Schimbările aduse de noul Regulament General privind Protecția Datelor (GDPR) din 25 mai 2018

Ce implicații au asupra companiilor și ce măsuri pot lua pentru a fi conforme cu noile cerințe

În contextul în care anul viitor va intra în vigoare un nou Regulament UE privind Protecția Datelor (GDPR), companiile trebuie să se pregătească încă de pe acum pentru a preîntâmpina amenzi care pot merge până la 20 milioane de euro sau până la 4% din cifra de afaceri mondială totală anuală.

  • Implicațiile intrării în vigoare a GDPR ating multe paliere din companie, nu se opresc doar la nivelul funcției juridice și de conformare, ci și de cyber security;
  • Regulamentul UE are impact asupra tuturor companiilor din toate industriile; unele industrii sunt mai pregătite decât altele (ex. servicii financiar-bancare), în timp ce altele (ex. media & advertising, precum și furnizorii de servicii online (inclusiv cloud computing)) necesită un efort mai mare;
  • Pe lângă rolul de chief information security officer (CISO), apare un nou rol în companie, acela de data protection officer (DPO), care trebuie să aibă atât cunoștințe juridice cât și tehnice;
  • În funcție de apetitul de risc al fiecărei companii, vor fi necesare investiții de zeci sau sute de mii de euro pentru a asigura conformitatea cu noile reguli;
  • Rolul Autorității Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) sporește, devenind similar cu cel pe care îl joacă Consiliul Concurenței, în special prin prisma faptului că sancțiunile avute în vedere prin GDPR sunt similare, ca modalitate de calcul, cu cele din domeniul concurenței;
  • Cei mai expuși la riscuri și penalizări sunt actorii privați care dețin și folosesc date cu caracter personal (companiile), astfel că primul pas pe care îl au de făcut este să identifice datele personale pe care le dețin, precum si scopurile (motivele) pentru care le prelucrează;
  • Companiile sunt expuse unor riscuri mai mari, astfel că trebuie să-și pună la punct proceduri și politici interne care să asigure conformarea cu GDPR;
  • De asemenea, companiile trebuie să își facă o analiză internă prin care să identifice lacunele existente și să stabilească cadrul de reguli și norme necesare;
  • În caz de incidente, companiile au 72 de ore pentru notificarea autorității din momentul în care au aflat de un posibil caz de încălcare a securității.

Măsuri de securitate a datelor recomandate de Regulament:

  • Pseudonimizare și criptare;
  • Capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența continue ale sistemelor și serviciilor de prelucrare;
  • Capacitatea de a restabili disponibilitatea datelor cu caracter personal și accesul la acestea în timp util, în cazul în care are loc un incident de natură fizică sau tehnică;
  • Un proces pentru testarea, evaluarea și aprecierea periodice ale eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării.

Ce trebuie să conțină notificarea către ANSPDCP

  • caracterul încălcării securității datelor cu caracter personal, inclusiv, categoriile și numărul aproximativ al persoanelor vizate în cauză, precum și categoriile și numărul aproximativ al înregistrărilor de date cu caracter personal în cauză;
  • numele și datele de contact ale responsabilului cu protecția datelor sau un alt punct de contact de unde se pot obține mai multe informații;
  • consecințele probabile ale încălcării securității datelor cu caracter personal;
  • măsurile luate sau propuse spre a fi luate de operator pentru a remedia problema încălcării securității, inclusiv, după caz, măsurile pentru atenuarea eventualelor sale efecte negative.

Ce au de făcut companiile

  • Să obțină consimțământul persoanelor vizate pentru fiecare scop de prelucrare în parte;
  • Obligativitatea informării autorității în max. 72h de la data aflării de un posibil incident;
  • Sancțiuni mărite pentru neconformare.

Sancțiuni

Până la 20.000.000 EUR sau până la 4% din cifra de afaceri mondială totală anuală pentru nerespectarea prevederilor referitoare la:

  • Principii legate de prelucrarea datelor cu caracter personal, inclusiv condițiile privind consimțământul;
  • Drepturile persoanei vizate;
  • Transferul de date cu caracter personal către destinatari aflați în state terțe;
  • Decizii ale autorității de supraveghere.

Până la 10.000.000 EUR sau până la 2% din cifra de afaceri mondială totală anuală

Sancțiuni pentru nerespectare, de exemplu, a prevederilor referitoare la:

    • Obligațiile operatorului și ale persoanei împuternicite;
    • Obligațiile referitoare la organismele de certificare sau codurile de conduită.



Leave a Reply

Your email address will not be published. Required fields are marked *