Modificările generale ale legislației protecției datelor aduse de GDPR

conformitate-gdpr
GDPR

După patru ani de discuţii şi dezbateri, Uniunea Europeană a introdus în primăvara anului 2016 un set de reguli referitoare la protecţia şi posibilitatea de distribuire a datelor cu caracter personal, aplicabile tuturor indivizilor din Uniunea Europeană şi care poartă numele de General Data Protection Regulation (GDPR).

Aceste măsuri au ca principal obiectiv protejarea drepturilor şi libertăţilor fundamentale, cu precădere cele referitoare la datele personale, şi se aplică atât în cazul informaţiilor procesate automat, cât şi în a celor procesate manual.

Unde se aplică noile regulamente?

Un aspect fundamental al acestei noi directive, care a intrat în vigoare în data de 25 mai a acestui an, este faptul că valabilitatea ei este determinată de apartenenţa unei părţi implicate la Uniunea Europeană. Altfel spus, ea se aplică în următoarele cazuri:

  1. Ȋn contextul activităţilor unui operator din Uniunea Europeană, indiferent dacă procesarea datelor are loc sau nu în Uniunea Europeană.
  2. Ȋn prelucrarea datelor unor persoane din Uniune de către operatori care nu sunt stabiliţi aici, în cazul în care activităţile de procesare sunt legate de:
  3. oferirea de bunuri şi servicii subiecţilor din UE, indiferent dacă acestora li se solicită sau nu o plată;
  4. monitorizarea comportamentului şi acţiunilor, atât timp cât acestea au loc în Uniunea Europeană.
  5. Ȋn prelucrarea datelor personale de către un operator care nu este stabilit în UE, ci într-un stat în care legea Statelor Membre se aplică datorită legii publice internaţionale.

Care sunt principiile de bază ale prelucrării datelor?

Pentru a uşura înţelegerea scopului noilor directive, documentul introduce o serie de principii fundamentale care trebuie respectate în procesul de prelucrare a informaţiilor cu caracter personal. Ȋn acest fel, ele trebuie să fie:

  1. procesate legal, echitabil şi într-o manieră transparentă faţă de persoana în cauză;
  2. colectate pentru scopuri specifice şi legitime şi prelucrate într-un mod compatibil cu aceste scopuri iniţiale;
  3. relevante şi limitate la necesarul obiectivelor în vederea cărora sunt procesate;
  4. exacte şi, în cazul în care acest lucru este necesar, actualizate constant; mai mult decât atât, trebuie luate toate măsurile de corectare sau ştergere a datelor personale incorecte;
  5. stocate în aşa fel încât să permită identificarea subiecţilor doar atât cât este necesar, în vederea îndeplinirii scopurilor iniţiale ale prelucrării datelor;
  6. procesate într-un mod care asigură securitatea lor, utilizând măsuri tehnice şi organizaţionale adecvate.

În multe cazuri, putem observa că noile regulamente nu sunt atât de specifice, stabilirea încălcării lor fiind cazuală, în urma analizei autorităţilor naţionale şi internaţionale competente. De exemplu, se cere un nivel de protecţie rezonabil al datelor personale din partea companiilor şi a instituţiilor, fără însă ca el să fie definit cu exactitate. În acest fel, o putere mare de interpretare este acordată organelor punitive.

Ce schimbări introduce GDPR faţă de legislaţia anterioară pentru protecţia datelor?

General Data Protection Regulation nu reprezintă primul set de reguli privind protecţia datelor personale în interiorul Uniunii Europene. Numeroase directive ce vizează această problemă au fost introduse de-a lungul anilor. Vom enumera în continuare principalele noutăţi introduse odată cu adoptarea noului regulament.

  • Creşterea vârstei de consimţământ pentru colectarea datelor de la 13 la 16 ani.
  • Întărirea rigurozității cerințelor pentru obținerea consimțământului, astfel încât acest proces să nu fie abuzat.
  • Necesitatea ca o companie să șteargă toate datele obținute până acum, în cazul în care ele nu mai sunt utilizate în scopul iniţial al colectării lor.
  • Obligaţia unei companii de a şterge datele unei persoane care revocă acordul dat anterior.
  • Datoria unei companii de a informa organele abilitate ale Uniunii Europene la cel mult 72 de ore de la producerea unei breşe informaţionale.
  • Stabilirea unei autorităţi naţionale, la nivelul fiecărui stat membru, care să preia şi să monitorizeze plângerile privind încălcarea GDPR.
  • Desemnarea de către firmele care gestionează o cantitate mare de informaţii personale sensibile sau monitorizează comportamentul multor consumatori a unui responsabil cu protecţia datelor.
  • Amenzi de până la 20 de milioane de € sau 4% din totalul veniturilor companiei pentru nerespectarea noului regulament.

Având în vedere aceste schimbări aduse legislației cu privire la protecția datelor pe teritoriul Uniunii Europene, multe dintre business-uri vor căuta răspunsul la următoarea întrebare: Care sunt pașii ce trebuie urmați în vedere respectării noile Directive Europene? În continuare, vom prezenta câțiva dintre aceștia:

  1. Asigură-te că oamenii de bază din organizaţia ta cunosc schimbările aduse de GDPR. Ei vor trebui să înţeleagă impactul pe care acestea le pot avea şi să identifice zonele vulnerabile. Implementarea regulilor poate consuma resurse semnificative, aşa că nu lăsa totul pe ultimul moment.
  2. Documentează datele personale deţinute şi asigură-te că identifici atât provenienţa acestora, cât şi cu cine le împarţi. De asemenea, construieşte o arhivă pentru toate activităţile de procesare şi actualizează mereu informaţiile. Ȋn acest fel, vei respecta şi principiul responsabilităţii introdus de GDPR. El cere organizaţiilor să prezinte modalităţile prin care se angajează să respecte principiile protecţiei datelor.
  3. Comunică eficient informaţiile cu privire la confidenţialitatea datelor şi revizuieşte-le conform noilor principii. De acum, va trebui să explici oamenilor fundamentele legale ale procesării datelor, să le comunici timpul de stocare şi să îi informezi cu privire la posibilitatea lor de a depune plângeri, în cazul în care nu sunt mulţumiţi de modul de manipulare al datelor.
  4. Asigură-te că procedurile tale de colectare respectă toate drepturile deţinute de fiecare individ, printre care se găsesc cele de informare, acces, ştergere şi procesare. Acum este momentul să îţi revizuieşti practicile şi să stabileşti paşii pe care trebuie să îi urmezi dacă, spre exemplu, cineva îţi cere să ştergi datele sale personale.
  5. Actualizează-ţi procedurile şi fă un plan al onorării cererilor, care să ia în considerare noile reguli:
  • Ȋn cele mai multe cazuri, nu vei putea taxa cererile.
  • Timpul disponibil pentru îndeplinirea cererilor va fi de o lună, nu 40 de zile.
  • Poţi taxa sau refuza cererile care sunt nerezonabile sau nefondate, dar trebuie să oferi motivele clare ale refuzului.
  1. Identifică bazele legale pentru activităţile de procesare şi actualizează termenii de confidenţialitate. Conform GDPR, drepturile individuale variază în funcţie de bazele legale oferite pentru procesarea datelor. Spre exemplu, o persoană va avea o justificare mai puternică de a cere ştergerea datelor, dacă procesarea lor a avut ca fundament legal consimţământul. De asemenea, va trebui să incluzi bazele legale în termenii tăi de confidenţialitate şi atunci când răspunzi la o cerere de acces din partea unui subiect.
  2. Revizuieşte procedurile de căutare, obţinere şi înregistrare a consimţământului indivizilor şi confirmă vechile acorduri care nu respectă regulamentele introduse prin GDPR. El trebuie să fie neconstrâns, informat, lipsit de ambiguitate şi trebuie oferit în mod pozitiv, altfel spus el nu poate fi derivat din inactivitate sau lipsa de exprimare a opiniei. Mai mult decât atât, acesta trebuie separat de alţi termeni şi condiţii, iar retragerea sa trebuie să urmeze un proces simplu.
  3. Pune în practică sisteme prin care să verifici vârsta subiecţilor şi să obţii un acord parental pentru persoanele sub 16 ani. Noul regulament oferă o protecţie sporită acestei categorii, cu precădere în privinţa comerțului online. Acest fapt poate avea implicaţii considerabile în cazul în care organzaţia ta oferă servicii online pentru copii şi colectează datele lor personale.
  4. Asigură-te că implementezi procedurile necesare în vederea detectării, raportării şi investigării scurgerilor de informaţie. Ȋn cazul în care breşa nu este semnificativă, anunţă doar individul a cărui date personale au fost compromise. Dacă aceasta prezintă însă un risc pentru drepturile şi libertăţile indivizilor (discriminare, deteriorarea reputaţiei, pierderi financiare, pierdere a confidenţialităţii), ai datoria de a informa într-un termen de 72 de ore organele abilitate naţionale sau internaţionale.

Sperăm că am reuşit să răspundem la întrebările tale cu privire la noile reglementări în sfera protecţiei datelor personale şi a implicaţiilor acestora. Anumite puncte rămân încă vagi şi vor fi dezvoltate în timp, în urma aplicării lor.

LĂSAȚI UN MESAJ

Please enter your comment!
Please enter your name here

This site uses Akismet to reduce spam. Learn how your comment data is processed.