Regulamentul General pentru Protecția Datelor va fi adoptat de România 25 mai 2018, iar companiile vor fi obligate să dețină sisteme informatice integrate destinate stocării și prelucrării datelor personale. Companiile care nu vor respecta regulamentul vor primi amenzi uriaşe care ar putea duce la falimentul lor.
Parlamentul European a adoptat în data de 14 aprilie 2016 pachetul legislativ privind protecția datelor personale, ce cuprinde un Regulament General privind Protecția Datelor, cu aplicabilitate directă la nivelul tuturor statelor membre, și o Directivă privind protecția datelor personale în cadrul activităților desfășurate de autoritățile de aplicare a legii. Prevederile Regulamentului au intrat în vigoare odată cu publicarea în Jurnalul Oficial al Uniunii Europene în data de 27 aprilie 2016, dar vor fi aplicabile după expirarea unui termen de 2 ani, începând cu primăvara anului 2018.
Regulamentul asigură dreptul persoanelor vizate de a obține informații clare și cuprinzătoare cu privire la scopul și modul în care le sunt prelucrate datele personale, și exprimă într-o manieră mai clară dreptul de a fi uitat. De asemenea, documentul prevede dreptul la portabilitatea datelor, adică posibilitatea persoanei vizate de a-și transfera în totalitate datele la un alt operator de date, oferindu-i astfel un mai bun control asupra modului în care aceste date sunt prelucrate.
În plus, prin noul Regulament, protecția vieții private a minorilor beneficiază de mai multă atenție, mai ales în mediul online. Regulile stabilite de noul document sunt aplicabile tuturor operatorilor de date, indiferent de locul unde sunt stabiliți aceștia, în măsura în care serviciile acestora presupun prelucrarea datelor personale ale cetățenilor Uniunii Europene. În același timp, Regulamentul vine în sprijinul operatorilor de date și împuterniciților acestora, stabilind un set unic de reguli aplicabile pe teritoriul întregii Uniuni Europene. Astfel, sunt reduse în mod semnificativ și procedurile administrative pe care operatorii de date trebuie să le urmeze, fiind oferită posibilitatea de a avea un “interlocutor” unic la nivel european.
Regulamentul General privind Protecția Datelor (General Data Protection Regulation – GDPR) trebuie să-și producă efectele începând cu data de 25 mai 2018, în România, iar din acel moment sistemele informatice ale companiilor ce stochează date personale vor trebui să permită un control foarte bun al identității utilizatorilor și al accesului la acestea, urmând principiul “Privacy by Design”.
Sistemele informatice trebuie să poată raporta în termen de 72 ore incidentele de pierdere a datelor cu caracter personal, iar în funcție de magnitudinea pierderii de date pot fi aplicate amenzi în cuantum de 4% din cifra globală de afaceri a societății respective, nu doar a entității acelei societăți care a pierdut informațiile cu caractere personal.
Dispariția unor companii
Una dintre noțiunile vehiculate în GDPR este legată de faptul că dacă o persoană, de exemplu, părăsește o anumită companie are dreptul ca, într-un termen definit de trei ani, toate datele asociate acelei persoane să fie șterse din sistemele informatice ale societăților, lucru care este aproape imposibil la noi din cauză că avem date nestructurate în proporție de peste 50%, stocate de fiecare persoană juridică. Drept urmare, noi avem la acest moment imposibilitatea de a identifica datele de identificare a unor persoane, asociate unui angajat și pentru ca apoi să le putem șterge. Practic, nimeni nu are un sistem informatic care să permită identificarea acelor date personale pentru a le putea șterge în momentul în care se renunță la un angajat. Nerespectarea noului Regulament duce la aplicare unor amenzi uriașe, covârșitoare. Se situează într-o zonă în care un business poate să dispară, din cauza neaplicării Regulamentului. Noul Regulament nu este o Directivă, ceea ce înseamnă că nu trebuie adoptat în legislația națională, nu avem nevoie de o lege organică pentru acesta, iar amenzile vor fi aplicate direct.
ANSPDCP va deveni un fel de Consiliul Concurenţei
În ţara noastră, de aplicarea regulamentului european se va ocupa Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP). Activitatea instituţiei se subsumează exigențelor respectării regulilor de prelucrare a datelor cu caracter personal în mediul public și privat, în vederea atingerii dezideratului de asigurare a unei reale exercitări a dreptului la protecția datelor al tuturor persoanelor fizice.
“ANSPDCP va deveni un fel de Consiliul Concurenţei. Ei sunt foarte preocupaţi de subiect, au cerut resurse logistice şi financiare de la Guvern. Companiile vor lua mai în serios datele şi stocarea lor, vor fi mai mature în procesarea lor”, spun oficialii Deloitte.
Măsurile de securitate recomandate de GDPR sunt:
– Pseudonimizare şi criptare
– Să poate fi restabilită disponibilitatea datelor cu caracter personal şi accesul la acestea în timp util, în cazul unor incidente.
– Să se asigure confidenţialitatea, integritatea, disponibilitatea şi rezistenţa continuă a sistemelor şi serviciilor de prelucrare.
– Un proces pentru testarea, evaluarea şi aprecierea periodică a eficacităţii măsurilor tehnice şi organizatorice.
Ce trebuie să ştie companiile
– Clarificarea rolului societăţii
– Consimţământul persoanelor vizate
– Inventar&analiză activităţii de prelucrare a datelor cu caracter personal
– Revenire către persoanele vizate spre informare şi verificare & un nou consimţământ
– Clarificarea temeiului legal al prelucrării datelor
– Numirea unui responsabil pentru protecţia datelor.