Parlamentul European a adoptat în data de 14 aprilie 2016 pachetul legislativ privind protecţia datelor personale, ce cuprinde un Regulament General privind Protecţia Datelor, cu aplicabilitate directă la nivelul tuturor statelor membre, şi o Directivă privind protecţia datelor personale în cadrul activităţilor desfăşurate de autorităţile de aplicare a legii. Prevederile Regulamentului au intrat în vigoare odată cu publicarea în Jurnalul Oficial al Uniunii Europene în data de 27 aprilie 2016, dar vor fi aplicabile după expirarea unui termen de 2 ani, începând cu primăvara anului 2018.

Regulamentul asigură dreptul persoanelor vizate de a obţine informaţii clare şi cuprinzătoare cu privire la scopul şi modul în care le sunt prelucrate datele personale, şi exprimă într-o manieră mai clară dreptul de a fi uitat. De asemenea, documentul prevede dreptul la portabilitatea datelor, adică posibilitatea persoanei vizate de a-şi transfera în totalitate datele la un alt operator de date, oferindu-i astfel un mai bun control asupra modului în care aceste date sunt prelucrate.

În plus, prin noul Regulament, protecţia vieţii private a minorilor beneficiază de mai multă atenţie, mai ales în mediul online. Regulile stabilite de noul document sunt aplicabile tuturor operatorilor de date, indiferent de locul unde sunt stabiliţi aceştia, în măsura în care serviciile acestora presupun prelucrarea datelor personale ale cetăţenilor Uniunii Europene. În acelaşi timp, Regulamentul vine în sprijinul operatorilor de date şi împuterniciţilor acestora, stabilind un set unic de reguli aplicabile pe teritoriul întregii Uniuni Europene. Astfel, sunt reduse în mod semnificativ şi procedurile administrative pe care operatorii de date trebuie să le urmeze, fiind oferită posibilitatea de a avea un “interlocutor” unic la nivel european.

Regulamentul General privind Protecţia Datelor (General Data Protection Regulation – GDPR) trebuie să-şi producă efectele începând cu data de 25 mai 2018, în România, iar din acel moment sistemele informatice ale companiilor ce stochează date personale vor trebui să permită un control foarte bun al identităţii utilizatorilor şi al accesului la acestea, urmând principiul “Privacy by Design”.

Sistemele informatice trebuie să poată raporta în termen de 72 ore incidentele de pierdere a datelor cu caracter personal, iar în funcţie de magnitudinea pierderii de date pot fi aplicate amenzi în cuantum de 4% din cifra globală de afaceri a societăţii respective, nu doar a entităţii acelei societăţi care a pierdut informaţiile cu caractere personal.

Dispariţia unor companii 

Una dintre noţiunile vehiculate în GDPR este legată de faptul că dacă o persoană, de exemplu, părăseşte o anumită companie are dreptul ca, într-un termen definit de trei ani, toate datele asociate acelei persoane să fie şterse din sistemele informatice ale societăţilor, lucru care este aproape imposibil la noi din cauză că avem date nestructurate în proporţie de peste 50%, stocate de fiecare persoană juridică. Drept urmare, noi avem la acest moment imposibilitatea de a identifica datele de identificare a unor persoane, asociate unui angajat şi pentru ca apoi să le putem şterge. Practic, nimeni nu are un sistem informatic care să permită identificarea acelor date personale pentru a le putea şterge în momentul în care se renunţă la un angajat. Nerespectarea noului Regulament duce la aplicare unor amenzi uriaşe, covârşitoare. Se situează într-o zonă în care un business poate să dispară, din cauza neaplicării Regulamentului. Noul Regulament nu este o Directivă, ceea ce înseamnă că nu trebuie adoptat în legislaţia naţională, nu avem nevoie de o lege organică pentru acesta, iar amenzile vor fi aplicate direct.

ANSPDCP va deveni un fel de Consiliul Concurenţei

În ţara noastră, de aplicarea regulamentului european se va ocupa Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP). Activitatea instituţiei se subsumează exigenţelor respectării regulilor de prelucrare a datelor cu caracter personal în mediul public şi privat, în vederea atingerii dezideratului de asigurare a unei reale exercitări a dreptului la protecţia datelor al tuturor persoanelor fizice.

“ANSPDCP va deveni un fel de Consiliul Concurenţei. Ei sunt foarte preocupaţi de subiect, au cerut resurse logistice şi financiare de la Guvern. Companiile vor lua mai în serios datele şi stocarea lor, vor fi mai mature în procesarea lor”, spun oficialii Deloitte.

Măsurile de securitate recomandate de GDPR sunt:

–    Pseudonimizare şi criptare

–    Să poate fi restabilită disponibilitatea datelor cu caracter personal şi accesul la acestea în timp util, în cazul unor incidente.

–    Să se asigure confidenţialitatea, integritatea, disponibilitatea şi rezistenţa continuă a sistemelor şi serviciilor de prelucrare.

–    Un proces pentru testarea, evaluarea şi aprecierea periodică a eficacităţii măsurilor tehnice şi organizatorice.

Ce trebuie să ştie companiile

–    Clarificarea rolului societăţii

–    Consimţământul persoanelor vizate

–    Inventar&analiză activităţii de prelucrare a datelor cu caracter personal

–    Revenire către persoanele vizate spre informare şi verificare & un nou consimţământ

–    Clarificarea temeiului legal al prelucrării datelor

–    Numirea unui responsabil pentru protecţia datelor.

Sursa articol: Capital