Intrarea în vigoare a Regulamentul General privind Protecția Datelor Personale pune în dificultate pe mulţi dintre noi deoarece nu stim care sunt obligaţiile particulare care îi revin fiecărei firme.
Toată lumea ştie că din data de 25 mai 2018 se vor produce schimbări importante în legislația privind protecția datelor personale în Europa, odată cu intrarea în vigoare a Regulamentului (UE) 679/2016, cunoscut drept Regulamentul General privind Protecția Datelor Personale. Specialiștii spun ca asistăm chiar la o adevărată revoluție în domeniu, dacă analizăm magnitudinea la care schimbările din legislație vor afecta bunul mers al afacerilor mici și mari din Europa și nu numai.
La o simplă căutare aflăm doar obligaţii generale, aşa că, să începem cu începutul: Ce este GDPR?
Potrivit noutăţilor legislative, Regulamentul General privind Protecția Datelor Personale, pe scurt GDPR, încearcă să clarifice unele dintre ambiguitățile existente în prezent și chiar să extindă datele cu caracter personal în câteva cazuri, de exemplu, în ceea ce privește datele personale sensibile.
Ce aduce nou Regulamentul?
RGPD clarifică faptul că conceptul de date cu caracter personal include identificatorii online și datele despre locație – ceea ce înseamnă că definiția legală a datelor cu caracter personal spune acum fără îndoială că adresele IP, ID-urile dispozitivelor mobile și altele asemenea sunt personale și trebuie să fie protejate în consecință. Acest lucru înseamnă că aceste tipuri de date vor fi supuse în prezent echității, legalității, securității, exportului de date și altor cerințe privind protecția datelor, la fel ca orice alt tip de date cu caracter personal “obișnuit”.
RGPD introduce un nou concept de “date pseudonime” – în termeni simpli, date personale care au fost supuse unor măsuri tehnologice (cum ar fi hashing sau criptare) astfel încât să nu mai poată identifica direct o persoană fără a utiliza informații suplimentare. Datele pseudonime sunt încă considerate un tip de date cu caracter personal și, prin urmare, fac obiectul cerințelor RGPD. Pe de altă parte, organizațiile care pseudonimează datele lor vor beneficia de relaxarea anumitor dispoziții ale RGPD, în special în ceea ce privește cerințele de notificare a încălcării datelor (deoarece pierderea datelor pseudonime este puțin probabil să creeze riscuri de vătămare – articolele 33 și 34) , posibilitatea unei scutiri de la necesitatea de a se conforma cererilor de acces la date, corecții, ștergere și transfer de date (articolul 11) și o mai mare flexibilitate în crearea de profiluri fără consimțământul persoanelor vizate. De asemenea, RGPD încurajează pseudonimizarea în scopul creșterii securității și a confidențialității. Astfel, organizațiile vor avea motive pentru a utiliza tehnologii de pseudonimizare a datelor în cadrul GDPR pentru a diminua obligațiile de conformitate și pentru a-și gestiona riscurile.
Companiile care au o monitorizare regulată şi sistematicp a persoanelor la scara larga sau proceseaza o mulţime de date sensiblie cu caracter personal trebuie sp angajeze un ofiţer de protectie a datelor (OPD). Pentru multe organizaţii care fac obiectul GDPR, acest lucru poate însemnă necesitatea de a angaja un nou membru al personalului, deşi companiile mai mari şi autoritatile publice pot avea deja persoane în acest rol. Astfel încât, persoana care va deţine aceasta poziţie va fi persoana de contact între companie şi Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal şi va trebui să raporteze membrilor personalului de conducere, să monitorizeze conformitatea cu GDPR şi totodata să fie un punct de contact pentru angajaţi şi clienţi.
De asemenea, pentru companii mai există şi cerinţa de a obţine consimtamantul pentru prelucrarea datelor în anumite situaţii. Atunci cand o organizaţie se bazeaza pe consimţământul de a folosi în mod legal informaţia unei persoane, trebuie să explice în mod clar la ce se referă acest consimţământ înainte să obţina un rîspuns pozitiv.
Unul dintre cele mai mari şi cele mai discutate elemente ale GDPR este puterea autorităţilor de reglementare de a amenda companiile care nu se conformează acesteia. Dacă o organizaţie nu procesează datele individului în mod corect, poate fi amendată. În cazul în care o organizaţie are obligaţia de a avea un ofiter de protecţie al datelor şi nu are, aceasta poate fi amendată sau dacă există o încalcare a securităţii, poate fi la fel, amendată.
Chiar dacă termenul de intrare în vigoare a Regulamentului este aproape, aşteptăm o procedură care să clarifice modul de implementare a acestuia.