DPAP.ro Presents

Protejeaza-ti Toate Datele Personale

Ce inseamna GDPR (General Data Protection Regulation) pentru tine si afacerea ta?

Uniunea Europeana (UE) a schimbat regulile despre protectia datelor. Aceste modificari au devenit lege si vor intra in vigoare incepand cu 25 Mai 2018. Aceste noi reguli se numesc General Data Protection Regulation (GDPR) si se aplica tuturor, de la persoane fizice la institutii publice si societati comerciale.

Aceste modificari vor afecta felul in care companiile vor functiona.

 

Ce este protectia datelor?

In Uniunea Europeana exista un set de legi pentru colectarea si prelucrarea datelor personale. Oricine colecteaza sau proceseaza date personale are obligatia sa le protejeze prin respectarea si aplicarea legilor in vigoare. In momentul de fata aceasta fiind noul set GDPR.

 

Aceste noi legi se aplica datelor electronice si fizice?

Da. Noile legi GDPR se aplica atat datelor electronice (precum email sau data de baze) cat si documentelor fizice care contin astfel de date. Asta inseamna ca avem o responsabilitate sa pastram in siguranta si sa distrugem orice documente care poate contine date sensibile.

 

Exista penalitati?

Sub noul set de legi al protectiei datelor, regulatorii pot impune amenzi care ajung la un maxim de 20.000.000 EUR sau 4% din cifra de afaceri anuala (oricare este mai mare). Desi nu toate abaterile de la lege vor fi amendate cu cea mai mare penalitate, orice companie trebuie sa se asigure ca lucreaza in parametrii legii.

 

Companiile vor avea mai multe de facut?

Da. Toate companiile vor avea mai multe responsabilitati si obligatii sub noile schimbari. Mai exact, orice organizatie va trebui sa implementeze masuri tehnice si organizationale pentru procesarea datelor coresponzator. Pentru a stabili nivelul necesar de securitate, trebuie luat in calcul riscul prezentat de procesarea si colectarea datelor, in special in cazuri de accident sau pierdere. Ar trebui sa poata arata masurile care au fost luate pentru a tine datele confidentiale.

 

Exista cazuri de companii care au incalcat regulile?

Sa inveti in propria companie din greseli poate fi dureros si costistior. Recent, in Anglia, Institutia responsabila pentru protectia datelor, Information Commissioner’s Office (ICO), a amendat o autoritate locala cu 100.000 de lire pentru ca nua  stabilit nicio masura pentru a evita pierderea documentelor care contineau date personale  a peste 100 de persoane (adulti si copii). Acest lucru s-a intaplat cand autoritatea s-a mutat din cladire si a lasat astfel de documente in urma.

In Olanda, un operator de transporturi publice a fost amendat de Institutulro care se ocupa de protectia datelor din tara pentru ca au tinut informatii referitor la tranzactii financiare mai mult decat era nevoie. Operatorului i s-a dat optiunea sa stearga datele sau sa le anonimizeze. Operatorul a decis sa le anonimizeze, insa tehnica folosita nu a fost eficienta in unele cazuri. Asadar, operatorul de transporturi a fost amendat 125.000 EUR.

In Spania, au fost mai multe cazuri recente in care a fost necesara interventia Institutiei care se ocupa de protectia datelor. In unele cazuri, documente care contineau date personal au fost aruncate la gunoi sau la pubele publice iar in unele cazuri documentele au fost distruse doar partial.

 

Cat de importanta este protectia datelor?

Foarte importanta. Siguranta datelor trebuie inclusa in toate procesele operationale. Companiile trebuie sa puna la punct toate procesele prin care se prelucreaza datele si sa se colecteze si prelucreze doar cele necesare.
Ca rezultat, ar trebui sa te intrebi:

  1. Avem nevoie de aceste date persoanel?
  2. Avem nevoie sa le procesam cu acest scop?
  3. Care este departamentul care ar trebui sa aiba acces la ele?
  4. Sunt aceste informatii invechite?

 

Va fi nevoie de consintamant pentru prelucrarea datelor?

Da. In general, trebuie sa fie un motiv legitim pentru procesarea datelor personale. Daca se da consintamantul pentru procesarea datelor, sub noile legi o persoana trebuie sa-si dea consintamantul din propria initiativa, specific, informata si neambigua. De asemenea companiilor li se vor cere sa demonstreze felul in care persoanele si-au dat acordul pentru prelucrarea datelor Asigura-te ca ai acest proces bine pus la punct si ca indeplineste toate conditiile legii.

 

Exista si drepturi noi?

Da. Exista o serie de drepturi care au fost introduse, printre ele fiind:

  1. Dreptul de a fi uitat. Permite oamenilor sa ceara ca datele lor sa fie sterse.
  2. Dreptul la date portabile. Permite oamenilor sa ceara ca datelor lor sa fie tinute intr-un format stabilit si sa poata fi transferabile.
  3. Dreptul la obiectie. Permite oamenilor sa nu fie etichetati in scopuri de a servi activitati de marketing

Sa implementeze aceste noi drepturi s-ar putea sa fie greu pentru unele organizatii. Trebuie luat in calcul insa ca exista anumite exceptii, si ca in lipsa unor reglementari bine puse la punct, se poate sa fii colectat pana acum date de care nu era chiar nevoie.

 

Ce se intampla cu persoanele care vor sa-si vada datele?

Dreptul persoanelor de a-si vedea datele, este tehnic numit SAR (Subject Access Requests), si va contiuna sub noile reglementari. Acest proces va permite oricui sa-si acceseze datele care se refera la acesta. Sub noua lege, solicitarie SAR trebuie solutionate in maxim o luna de la primirea acesteia (desi se pot face solicitare pentru marirea acestui termen la maxim 4 luni in unele circumstante) si, permiterea afacerilor sa solicite o taxa pentru a raspunde solicitarii a fost desfintata. Exista o crestere semnificativa in solicitarile de acest gen, iar cand acestea au devenit gratuite, a crescut si mai mult decat asteptat. Tinand cont de cresterea email-urilor si aplicatiile cloud in particular, solicitarile SAR au devenit si mai costisitoare si mai complexe de gestionat.

O parte esentiala a strategiei oricarei organizatii ar trebui sa puna la punct procesele prin care se solutioneaza solicitarile de tip SAR.

 

Vom avea nevoie de o persoana dedicata Protectiei Datelor?

Posibil. Sub noile reglementari GDPR, institutiile punlice vor fi nevoiti sa numeasca un DPO (Data Protection Officer). De asemnea, in anumite circumstante si companiile vor avea nevoie sa numeasca un astfel de post. Cel mai bine este sa primest consultanta judiciar in acest caz, depinzand de signifianta datelor persoanle preluate si prelucrate de companie. Tinand cont de nivelul de date procesate in orice companie, cel mai probabil si companiile mici si mijlocii vor avea nevoie de o persoane desemnata si responsabila cu implementarea masurilor necesare pentru a fi conform GDPR.

 

Voi fi nevoit sa raportez erori si accidente?

Da. A te asigura ca datele sunt confidentiale si in siguranta este punctul de plecare. Insa, orice eroare se poate intampla ulterior masurilor luate in privinta pastrarii in siguranta a datelor trebuie raportata catre autoritatea responsabila in cel mult 72 de ore de la eveniment. Oamenii afectati de aceasta eroare trebuie informatii imediat (nu a fost insa stabilit un interval oficial) referitor la informatiile care au fost divulgate in urma accidentului. Exista insa exceptii limitate referitor la aceste raportari si ar trebui verificat cu un consultan juridic inainte de acestea.

 

Exista compensatii?

Ca principiu general, oricine sufera din cauza unei folosiri neadecvate a datelor, conform noilor legi, au dreptul la compensatii de la cei care colecteaza si manipuleaza datele lor personale. Din cauza acestui extra risc, companiile ar trebui sa maximizeze procesele de siguranta astfel incat sa minimizeze potentialele cauze compensatorii.

Poti afla mai multe din articolul Cordery: http://www.corderycompliance.com/eu-data-protection-regulation-faqs-3/

 

Ce ar trebui sa fac acum?

Pentru a deveni o companie care se afla in parametrii GDPR, este nevoie de un plan si un buget de resurse (incluzand IT). De asemenea, trebuie luat in calcul ca exista un termen limita pentru implementare. Uite cateva activitati cu care sa incepi:

  1. Plan de impact al sigurantei datelor personale, impreuna cu o harta a circuitului de informatii in companie.
  2. Revizuit toate contractele, mai ales cele care contin transferul de date personale.
  3. Update la sistem de gestionare a informatiilor care include documente detaliate privind la preluarea si prelucrarea datelor confidentiale.
  4. Verifica toate datele actuale acumulate, si verifica daca ai nevoie de le folosesti.
  5. Sistem de distrugere a informatiilor de care nu ai nevoie.
  6. Asigura-te ca: consintamantul, dreptul de a fi uitat, portabilitatea datelor si dreptul la obiectie sunt asigurate de companie prin proceduri si politica firmei.
  7. Creaza un sistem de notificare a erorilor de sistem care pot afecta persoanele de la care s-au acumulat date.
  8. Considera sa desemnezi pe cineva responsabil cu Protectia Datelor, un DPO
  9. Training, Training, Training, pentru toate persoanele care intra in contact cu aceste date.
  10. Stabileste controale regulate pentru a identifica si solutiona posibile probleme.

 

Cum ti se pare acest articol? Poti adauga la el in sectiunea de comentarii sau ii poti da share persoanelor care consideri ca ar fi interesati.

Leave a Reply

Your email address will not be published. Required fields are marked *