Pachetul legislativ adoptat de către Parlamentul European în data de 14 aprilie 2016 cuprinde un Regulament General privind protecția datelor, aplicabil la nivelul tuturor statelor membre, și o directivă privind protecția datelor personale în activitățile desfășurate de către autoritățile de aplicare a legii. În data de 27 aprilie 2016 au intrat în vigoare prevederile Regulamentului, odată cu publicarea în Jurnalul Oficial al Uniunii Europene, însă vor fi aplicabile numai după expirarea unui termen de doi ani, mai exact în primăvara acestui an.
Acesta asigură dreptul persoanelor vizate de a cunoaște modul și scopul în care le sunt prelucrate datele. Totodată, actul prevede dreptul la posibilitatea persoanelor de a-și porta în totalitate datele din posesia unui operator de date, astfel, acestea având un control mai bun asupra modului în care datele lor sunt prelucrate.
Prin noul Regulament, protecția vieții private a minorilor va beneficia de prioritate în mediul online. Documentul stabilește noi reguli care se aplică tuturor operatorilor, indiferent de locul în care aceștia își desfășoară activitatea, atâta timp cât activitatea acestora presupune prelucrarea datelor personale ale cetățenilor UE. Totodată Regulamentul sprijină operatorii de date și pe împuterniciții acestora prin stabilirea unui pachet unic de reguli aplicabile la nivelul întregii Uniuni Europene. În acest fel, vor fi reduse în mod semnificativ regulile administrative pe care operatorii de date trebuie să le respecte, fiind oferită posibilitatea de a avea un „conlocutor” la nivel european.
Regulamentul General pentru Protecția Datelor (General Data Protection Regulation – GDPR) trebuie să fie aplicat și în țară noastră, începând cu data de 25 mai 2018. Din acel moment, toate sistemele IT care stochează date cu caracter personal vor trebui să permită un control al identității utilizatorilor și al accesului la acestea pe principiul „Privacy by Design”.
Acestea vor trebui să poată raporta în maxim 72 de ore pierderea datelor personale, iar în funcție de gravitatea pierderii de date pot fi aplicate amenzi de până la 4% din cifra globală de afaceri a societății respective, nu doar a entității acelei societăți care a pierdut datele cu caracter personal.
Dizolvarea anumitor companii
Una dintre noțiunile stipulate în Regulament vehiculează că dacă o persoană părăsește o companie, aceasta are dreptul să ceară ca în termen de trei ani, toate datele cu caracter personal asociate acelei persoane să fie eliminate din sistemele informatice ale companiei, lucru aproape imposibil de făcut din cauza datelor structurate în proporție de peste 60%, stocate de fiecare persoană juridică. Drept urmare, anumite companii din țara noastră se află în imosibilitatea de a identifica datele unor persoane, asociate unui angajat, pentru ca apoi să poată fi șterse. Nerespectarea acestui Regulament va duce la aplicarea de amenzi covârșitoare. Acesta se găsește într-o zonă în care o afacere poate să dispară din cauza nerespectării Regulamentului. Acest Regulament nu este o Directiva Europeană, asta însemnând că nu trebuie adoptată nici o lege la nivel național, iar amenzile vor fi aplicate direct.
ANSPDCP va fi un fel de Consiliul Concurenței
În România, aplicarea noului Regulament european va fi supravegheată de către Autoritatea Națională de Spuraveghere a Datelor cu Caracter Personal (ANSPDCP). Activitatea acestei instituții se rezumă la verificarea exigentă a respectării regulilor de prelucrare a datelor cu caracter personal în mediul public și privat, asigurând astfel dreptul la protecția datelor al tuturor persoanelor fizice.
GDPR recomandă anumite măsuri de securitate precum:
– Criptare și pseudonimizare;
– Asigurarea confidențialității , disponibilității, integrității și funcționarea continuă a serviciilor și sistemelor de prelucrare;
– Restabilirea disponibilității datelor cu caracter personal și accesului la acestea în timp util, în cazul unor incidente;
– Stabilirea unui proces pentru evaluarea, testarea și aprecierea periodică a eficacității măsurilor tehnice și organizatorice.
Ce trebuie să cunoască companiile
– Stabilirea unei persoane responsabile cu protecția datelor;
– Cunoașterea clară a temeiului legal al prelucrării datelor;
– Inventar și analiză a activității de prelucrare a datelor cu caracter personal;
– Să dețină consimțământul persoanelor vizate;
– Clarificarea rolului societății;
Menționăm faptul că GDPR va permite companiilor care operează date cu caracter personal să externalizeze aceste servicii către terțe companii specializate, fiind posibilă contractarea serviciilor unor specialiști în securitatea și protecția datelor sau avocați.
Comentarii