GDPR

GDPR

General Data Protection Regulation

Parlamentul European a adoptat in data de 14 aprilie 2016 pachetul legislativ privind protectia datelor personale, ce cuprinde un Regulament General privind Protectia Datelor, cu aplicabilitate directa la nivelul tuturor statelor membre, si o Directiva privind protectia datelor personale in cadrul activitatilor desfasurate de autoritatile de aplicare a legii. Prevederile Regulamentului au intrat in vigoare odata cu publicarea in Jurnalul Oficial al Uniunii Europene in data de 27 aprilie 2016, dar vor fi aplicabile dupa expirarea unui termen de 2 ani, incepand cu primavara anului 2018.

Regulamentul asigura dreptul persoanelor vizate de a obtine informatii clare si cuprinzatoare cu privire la scopul si modul in care le sunt prelucrate datele personale, si exprima intr-o maniera mai clara dreptul de a fi uitat. De asemenea, documentul prevede dreptul la portabilitatea datelor, adica posibilitatea persoanei vizate de a-si transfera in totalitate datele la un alt operator de date, oferindu-i astfel un mai bun control asupra modului in care aceste date sunt prelucrate.

In plus, prin noul Regulament, protectia vietii private a minorilor beneficiaza de mai multa atentie, mai ales in mediul online. Regulile stabilite de noul document sunt aplicabile tuturor operatorilor de date, indiferent de locul unde sunt stabiliti acestia, in masura in care serviciile acestora presupun prelucrarea datelor personale ale cetatenilor Uniunii Europene. In acelasi timp, Regulamentul vine in sprijinul operatorilor de date si imputernicitilor acestora, stabilind un set unic de reguli aplicabile pe teritoriul intregii Uniuni Europene. Astfel, sunt reduse in mod semnificativ si procedurile administrative pe care operatorii de date trebuie sa le urmeze, fiind oferita posibilitatea de a avea un “interlocutor” unic la nivel european.

Regulamentul General privind Protectia Datelor (General Data Protection Regulation - GDPR) trebuie sa-si produca efectele incepand cu data de 25 mai 2018 inclusiv in Romania, iar din acel moment sistemele informatice ale companiilor ce stocheaza date personale vor trebui sa permita un control foarte bun al identitatii utilizatorilor si al accesului la acestea, urmand principiul “Privacy by Design”.

Sistemele informatice trebuie sa poata raporta imediat incidentele de pierdere a datelor cu caracter personal astfel incat societatea sa poata notifica in termen de 72 de ore ANSPDCP bresa de securitate iar in functie de conduita societatii, de magnitudinea pierderii de date si de pagubele suferite de societati pot fi aplicate amenzi in cuantum de 4% din cifra globala de afaceri a societatii respective.

In tara noastra, de aplicarea si supravegherea aplicarii Regulamentului european se va ocupa Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal (ANSPDCP). Activitatea institutiei se subsumeaza exigentelor respectarii regulilor de prelucrare a datelor cu caracter personal in mediul public si privat, in vederea atingerii dezideratului de asigurare a unei reale exercitari a dreptului la protectia datelor al tuturor persoanelor fizice.

Puterile ANSPDCP cresc, amenzile pe care acestia le pot acorda se majoreaza, similar cu puterile Consiliului Concurentei.

Masurile de securitate recomandate de GDPR sunt:

  • Implementarea de masuri tehnice si organizatorice pentru a proteja datele cu caracter personal
  • Pseudonimizare si criptare
  • Sa poata fi restabilita disponibilitatea datelor cu caracter personal si accesul la acestea in timp util, in cazul unor incidente.
  • Sa se asigure confidentialitatea, integritatea, disponibilitatea si rezistenta continua a sistemelor si serviciilor de prelucrare.
  • Un proces pentru testarea, evaluarea si aprecierea periodica a eficacitatii masurilor tehnice si organizatorice.

Ce trebuie sa stie companiile:

  • Clarificarea rolului societatii
  • Consimtamantul persoanelor vizate
  • Inventar & analiza activitatii de prelucrare a datelor cu caracter personal
  • Revenire catre persoanele vizate spre informare si verificare & un nou consimtamant
  • Clarificarea temeiului legal al prelucrarii datelor
  • Numirea unui responsabil pentru protectia datelor.