău

GDPR admite că afacerile mai mici necesită practici diferite comparativ cu cele mari. Articolul 30 din Regulament prevede ca organizațiile cu un număr de 250 de angajați sau mai mic nu vor fi obligate să adopte în totalitate măsurile prevăzute de GDPR, însă recomandarea este să se conformeze prevederilor.

Companiile cu peste 250 de angajați trebuie să numească un Data Protection Officer, responsabil cu respectarea deplină a reglementărilor specificate în noul regulament. Desigur, există și servicii de externalizare DPO.

Două grupuri principale vor fi afectate de GDPR:

Primul grup îl reprezintă “controlorii” de date, care sunt cei care declară cum și de ce datele personale sunt prelucrate. Aceștia variază de la business-uri online și până la organizații non-guvernamentale și Guvern, incluzând orice entitate care colectează orice tip de date cu caracter personal.

A doua categorie o reprezintă “procesatorii” de date, care sunt cei care prelucrează date, precum companiile de IT.

Reglementările prevăd adaptarea la regulament și pentru controlorii și procesatorii de date care nu se află în Uniunea Europeană, dar care colectează sau procesează date ale rezidenților Uniunii Europene.

Controlorii trebuie să se asigure că procesatorii respectă legea privind protecția datelor, în timp ce procesatorii trebuie să se asigure că respectă regulile cu privire la înregistrarea și procesarea datelor.

Colectarea legală

Controlorii sunt obligați din punct de vedere legal să se asigure că toate datele cu caracter personal sunt procesate în mod legal și transparent. Datele trebuie să fie colectate cu un anumit scop, iar odată ce obiectivul acestui scop a fost îndeplinit, ele trebuie șterse pentru că nu mai sunt necesare, acest lucru fiind cunoscut sub numele de “dreptul de a fi uitat”.

Conform regulamentului, persoanele vizate pot solicita ștergerea datelor în cazul în care își retrag consimțământul sau se pot opune modului în care acestea sunt procesate. Totodată, controlorul este responsabil să anunțe alte organizații precum Google să șteargă orice link către copii ale acelor date, precum și să șteargă singur copiile din propriile baze de date.

GDPR prevede permiterea colectării datelor în situații speciale:

  • Dacă subiectul și-a dat acordul pentru prelucrarea datelor;
  • Dacă colectarea datelor îndeplinește o obligație sau un contract legal;
  • În cazul în care colectarea datelor se face în vederea protejării unui interes “esențial pentru viața persoanei vizate”;
  • Dacă prelucrarea datelor este în interes public;
  • Dacă prelucrarea datelor este în interesul legitim al operatorului, cum ar fi prevenirea fraudei;

Cel puțin una dintre aceste justificări trebuie să se aplice pentru procesarea datelor în cadrul GDPR.

Consimțământul

În cadrul GDPR, consimțământul pentru colectarea datelor cu caracter personal trebuie să fie o acțiune activă și afirmativă din partea persoanei vizate, comparativ cu modalitatea pasivă de acceptare a căsuțelor prebifate utilizate în prezent.

Conform reglementărilor, controlorii trebuie să țină evidența atât a modului, cât și a momentului în care un individ și-a dat consimțământul ca datele sale să fie colectate. Acesta are dreptul de a-și retrage consimțământul oricând dorește.

Companiile care nu îndeplinesc această condiție trebuie fie să se conformeze, fie să înceteze colectarea datelor.

Ce date sunt clasificate ca date personale

GDPR a extins definiția datelor personale comparativ cu legislația existentă. Tot ceea ce a fost considerat drept date cu caracter personal în conformitate cu Legea privind Protecția Datelor continuă să se califice drept date cu caracter personal în cadrul GDPR, la care se adaugă:

  • Adresele IP – sunt clasificate ca date personale
  • Datele economice, culturale și informațiile de sănătate mintală – sunt clasificate ca informații de identificare personală

Persoanele fizice pot accesa datele stocate

Conform GDPR:

  • Persoanele fizice pot solicita accesul la datele lor la intervale rezonabile, iar controlorii trebuie să răspundă solicitării lor într-un interval specificat de o lună.
  • Persoanele fizice au dreptul de a accesa toate informațiile pe care o companie sau o organizație le poate deține despre ele.
  • Persoanele fizice au dreptul de a ști de ce sunt procesate datele lor personale, cât timp vor fi stocate și cine va avea acces la acestea.
  • Persoanele fizice au dreptul de a solicita datele lor personale, iar dacă sunt incorecte sau incomplete, pot solicita rectificarea lor când doresc.

Conform GDPR, controlorii și procesorii trebuie:

  • Să fie pe deplin transparenți în ceea ce privește modul în care colectează datele
  • Să specifice ce intenționează să facă cu datele
  • Să specifice cum procesează datele
  • Să stocheze datele într-un format comun, precum CSV

Ce se întamplă dacă există o încalcare a securității datelor

În cazul încălcării securității datelor, companiile trebuie să informeze autoritatea relevantă pentru protecția datelor în decurs de 72 de ore de la constatarea încălcării.

Cand este raportată o încălcare, autoritatea responsabilă trebuie informată cu privire la:

  • Natura datelor afectate
  • Numărul aproximativ al persoanelor afectate
  • Ce consecințe ar putea implica
  • Măsurile specifice luate sau pe care intenționează să le ia ca urmare a încălcării

Înainte de a informa autoritatea responsabilă, compania trebuie să informeze persoanele afectate. Dacă nu reușește să facă acest lucru în maximum 72 de ore, sancțiunea este de maximum 2% din venitul global anual al companiei sau echivalentul a 10 milioane de Euro, oricare dintre acestea este mai mare.

Ce se întamplă dacă nu respecți prevederile GDPR

Pe lângă sancțiunea acordată pentru nerespectarea informării părților afectate în cazul unei încălcări a datelor, dacă nu sunt respectate principiile-cheie de procesare a datelor, precum obținerea consimțământului corect, respectarea drepturilor persoanelor asupra datelor lor etc., amenzile sunt considerabile. Autoritatea responsabilă cu protecția datelor poate emite o sancțiune de până la 20 milioane de Euro sau 4% din venitul anual global al companiei, oricare dintre ele este mai mare.

Ce trebuie să faci pentru a-ți alinia business-ul la GDPR

Este recomandat să începi pregătirea pentru GDPR cât mai curând posibil:

  • Verifică politicile și dispozițiile existente și, dacă este necesar, numește și instruiește un ofițer de protecție a datelor sau apelează la serviciile DPO disponibile pe piață.
  • Verifică politicile pe care trebuie să le actualizezi sau să le adopți pentru alinierea la noul regulament.
  • Asigură-te că pregătești personalul pentru a îndeplini noile cerințe.
  • Dacă lucrezi cu terțe părți clasificate ca procesatori, verifică politicile lor cu privire la respectarea noilor reglementări.

Dacă ai nevoie de asistență sau consiliere pentru pregătirea afacerii tale în vederea implementării GDPR sau externalizării DPO, contactează-ne la (+4)0743160974 sau contact@gdpradvisors.ro.

Te ajutăm cu drag!

https://gdpradvisors.ro/

Adauga un comentariu

*

Acest site folosește cookie-uri. Continuarea navigării presupune că ești de acord cu utilizarea cookie-urilor. Detalii

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close