Tot ce trebuie sa stii despre GDPR: ce inseamna, regulament, aplicare si riscuri

Article Despre GDPR: Ce înseamnă, regulament și implementare | Decalex

Despre GDPR am tot scris, însă frenezia care a însoțit intrarea în vigoare a Regulamentului General de Protecția Datelor, sau mai pe scurt GDPR, a născut mituri ce încă supraviețuiesc timpului. După 2 ani de când regulamentul GDPR produce efecte și după peste 100 de articole scrise pe acest subiect, suntem nevoiți sa revenim asupra câtorva amănunte fundamentale, fără de care implementarea GDPR va ramane o alta lege obligatorie care nu aduce nimic bun.

 

Deci, sa reluam GDPR de la 0, pas cu pas, pe înțelesul tuturor!

Ce inseamna GDPR

 

Și totuși, ce este GDPR? Regulamentul General privind Protecția Datelor este modul prin care Uniunea Europeană a hotarat sa protejeze intimitatea și viața privată a consumatorilor persoane fizice. UE și-a asumat rolul de lider mondial, adoptand cel mai complex cadru legislativ pe confidențialitate și protecția datelor din lume, unind abordările celor (încă) 28 de state membre ale UE. Aceasta lege GDPR se aplica la nivelul uniunii.

Protectia datelor personale inainte de GDPR 

 

Aceste principii erau cu siguranta cunoscute și înainte de introducerea regulamentului GDPR, protectia intimitatii si a dreptului la o viață privată fiind considerate drepturi fundamentale ale omului la același nivel de importanta ca libertatea sau dreptul de proprietate. 

 

Aceasta poziție importantă a dreptului la viața privată nu a apărut odată cu legislația GDPR, ci încă din 1948, de la adoptarea Declarației Universală a Drepturilor Omului. 

Legislația specifica regulamentului pentru protecția datelor personale a îmbrăcat mai multe forme în trecut, de la ghidurile OECD (1980) pana la Conventia 108 la Directiva 95/46/EC (1995), cunoscută sub numele de Directiva privind protecția datelor. 

 

Deși toate aceste instrumente de reglementare urmăreau să introducă o abordare armonizată a protecției datelor, lipsa unui numitor comun la nivelul statelor membre a impus necesitatea adoptării unui regulament european (legea GDPR), direct aplicabil tuturor țărilor membre, fără a mai fi necesara transpunerea acestora în legislațiile naționale.  

 

Istoria GDPR din 1950 incepand de la Conventia CEDO

Cu toate acestea, directiva a fost adoptată în urmă cu 17 ani când internetul era în faza incipientă. În noul mediu digital, plin de provocările din zilele noastre, normele existente nu oferă eficiența necesară pentru a asigura dreptul la protecția datelor cu caracter personal, de unde și necesitatea regulilor GDPR. Noile modalități de a face schimb de informații prin intermediul rețelelor sociale și stocarea unor cantități mari de date la distanță au devenit o parte a vieții multora din cei 250 de milioane de utilizatori ai internetului din Europa.

 

Aceasta societate digitala bazata pe prelucrarea masiva de date personale (Data Driven World) avea nevoie de un instrument care sa ofere utilizatorilor de internet posibilitatea de a-și exercita efectiv drepturile și de a crea niște măsuri minime de securitate pentru toți cei care prelucrează datele personale (operatorii de date). 

 

Principiile protecției datelor personale se regasesc în mare parte și în fosta legislație “Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi liberă circulaţie a acestor date”.

 

Avantajele oferite de GDPR

 

Normele GDPR și implementarea acordului GDPR au dus la crearea unui cadru unic și coerent în ceea ce privește directiva europeană pentru protecția datelor, proces care a avut drept efect aplicarea regulamentului tuturor companiilor ce prelucrează datele persoanelor aflate pe teritoriul UE indiferent de cetatenie sau țara de proveniență. 

 

Principalele avantaje pe care GDPR ul le-a adus regulamentului european privind protectia datelor sunt după cum urmează:

 

  • drepturi mai puternice pentru persoane, în special în mediul online;
  • asigurarea confidentialitatii datelor atunci când sunt dezvoltate noile tehnologii („privacy by design and by default”);
  • introducerea conceptului de „responsabilitate” prin care organizațiile trebuie să poată demonstra conformitatea cu GDPR;
  • puteri sporite pentru autoritățile de supraveghere;
  • aplicabilitatea Regulamentului la nivel global pentru cei care vizează consumatorii UE;
  • amenzi însemnate pentru cei care încalcă prevederile regulamentului. 
  • desemnarea unui Responsabil cu protectia datelor (DPO) dacă prelucrările de date personale generează riscuri pentru persoanele fizice.

Ce prevede regulamentul GDPR 

Am încercat, în cadrul acestui articol, sa explicăm regulamentul GDPR pe înțelesul tuturor. În cele ce urmează vom descrie principiile, drepturile persoanelor fizice și valabilitatea consimțământului conform acestui regulament. 

Principiile GDPR 

Orice organizație care prelucrează date trebuie sa respecte următoarele principii de operare: 

  • Responsabilitate, prin documentarea proceselor și posibilitatea de a demonstra principiile următoare;
  • Integritate și confidențialitate, prin protejarea datelor prin măsuri conforme;
  • Exactitate, prin actualizarea datelor;
  • Minimizarea datelor, prin prelucrarea doar a datelor necesare;
  • Limitarea scopului, prin folosirea datelor exclusiv pentru scopul prezentat persoanei fizice;
  • Legalitate, transparența și echitate, prin prelucrarea datelor în mod legal si corect fata de persoana vizată și prin explicarea condițiilor de prelucrare foarte clar, într-un limbaj lesne de înțeles de către oricine, deci fără jargon juridic.

Drepturile unei persoane fizice, potrivit GDPR

Conform prevederilor GDPR, o persoana fizică are următoarele drepturi garantate:

  • Dreptul de avea acces la datele prelucrate în cazul unei cereri în acest sens;
  • Dreptul la portabilitatea datelor, adică posibilitatea de a solicita returnarea datelor personale sau transmiterea lor către o alta companie;
  • Dreptul de a corecta datele, în cazul în care acestea au fost obținute într-o forma incompleta, incorecta sau inexacta;
  • Dreptul de a obiecta fata de prelucrarea datelor personale în momentul în care compania prelucreaza datele in baza unui interes legitim propriu sau în îndeplinirea unei sarcini în interes public; 
  • Dreptul la ștergerea datelor, de exemplu în situația în care datele cu caracter personal nu mai sunt necesare în scopul prelucrării, cu anumite excepții.

Valabilitatea unui consimțământ GDPR 

Consimtamantul GDPR este considerat valabil doar dacă:

  • A fost liber exprimat;
  • A fost acordat în cunostinta de cauza;
  • A fost acordat pentru un scop specific;
  • Toate motivele prelucrării au fost precizate clar;
  • Este explicit și este acordat printr-un act pozitiv (prin bifare, semnare);
  • S-a folosit un limbaj simplu și clar
  • Exista posibilitatea de a retrage consimtamantul

Implementarea GDPR 

Iata cateva principii de implementare:

Cum se aplica GDPR 

Procesul de conformare cu prevederile GDPR este un proces personalizat conform activității pe care o companie o desfășoară, acesta fiind si motivul pentru care Regulamentul nu prevede măsuri exacte și obligatorii ce trebuie adoptate de toate companiile. 

 

Tot procesul de evaluare și implementare se face în general de către echipe de specialisti in protectia datelor, echipe multidisciplinare ce pot evalua procesele de business din perspective multiple, astfel incat acest proces sa devină un avantaj competitiv pentru companii.

Cui i se aplica GDPR

Regulamentul GDPR se aplica operatorilor, adica entitatilor care stabilesc scopurile și mijloacele de prelucrare a datelor cu caracter personal și persoanelor imputernicite, adica cei care sunt responsabili de prelucrarea datelor mai sus menționate în numele unui operator de date. Aceste prevederi se aplica dacă aceste entități sunt stabilite în UE sau oferă bunuri și servicii adresate cetățenilor UE sau monitorizează comportamentul persoanelor fizice din UE. 

 

GDPR nu se aplica persoanelor care prelucrează date în scopuri ce țin de securitatea națională sau dacă prelucrarea este făcută exclusiv pentru activități personale sau gospodaresti. 

Etapele conformării cu GDPR 

Iată ce etape trebuie sa parcurgi pentru a fi în conformitate cu prevederile GDPR. Îți sugerăm sa apelezi la serviciile noastre în acest sens. 

Evaluarea gradului inițial de conformitate

Pentru a putea evalua gradul inițial de conformitate, vei avea nevoie de un audit GDPR. Foarte important de menționat, scopul acestei evaluări este de a descoperi neconformitatile actuale ale proceselor de business din perspectiva protecției datelor, precum și riscurile la care este expusă persoana vizată în comunicarea și interacțiunea cu compania.

Implementarea GDPR 

După evaluare, va urma procesul de implementare GDPR, proces bazat pe analiza GAP. Acest plan de implementare va cuprinde toate măsurile planificate spre implementare și care sunt necesare pentru atingerea unui grad cât mai ridicat de conformitate. Subliniem aici ca nu toate măsurile trebuie sa fie aplicate imediat după finalizarea analizei GAP ci acestea pot fi planificate pe un interval extins de timp.

Monitorizarea continua a conformității 

Procesul de conformare nu se termina odată cu finalizarea implementării. Alinierea la GDPR este un proces continuu care se întinde pe întreaga durata a existenței unui activități ce implica prelucrari de date personale. 

 

Monitorizarea se face prin intretinerea actualizată la zi a registrului de evidenta a prelucrarii de date, precum și prin reevaluarea periodică a conformității proceselor de business ce presupun prelucrări de date personale.

Sancțiuni în cazul în care nu este respectat regulamentul GDPR 

In cazul in care compania/firma dumneavoastra nu respecta prevederile GPDR, riscati avertismente si amenzi ce se pot ridica pana la suma de 20 de milioane EUR sau 4% din cifra de afaceri globală a companiei. Printre măsurile coercitive cele mai importante se numără și încetarea procesării datelor cu caracter personal. 

 

Deși obligatoriu, procesul de conformitate cu prevederile GDPR, poate constitui o oportunitate pentru companii din mai multe perspective. Odată prin faptul ca în urma procesului de audit se pot simplifica fluxurile interne și asta poate aduce o claritate mai mare asupra direcției în care compania merge, dar și  prin faptul ca adoptarea unei atitudini “privacy friendly” va transmite persoanei vizate încredere în companie.  Desigur, grație colaborării cu noi, veti obtine si modele de acord GDPR si formulare GDPR după care va puteti ghida, precum și alte servicii, precum due diligence GDPR. Pentru informații suplimentare contactati-ne AICI

Share:
Decalex
Autor: DECALEX

PUNE O INTREBARE