Din 25 mai 2018, toate companiile și instituțiile care administrează date cu caracter personal se pot aștepta să fie contactate de clienții care doresc să afle de unde au făcut rost de datele acestora. Însă acesta e doar începutul. Pot fi chemate în instanță și obligate să-și golească buzunarele cu până la 20 de milioane de euro sau 4% din cifra de afaceri.
De ce? Pentru că cea mai mare schimbare la nivel european din ultimii 20 de ani privind GDPR (General Data Protection Regulation) va intra în vigoare. Începând cu această dată, politicile și procedurile ce țin de date personale, care de multe ori există doar de formă, devin probe în instanță.
Un articol care aduce explicații și numește cele mai importante 7 schimbări impuse de noul regulament de protecție a datelor cu caracter personal.
Contextul
Legea a fost dezbătută timp de 4 ani și a fost adoptată încă din aprilie 2016. S-a oferit deci un timp de aliniere la noile reglementări de 2 ani, fără folos însă. Deși a trecut mai mult de 1 an de la aprobare, subiectul abia a început să fie discutat. Puține companii au pornit demersurile pentru a se asigura că vor fi pregătite când legea va fi adoptată.
În România există și acum reglementări cu privire la acest subiect. Avem un context legal, însă puțini se preocupă cu adevărat de acesta. Este vorba despre Legea 677/2001, ce transpune în legislația noastră o directivă europeană în acest domeniu, și Legea 365/2002 a Comerțului Electronic.
Odată implementată, noua legislație GDPR se va aplica unitar la nivelul UE. Astfel, vizează inclusiv companii ce nu au sediul în Europa, însă prelucrează date ale cetățenilor uniunii (exemplu: livrează bunuri în UE).
Deși noua lege urmărește să alinieze țările din UE, aceasta spune că fiecare țară are dreptul de a adăuga restricții și mai dure pe lângă cele stabilite la nivel european.
Acum că am stabilit câteva aspecte legate de context, sa aflăm cele mai importante 7 schimbări aduse de GDPR.
1.Noi tipuri de date încadrate în definiție
Conceptul de date personale este foarte larg. Acesta conține orice fel de date care pot identifica direct sau indirect o persoană. Pe lângă datele evidente, cum ar fi numele, CNP-ul, alte exemple sunt: numărul de la mașină, fotografii, radiografii, apartenența la un crez politic (categorii speciale de date).
Noutatea este că și cookie-urile și IP-urile (în unele situații) vor fi de acum considerate date cu caracter personal. Aviz așadar celor care au site-uri sau alte instrumente digitale.
2.Două roluri legale: operator și procesator
Legea definește două roluri importante: cel de operator și cel de procesator (sau persoană împuternicită). Cei 2 jucători au responsabilități diferite și sunt trași la răspundere diferit.
Prima categorie definește în numele cui se colectează datele. Cea de-a doua definește partea care prelucrează datele cu caracter personal în numele operatorului. Deși în final procesatorul este cel care jonglează cu datele, acesta este obligat să le prelucreze exact cum stabilește operatorul.
În calitate de operator, o companie trebuie să poată răspunde la o întrebare critică: de ce colectează anumite date. Răspunsul la întrebare definește scopul prelucrării și, în consecință, durata stocării. Dacă în sistemul unei companii există date care nu se potrivesc scopului prelucrării, compania nu are voie să păstreze acele date.
Însă datele cu caracter personal nu pot fi șterse fizic. Ba, mai mult, unele trebuie păstrate prin lege o anumită perioadă de timp. Un client nu poate cere unei companii să șteargă o factură a sa. În acest caz, ștergerea datelor despre o anumită persoană trebuie privită altfel, ca o interdicție de a mai folosi acele date în oricare mod.
3.Despre consimțământ
Chiar dacă o companie are o bază de date până la 25 mai 2018, ele trebuie să rețină că aceasta se va reseta. Este ca și cum nu a existat nimic, așa că trebuie să se ceară din nou consimțământul. Acordul va trebui să fie o probă inatacabilă în fața unei instanțe, dacă este cazul.
Acordul trebuie să fie formulat în termeni accesibil oricui: clar, concis, explicit. Clientul trebuie să înțeleagă ce date i se colectează, ce se întâmplă cu ele, cât timp vor fi stocate.
Consimțământul nu poate să fie tacit, ci oferit explicit de către client. Opțiuni de genul căsuțe pre-bifate pe un website sau mesajele ca Navigarea pe acest website presupune acceptarea privind folosirea politicii de cookies nu sunt acceptate.
Nu este admisă nici condiționarea acordului. Un serviciu sau bun nu poate fi condiționat de exprimarea consimțământului datelor personale. În plus, trebuie să existe posibilitatea de retragere a acordului oricând se dorește.
4.Responsabili desemnați pentru categorii speciale de date
Există categorii speciale de date cu caracter personal. Aici se încadrează date despre sănătate, date biometrice sau alte date din categorii sensibile (en: sensitive).
Toate organizațiile care operează cu aceste tipuri de date vor fi obligate să aibă responsabili cu protecția datelor cu caracter personal sau DPO (Data Protection Officer). Nu doar spitalele se încadrează aici, ci și companiile care lucrează cu camere de supraveghere și fac prelucrare de date pe scară largă – aviz mall-urilor.
Chiar dacă o companie va desemna un responsabil cu protecția datelor cu caracter personal, acesta va avea un grad de independență, având mai mult un rol de sfătuitor. În plus, în cazul unui incident, nu acesta va fi tras la răspundere, ci tot managementul companiei.
Așadar, GDPR înseamnă joburi noi create, pregătire pentru aceste noi joburi și alocări bugetare noi din partea organizațiilor.
5.Amenzi usturătoare
Amenzile sunt de până la 10 mil. de euro sau 2% din cifra de afaceri sau până la 20 mil. euro sau 4% din cifra de afaceri, luându-se valoarea cea mai mare. Instanța decide de la caz la caz cuantumul amenzii, în funcție de articolele care sunt încălcate.
Totuși, e important de reținut că Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal nu se autosesizează.
6.Bugete pregătite
GDPR presupune că organizațiile de toate mărimile, dar în special instituțiile publice, trebuie să bugeteze pentru 2018 cuantumul de care are nevoie pentru a fi în conformitate cu legea până la sfârșitul lui mai. Este posibil să fie nevoie de noi angajați, consultanță de specialitate, modificări ale instrumentelor de marketing.
Totuși, avem vești bune pentru companiile mici și mijlocii: cele cu mai puțin de 250 de angajați nu vor trebui să păstreze evidențe cu privire la activitățile de prelucrare.
7.Schimbări și pentru clienți
GDPR este importantă nu doar pentru companii, ci și pentru toți oamenii din postura de client. Noul regulament protejează consumatorii, vizând afectarea vieții private a fiecărui om și referindu-se la drepturile și libertățile fundamentale ale omului.
Ca și client, orice persoană are dreptul ca începând din 25 mai 2018 să ceară oricărei organizații să îi pună la dispoziție, într-un format structurat, toate datele personale pe care le are despre acesta. Dacă în termen de o lună organizația respectivă nu livrează datele, organizația e pasibilă unei amenzi administrative, iar clientul are dreptul să îi dea în judecată. În plus, persoana prejudiciată poate obține despăgubiri care să acopere valoarea daunelor.
Exemple
Să luăm numai două exemple pentru a înțelege cum se aplică GDPR.
De reținut
În final, iată cele mai importante 3 puncte de reținut referitor la noua legislație:
Articolul este făcut în colaborare cu Adrian Munteanu, președinte al filialei din România a IAPP (International Association of Privacy Professionals), expert ENISA (European Union Agency for Network and Information Security) în domeniul managementului riscurilor, Certified Information Privacy Manager (CIPM, 2017), Computer Information System Auditor (CISA, 2006), Certified in Risk and Information Systems Control (CRISC, 2010), COBIT Foundation Certificate (2009), ITIL Foundation Certificate (2007). Îi mulțumim pentru interviul live acordat, pe care îl puteți urmări aici.
Pentru consultanță de specialitate, îl puteți contacta pe: www.linkedin.com/in/adrianmunt
