GDPR – Noile Reglementari Europene (General Data Protection Regulation)
Ce înseamnă noile reglementări GDPR pentru tine și afacerea ta?
Ce înseamnă GDPR si ce face?
Uniunea Europeana (UE) a schimbat regulile privind protecția datelor. Schimbările sunt acum reguli si vor intra in vigoare in UE începând cu 25 Mai 2018. Noile reguli se numesc GDPR – General Data Protection Regulation si aplica atât in sectorul public cat si la afacerile mici si mijlocii.
Aceste schimbări vor afecta felul in care funcționează firmele. In acest document am alcătuit o mica introducere in GDPR, in special cum afectează lucrul la birou.
Ce este protecția datelor?
In UE exista o serie de legi pentru colectarea si procesarea datelor cu caracter personal. Oricine colectează sau procesează date personale trebuie sa protejeze si sa se asigure ca sunt in concordanta cu o serie de reglementari legale. GDPR este un upgrade la aceste reglementari.
Aceste reguli se aplica datelor electronice si fizice?
GDPR se va aplica atât datelor electronice (precum email-uri sau baze de date) cat si documentelor fizice (cu câteva excepții). Asta înseamnă ca avem responsabilități inclusiv cu documentele fizice, pe care trebuie sa le păstram in siguranța si sa le distrugem in siguranță atunci când nu mai este nevoie de ele.
Ce amenzi există pentru nerespectarea reglementărilor?
Sub noile reglementari, instituțiile responsabile cu implementarea lor pot impune amenzi de maxim 20 milioane Euro sau 4% din cifra de afaceri. Nu toate amenzile vor atinge pragul maxim, o amenda oricât ar fi valoarea ei nu este o opțiune pentru companii.
Companiile vor fi nevoite sa facă mai mult?
Organizațiile vor avea mai multe responsabilități si obligații. Concret, firmele vor fi nevoite sa implementeze masuri tehnice si organizaționale pentru a se asigura ca datele prelucrate sunt in concordanta cu noile reglementari. Firmele vor fi nevoite sa evalueze nivelul potrivit de securitate si sa considere riscul pe care îl prezinta in prelucrarea datelor, in special prin accidente sau distrugerea nepotrivita. Vor trebui sa poată arata măsurile pe care le-au luat in direcția noilor reglementari. O parte foarte importanta este verificarea cui i se trimit si prin ce programe trec datele personale – Ex. Email, Server, Terți.
Exista exemple de cazuri unde s-au întâmplat accidente referitoare la protecția datelor?
Recent, in UK, instituția responsabila cu protecția datelor (Information Commissioner’s Officer, a amendate o instituție publica cu 100.000 de lire pentru ca nu a implementat masurile necesare de securitate sa protejeze pierderea accidentala si distrugerea datelor. Documente care conțineau date cu caracter personal a peste 100 de oameni (adulți si copii aflați in circumstanțe vulnerabile) au fost găsite după ce instituția amendata si-a mutat sediul lăsând in urma documente care conținea informații sensibile.
In Olanda, câțiva operatori de transport public au fost amendați pentru ca țineau date tranzacționale mai mult decât era necesar. Operatorilor le-au fost inițial opțiunea de a șterge sau de a anonimiza datele. Aceștia au decis sa le anonimizeze, însă pentru un operator anonimizarea nu a fost implementata corect, astfel primind o amenda de 125.000 Euro.
In Spania au fost mai multe amenzi date de către instituția responsabila cu protecția datelor. Documente care conțineau date cu caracter personal erau aruncate in coșuri de gunoi sau la pubele publice. In cel puțin un caz, documentele erau distruse doar partial, dar in cele mai multe cazuri documentele nu erau distruse deloc.
Va trebui sa prioritizezi protecția datelor in tot ce fac?
Securitatea datelor trebuie sa fie in toate procesele companiei. Afacerile vor fi nevoite sa se asigure ca se procesează doar datele personale care chiar trebuie procesate.
Ca rezultat, câteva întrebări pe care sa le punem:
- Am nevoie de aceasta informație cu caracter personal?
- Am nevoie sa procesez aceasta informație cu caracter personal?
- Cei care au acces la aceasta informație ar trebui sa aibă acces?
- Informațiile sunt expirate?
Va fi necesar un consimțământ pentru prelucrarea datelor?
In general trebuie sa existe un motiv legitim pentru procesarea datelor cu caracter personal. Daca consimțământul este obligatoriu începând cu noile reglementari, acesta va fi necesar sa fie dat printr-o acțiune activa (ex. bifarea unei căsuțe) si nu una pasiva (ex. inactivitate la o informarea oferita). Companiile vor fi nevoite sa poată demonstra procesul prin care consimțământul a fost dat. Trebuie sa ne asiguram ca procesul colectării datelor este unul conform reglementarilor.
Exista drepturi noi?
O serie de noi drepturi au fost introduse:
- Dreptul de a fi uitat – Permite persoanelor sa solicite ștergerea informațiilor cu caracter personal.
- Dreptul la portabilitate – Permite oamenilor sa solicite ca informațiile lor sa fie păstrate într-un format comun care poate fi transferat.
- Dreptul la obiecție – Permite oamenilor sa obiecteze la categorisirea lor in scopuri de promovare într-o acțiune de marketing direct.
Ce se întâmpla cu persoanele care solicita sa vadă datele despre ei?
Dreptul persoanelor de a își vedea datele, tehnic se numește Subject Access Requests (SAR), continuă sub noile reguli. Acest proces permite oricui sa exercite dreptul de a obține acces la informațiile deținute despre ei. Sub noile reguli SAR, trebuie răspuns in termen de o luna de la primirea solicitării. Iar posibilitatea firmelor de a solicita o suma de bani pentru a răspunde la aceasta solicitare a fost scoasa. A fost o creșterea signifianta in numărul de solicitări SAR – Când acestea se vor face gratis va avea loc o creștere si mai mare. Ținând cont de creșterea comunicării prin email si aplicații cloud, SAR s-ar putea sa coste si mai mult ținând cont de complexitatea datelor care se solicita.
O parte esențială pentru viitorul oricărei organizații va fi implementarea unui proces care sa răspundă solicitărilor SAR.
Voi avea nevoie de un Ofițer pentru protecția datelor?
Posibil. Sub noile reglementari GDPR autoritățile publice trebuie sa aloce un ofițer al protecției datelor (Data Protection Office – DPO). In unele circumstanțe un DPO va trebui numit si pentru companiile din Romania. Este necesar o consultanta legala pentru a identifica daca compania ta va avea nevoie de aceasta noua poziție in firma. Privind numărul mare de reglementari, este totuși recomandat pana si pentru companiile mici si mijlocii sa aloce un DPO care sa preia responsabilitatea implementării tuturor acestor noi reguli.
Va trebui sa raportez erori in sistemul de date?
Asigurarea ca datele sunt in siguranța este una din cele mai importante reguli.
Ce înseamnă o eroare in sistemul de date poate include multe situații, precum distrugerea, pierderea, alterare sau folosirea neautorizata a datelor cu caracter personal.
Aceste erori vor trebui raportate (împreuna cu masurile luate pentru a minimiza eroarea) către instituția responsabilă cu protecția datelor in termen de 72 de ore de la luarea la cunoștința a erorii.
Oameni care pot fi afectați trebuie înștiințați (aici nu este dat un termen limita) când se ia la cunoștința de eroare. Există însă si aici excepții pentru când se raportează si când nu, de aceea recomandăm consultanță legală în această cauza.
Exista compensații?
Ca regulă generală, oricine are de suferit pe urma unor erori din cauza datelor personale care nu au fost păstrate in siguranța de către operator va putea cere despăgubiri. Afacerile vor fi nevoite sa facă maximul posibil pentru a minimiza pagubele care pot fi provocate in urma a astfel de erori.
Va fi nevoie sa se facă o evaluare a impactului privind prelucrarea datelor personale?
Sub noile reguli aceasta evaluare se numește Data Protection Impact Assessments (DPIAs). Unde operațiunile care procesează date (in mod particular cele folosind noi tehnologii) sunt cu risc ridicat pentru drepturile si libertățile oamenilor. O evaluare a impactului este necesar in prelucrarea operațiunilor înainte ca operațiunile să se poată desfășura.
DPIAs vor deveni comune si vor fi foarte utile pentru afaceri in adresarea atât problemelor de siguranța datelor prelucrate cu risc ridicat cat si de minimizarea riscurilor in caz de folosirea nejustificata sau greșită a datelor cu caracter personal.
S-a schimbat ceva privind transferul de date in tarile din lumea a 3a?
Nu chiar. Anumite legi privind transferul de date din tarile membre UE către tarile din lumea a 3a (incluzând SUA) rămân la fel in urma adoptării GDPR, incluzând necesitatea ca datele transferate pot avea loc doar sub nivelul adecvat de protecție dat de tarile participante. Sub noile reguli, acest regim doar a devenit mai detaliat.
Ce trebuie făcut acum?
- Pune la punct un proces de evaluare a impactului procesării datelor cu caracter personal – Inventariere si traseul datelor împreuna cu zonele de risc.
- Revizuirea contractelor cu partenerii – Vom avea nevoie de ajutorul partenerilor pentru a pune la punct un raport de securitate, așadar noile contracte va trebui sa aibă paragrafe referitoare stric la prelucrarea datelor.
- Trebuie făcut un Update la sistemul de gestiune si constituite documente detaliate privind masurile luate pentru păstrare in siguranță a datelor care să poată fi prezentate într-un control.
- Revizuirea aspectelor practice incluzând modalitatea de păstrare a datelor folosite de către companie.
- Un plan de distrugere sau ștergere a datelor de care nu ai nevoie.
- Sa ne asiguram ca aspectele noi precum consimțământul explicit, dreptul de a fi uitat, portabilitatea datelor si dreptul la obiecție sunt incluse în clauzele și procedurile companiei.
- Procedurează un plan de notificare a instituțiilor responsabile in cazul erorilor care pot apărea in prelucrarea datelor.
- Numește o persoană responsabilă Data Protection Officer
- Informarea si Reinformarea angajaților și tuturor persoanelor din companie care intra in contact cu date si documente sensibile.
- Stabilește si ia parte la audituri care te vor ajuta sa identifici si sa rectifici diverse probleme ce pot apărea.
Articol preluat de pe CLICK PENTRU SURSA.