Introducere în GDPR: noile reglementări pentru prelucrarea datelor

Introducere in GDPR: noi reglementari pentru prelucrarea datelor (I)

La nivel mondial, doar 9% dintre companii respectă regulamentul european pentru protecția datelor, care va intra în vigoare în 2018. General Data Protection Regulation sau, pe scurt, GDPR, este cea mai mare schimbare legislativă la nivelul Uniunii Europene din ultimii 20 de ani și va aduce amenzi de 20 de milioane de euro pentru companiile și autoritățile publice care nu îl respectă. Era nevoie de această nouă legislație care să fie în acord cu evoluția tehnologie și cu evoluția socială de care am avut parte în acești peste 20 de ani.

GDPR-ul urmărește protejare datelor cu caracter personal. Ce înseamnă date cu caracter personal? Înseamnă orice informație privind o persoană fizică identificată sau identificabilă. Vorbim despre informațiile din buletin, cookie-uri, informații singure sau coroborate cu altele care pot să ducă la identificarea persoanei.

De exemplu, să spunem că apare un articol sau un reportaj despre un CEO care are un salariu de câteva milioane de euro, într-o industrie de nișă, fără să se precizeze numele CEO-ului sau numele companiei. Nivelul salariului lui poate fi catalogat ca dată personală, pentru că, într-o industrie de nișă, nu sunt foarte multe companii sau foarte foarte mulți CEO care să câștige acel nivel de salariu anual. Drept urmare, a publica această simplă cifră ar putea să transforme instituția într-un operator de date cu caracter personal.

O dezbatere pentru a informa reprezentanții companiilor a avut loc ieri, 2 noiembrie 2017, în cadrul evenimentului ”Seamless Customer Experience in the GDPR context”, organizat de către Salesforce. Avocatul Andreea Vlănțoiu, Data Protection Officer certificat internațional, a explicat în acest context care sunt pașii legali care trebuie îndepliniți pentru protejarea datelor clienților și angajaților, în acord cu regulamentul european. La întâlnire au participat CEO ai companiilor, specialiști IT și jurnaliști.

„Toate autoritățile și entitățile publice trebuie să ia măsurile necesare pentru a respecta noile reglementări. De asemenea, absolut toate companiile vor trebui să își reviziuiască procesele și politicile interne cu privire la prelucrarea datelor cu caracter personal, indiferent de dimensiunile lor sau cifra de afaceri. Este suficient ca o companie să aibă clienți sau angajați pentru a se cosidera că prelucrează date cu caracter personal”, a declarat avocatul Andreea Vlănțoiu, Data Protection Officer (DPO).

Legislația va intra în vigoare în mai 2018 și, până atunci, toate entitățile care prelucrează asemenea informații ar trebui să contracteze specialiști care să armonizeze procesarea datelor cu prevederile noii legi. Avocatul a ținut să menționeze faptul că nu există o perioadă de grație, așa cum presupune multă lume, întrucât acum suntem în acea perioadă de pregătire. Asta pentru că regulamentul a fost adoptat în 2016 și a fost în dezbatere timp de patru ani. Astfel, se presupune că, până acum, companiile ar fi trebuit să fie suficient de diligente încât să ia deja măsurile, să fie în conformitate cu acest regulament.

„Cele mai expuse vor fi în mod evident companiile care prelucrează un numar mare de date cu caracter personal (mall-uri online, retaileri, asiguratori, bănci), companiile care prelucrează categorii speciale date, cum ar fi datele privitoare la sănătate (clinici,  spitale) și cele care transmit date către țări din afara UE (companii de turism, companii aeriene)”, a mai declarat Andreea Vlănțoiu.

Legat de modul în care ar trebui interpretat regulamentul, avocatul spune că sunt destul de multe dispoziții și va trebui să ne dăm seama dacă ele sunt „puțin obligatorii” sau „foarte obligatorii”, dacă vor avea un impact puternic sau vom putea găsi niște soluții.

Sancțiunile pe care le aduce GDPR-ul sunt istorice, comparabile cu cele din dreptul concurenței. Vorbim despre două paliere de sancțiuni. Palierul cel mai mare, de 4% din cifra de afaceri mondiale sau 20 de milioane de euro, vine pentru încălcări ale principiilor fundamentale cu privire la protecția datelor și pentru încălcări ale drepturilor persoanelor. Aici vorbim despre încălcarea dreptului de acces la date, dreptul la ștergerea datelor (numit și dreptul de a fi uitat), încălcarea dreptului la portabilitate.

Un alt palier de amenzi este de 2% sau 10 milioane de euro și privește niște lucruri pe care le putem considera mai ieftine. De exemplu, poate fi vorba despre obligația operatorului de date de a notifica un breach (încălcarea securității datelor).

Totuși, există și posibilitatea avertismentelor și posibilitatea ca aceste sancțiuni să fie aplicate în cuantumuri mai mici, în funcție de gravitatea încălcărilor.

„Din câte am înțeles, punctul de vedere al Autorității Naționale de Supraveghere este că nu va aplica din 25 mai, 2018, că dorește să lucreze cu operatorii de date cu caracter personal, că dorește să-i ajute să devină în conformitate cu legislația, să-i sfătuiască, dar că nu va avea rețineri să aplice astfel de amenzi atunci când va avea de-a face cu încălcări flagrante ale legislației”, a mai spus avocatul Andreea Vlănțoiu.

Vom reveni asupra acestui subiect cu un alt material, în care vom vedea care sunt schimbările majore pe care le aduce GDPR, cum va afecta companiile de diferite dimensiuni și ce pot face acestea pentru o trecere cât mai firească la noul regulament.

Foto credit: arvin febry / Unsplash