Schimbările majore pe care le aduce GDPR

Schimbarile majore pe care le aduce GDPR (II)

În cadrul unui eveniment care a avut loc recent, ”Seamless Customer Experience in the GDPR context”, s-a vorbit despre GDPR, schimbare legislativă la nivelul Uniunii Europene, și ce reprezintă, în ansamblu, noile prevederi legale în privința colectării și procesării datelor personale. Iată care sunt principalele schimbări și modalitățile prin care companiile pot face o trecere cât mai firească la noul regulament.

Citește și: Introducere în GDPR: noile reglementări pentru prelucrarea datelor (I)

Schimbările majore pe care le aduce GDPR:

  • consimțământul (cel luat în baza vechilor legislații ar putea să nu mai fie valabil în baza noii legislații și va trebui solicitat din nou, respectând noile exigențe sau operatorul va trebui să găsească un alt temei pentru care prelucrează datele);
  • notificarea breach-urilor (încălcarea securității datelor) în 72 de ore: de exemplu, poate fi un angajat care a uitat să lase baza de date când a plecat acasăs sau un CEO care și-a pierdut laptopul în concediu;
  • dreptul de acces și rectificare, ștergerea datelor (drept de a solicita ștergerea);
  • portabilitatea datelor;
  • privacy by design (de exemplu pseudonimizarea, anonimizarea sau criptarea; asta presupune ca aplicațiile utilizate de către operatorii de date au elemente care să conducă la protecția datelor deja inserate la momentul scrierii) și privacy by default (operatorii trebuie să utilizeze acele default-uri care permit cea mai mare protecție a datelor, adică un număr minim de date, pe o perioadă minimă de timp, șterse pe o perioadă minimă de timp);
  • numirea unui DPO (responsabil cu protecția datelor);
  • obligația de a ține evidența (accountability) datelor cu caracter personal pe care le prelucrează (ce date prelucrează, ce categorii, cât le țin, în ce temei le prelucrează, cui le transmit etc.);
  • DPIA sau Data Protection Impact Assessment (proces destinat să descrie procesarea, să evalueze necesitatea și proporționalitatea unei prelucrări și să ajute la gestionarea riscurilor cu privire la drepturile și libertățile persoanelor fizice care rezultă din prelucrarea datelor cu caracter personal).

Ce trebuie făcut:

Privacy program management

  • audit – legal și IT;
  • trainingul personalului;
  • bugetarea resurselor financiare;
  • reformulare / elaborare politici interne (BYOD / Bring Your Own Device);
  • regândire și modificare documente de personal (roluri, need to know);
  • amendare contracte furnizori;
  • monitorizare flux date;
  • instalare sisteme de ștergere la distanță (remote wipe);
  • echipamente adecvate și aplicații actualizate;
  • program de răspuns la incidente;
  • menținerea legăturii cu autoritățile / DPO;
  • securizarea unor consultanți externi specilizați.

Beneficii:

Avantaje competitive: conform regulamentului, clienții vor trebui să facă diligențe, să se asigure că furnizorii lor respectă legislația datelor cu caracter personal.

Evitarea pierderilor catastrofale de imgine: obligativitatea de a fi la zi cu securitatea datelor și cu politicilie, lucru care ar putea salva compania de la un breach.

Vom reveni asupra acestui subiect și cu alte materiale, în care vom vorbi despre efectele pe care le GDPR asupra companiilor. 

Foto credit: G. Crescoli / Unsplash