Ce este GDPR?
Emil Munteanu, antreprenor, fondator al companiei Power Net, agregator de soluţii IT, specializat în proiectarea, integrarea și externalizarea de soluţii IT convergente și unul dintre fondatorii hotelului ATRA Doftana, ne spune ce ar trebui să știm despre noul regulament de protecţie a datelor personale. Pentru Emil, specializarea în domeniul GDPR vine ca o provocare personalĂ și o evoluţie firească a companiei pentru a fi tot timpul cu un pas înainte.
Nu e chiar ușor să fii antreprenor în România! Însă ce nu te doboară te face mai puternic! Se poate și în România!
Ce este GDPR și de ce a fost creat?
Reglementarea europeană General Data Protection Regulation (GDPR) este rezultatul unui efort continuu de actualizare a legilor europene privind protecţia datelor la contextul secolului 21, în care organizaţiile colectează informaţii personale în mod regulat, cu diferite scopuri, iar persoanele fizice sunt tot mai îngrijorate de modul în care aceste date sunt utilizate.
În România, GDPR vine în completarea legii nr. 677 din 2001 cu privire la prelucrarea datelor cu caracter personal și libera circulaţie a acestor date.
Noua reglementare europeană urmărește să ofere oamenilor o protecţie mai bună și mai mult control asupra modului în care organizaţiile folosesc datele lor. Pentru responsabilizarea organizaţiilor, GDPR introduce sancţiuni grave pentru cei care nu respectă regulile. De asemenea, legislaţia urmă- rește și armonizarea legilor privind protecţia datelor la nivelul Uniunii Europene, lucru atât de necesar în contextul pieţelor digitale unice în expansiune.
Unul dintre cei mai importanţi factori care au dus la apariţia GDPR-ului este apariţia conjuncturii în care companiile de e-commerce, motoarele de căutare, furnizorii de servicii Cloud și platformele de social media colectează datele personale, creând potenţiale pericole de pierdere a datelor sau încălcare a confidenţialităţii acestora. În prezent, urmărim un astfel de caz în desfășurare, cu scandalul generat de Cambridge Analytica, unde 50 de milioane de profiluri Facebook au fost recoltate pentru a influenţa diferite cauze politice.
Când va fi aplicat GDPR?
Deși GDPR a fost aprobat și adoptat de Parlamentul European în aprilie 2016, regulamentul va intra în vigoare pe 25 mai 2018, oferindu-le organizaţiilor o perioadă de tranziţie de doi ani.
Chiar dacă regulamentul european are un termen limită fixat și anunţat, în noiembrie 2017, cu 6 luni înainte de intrarea în vigoare, doar 7% din companiile locale din România respectau noile reguli de prelucrare a datelor personale, conform studiului făcut de Power Net Consulting la sfârșitul anului trecut.
Chiar dacă 79% dintre companii au auzit despre GDPR și s-au declarat informate, 57% dintre respondenţi au recunoscut că, până la momentul studiului, nu au actualizat politicile de securitate conform noilor prevederi. GDPR nu va fi amânat, iar organizaţiile ar trebui să pună în aplicare măsuri și controale pentru a gestiona și diminua riscurile legate de securitatea informaţiilor și confidenţialitatea datelor, conform cerin- ţelor GDPR. Companiile care nu vor respecta prevederile noului regulament de confidenţialitate a datelor vor plăti amenzi de până la 20 de milioane de euro sau 2-4% din cifra de afaceri globală anuală.
Cine va fi afectat de GDPR?
GDPR impune noi reguli companiilor, organizaţiilor nonprofit, instituţiilor publice, persoanelor fizice autorizate și altor organizaţii care oferă bunuri și servicii persoanelor din Uniunea Europeană sau care colectează și analizează date legate de rezidenţii UE. Regulamentul european de protecţie a datelor personale va produce schimbări majore în modul în care se face business. Fiecare agent economic, mare sau mic, chiar și un PFA sau blogger, va trebui să ţină cont de securitatea bazelor de date pe care le colectează și să fie mai atent la modul în care își atrage publicul ţintă.
Ce se consideră „date personale” conform GDPR?
Conceptul de date personale este foarte larg și cuprinde atât prelucrarea datelor angaja- ţilor, cât și ale clienţilor, atât în scopuri de marketing, vânzări sau livrarea serviciilor și produselor. O enumerare scurtă a celor mai importante categorii de date ar suna cam așa: informaţii despre o persoană identificabilă (nume, prenume, număr de identificare, precum CNP, număr CI, certificat de naștere, permis de conducere, pașaport, card de sănătate etc.), date sensibile (date de sănătate, cazier fiscal sau judiciar), date de localizare (adresă casă/loc de muncă), identif icatoarele online (adresa IP) și date care definesc identitatea individului, precum cele culturale, sociale, economice etc.
Cum vor fi procesate aceste date conform GDPR?
Odată ce GDPR intră în vigoare, procesatorii de date vor trebui să se asigure că datele cu caracter personal sunt prelucrate conform noii reglementări, transparent și pentru un anumit scop, adus la cunoștinţa indivizilor posesori ai acestor date. După ce acest scop este îndeplinit, conform regulamentului, procesatorii de date nu le vor mai putea stoca – în schimb, acestea vor trebui șterse.
Doar 14% dintre companiile vizate și-au nominalizat Ofițerul de Protecție a Datelor (DPO), în timp ce doar 11% și-au reevaluat contractele cu furnizorii și contractorii.
Sunteţi pregătiţi pentru GDPR?
De când s-a făcut anunţul intrării în vigoare a noului regulament GDPR, companiile din România au tot încercat să înţeleagă dacă acest regulament li se va aplica lor și, dacă da, ce trebuie să facă? Care sunt pașii? Cu cine pot lucra pentru a face aceste pregătiri? Care sunt informaţiile sensibile din punct de vedere al noului set de reguli? Ce incidente de securitate trebuie să fie raportate autorităţilor? Cum să aleagă un Data Protection Officer? Au rămas mai puţin de 2 luni până la intrarea în vigoare a regulamentului, d a r confuzia companiilor pare că nu a scăzut, iar discuţiile, în mare, gravitează în jurul amenzilor usturătoare, în loc să evidenţieze beneficiile acestor măsuri și să puncteze soluţiile existente pentru business-uri.
„Cercetările noastre - care se desfășoară în mod continuu, pentru a actualiza constant situaţia actuală - arată că doar 14% dintre companiile vizate și-au nominalizat Ofiţerul de Protecţie a Datelor (DPO), în timp ce doar 11% și-au reevaluat contractele cu furnizorii și contractorii”, spune Emil Munteanu, managing partner Power Net Consulting.
Ce trebuie să faceţi pentru a vă pregăti pentru GDPR?
Aici, Emil Munteanu recomandă companiilor următoarele:
- Documentaţi datele personale pe care le deţineţi, modul în care acestea sunt colectate și cum sunt utilizate ulterior. Sunt aceste date oferite unor terţe părţi? Folosiţi date colectate de terţe părţi? Datele pe care le deţineţi mai sunt utilizate în scopul pentru care au fost colectate iniţial sau acest scop a fost schimbat?
- Stabilirea procedurilor de rezolvare a cererilor persoanelor fizice în ceea ce privește datele personale deţinute de companie. Verificaţi dacă aveţi procese puse la punct de ștergere sau transferare către o altă organizaţie a datelor personale la cererea individului. Conform GDPR acest proces trebuie să fie realizat în termen de o lună.
- Desemnaţi un DPO. Desemnarea unui DPO este obligatorie în sectorul public, în timp ce, în mediul privat, aceasta este recomandată. Numirea unui DPO într-o companie depinde de sistematicitatea colectării datelor și sensibilitatea acestora. De exemplu, categoriile sociale de date, precum originea etnică, opiniile politice sau confesiunea religioasă, sunt considerate date cu sensibilitate ridicată, iar organizaţia care deţine aceste date trebuie să aibă un DPO.
- Pregătiţi-vă pentru Data Breaches - asiguraţi-vă că aveţi procesele necesare pentru monitorizarea și notificarea în timp real a încălcărilor de date. Conform regulamentului european, autorităţile de protecţie a datelor trebuie sesizate în termen de 72 de ore de la constatarea încălcărilor.
Comentarii