Cum implementam regulamentul GDPR

 

Din 25 mai 2018 se vor produce schimbări importante în legislația privind protecția datelor personale în Europa, odată cu intrarea în vigoare a Regulamentului (UE) 679/2016, Regulamentul General privind Protecția Datelor Personale. Schimbarile de legislatie vor avea efecte asupra afacerilor mici si mari din Europa si nu numai.
Incepand din luna mai 2018, actul normativ ce se va aplica direct in Romania si in toate statele membre ale Uniunii Europene prevede ca spitalele, firmele de securitate și de asigurări, companiile de transport public, băncile sau furnizorii de internet și telefonie vor trebui să desemneze un responsabil cu protecția datelor personale.
Fiecare companie prelucrează, mai mjult sau mai puțin, date cu caracter personal, fie că această prelucrare se realizează în interes propriu, fie că o realizează în interesul altor companii. Ce înseamnă de fapt tot acest concept al datelor personale? Conceptul are o acoperire largă, făcând aproape imposibil orice prelucrare de date. Prelucrarea datelor angajaților, a datelor clienților în scopuri de marketing, sau a datelor sensibile ale unor clienți (date de sănătate, cazier fiscal sau judiciar etc.), toate aceste situații transformă compania într-un subiect al GDPR. De aceea Data Protection Group vă ajută să fiți pregătiți pentru a înțelege întreg mecanismul GDPR si identificarea primilor pași în conformitate cu noile prevederi legislative europene.

 

Obligația anumitor firme mari de a desemna un responsabil cu protecția datelor personale – DPO

Obligația anumitor firme mari de a desemna un responsabil cu protecția datelor personale (sau DPO, de la „data protection officer”) este prevăzută în Regulamentul General privind Protecția Datelor (sau, pe scurt, GDPR). Aici este vorba in special despre companiile care se ocupă de prelucrarea datelor personale ale persoanelor fizice, de exemplu unitățile medicale, farmaciile, băncile sau magazinele online. Reglementarea legislativă a fost publicată în Jurnalul Oficial al UE și va avea aplicabilitate, începând cu data de 25 mai 2018, în toate statele Uniunii.
Responsabilul va putea să fie ori cineva specializat care deja este la firmă, ori cineva contractat din exteriorul ei doar pentru protecția datelor, iar absența lui va putea fi drastic sancționată
Se recomandă redactarea unor politici interne clare, care să definească mecanismele de prelucrare a datelor, precum si procesele / măsurile corelative ce trebuie urmărite. De asemenea, este necesara trasarea clara a sarcinilor si atributiilor DPO-ului prin fisa postului sau contractul incheiat cu DPO-ul, care să includa sarcini de raportare periodică către conducerea societății în care a fost desemnat.
Nu în ultimul rând, activitatea DPO-ului ar putea fi verificată în contextul auditarii prin intermediul unor terți specialiști (consultanți în securitate cibernetică, așa cum sunt cei de la Data Protection Group, a activității societății de prelucrare a datelor personale sau al unor controale din partea autorității pentru supravegherea prelucrării datelor cu caracter personal.

Cum implementam regulamentul data protection

„Data protection officer” sau DPO – pe scurt

Responsabilul cu protecția datelor („data protection officer” sau DPO, pe scurt) va putea să ocupe, în același timp, și altă funcție. Practic, DPO-ului nu-i va fi interzis să îndeplinească alte sarcini și atribuții în afară de cele specifice funcției sale, dar firmele vor trebui să se asigure că nu apar conflicte de interese. De principiu, DPO-ul nu poate ocupa, în același timp, și o funcție de decizie, pentru a nu se ajunge în situația în care acesta își evaluează propria activitate privind prelucrarea datelor personale.

Exemple concrete de conflicte de interese pot fi considerate urmatoarele:

  • administrator sau director general (apare un conflict de interese general, având în vedere și puterea decizională generală cu privire la activitatea unei societăți);
  • director financiar (decide în aspectele financiare și poate influența decizia de a aproba finanțarea de măsuri de conformare stabilite de GDPR)
  • director de resurse umane (poate influența mecanismele de prelucrare a datelor angajaților, foștilor angajați sau potențialilor angajați);
  • director de marketing (poate influența mecanismele de prelucrare a datelor clienților în activitatea de marketing);

 

Ocuparea funcției de DPO la firme se va face fie prin desemnarea unui angajat propriu (nou sau actual), fie prin contractarea unui colaborator extern: avocat, persoană fizică autorizată, firma de consultanta, etc.
Nerespectarea GDPR poate atrage mai multe tipuri de sancțiuni, inclusiv amenzi de până la 20 de milioane de euro sau 4% din cifra de afaceri globală, oricare dintre acestea este mai mare. În plus, dacă au suferit un prejudiciu, persoanele vizate pot obține despăgubiri care să acopere valoarea acestor prejudicii, iar drepturile lor pot fi reprezentate inclusiv de organisme colective.