Despre GDPR: Ce înseamnă, regulament și implementare

Article Despre GDPR: Ce înseamnă, regulament și implementare | Decalex

 

Despre GDPR am tot scris insa frenezia care a insotit intrarea in vigoare a Regulament General de Protecția Datelor, sau mai pe scurt GDPR, a nascut mituri ce inca supravietuiesc timpului. 

Dupa 2 ani de cand GDPR produce efecte si dupa peste 100 de articole scrise pe acest subiect, suntem nevoiti sa revenim asupra câtorva amănunte fundamentale fara de care GDPR va ramane o alta lege obligatorie care nu aduce nimic bun.

Deci, sa reluam GDPR de la 0, pas cu pas, pe intelesul tuturor!

 

Ce este GDPR?

Regulament General privind Protecția Datelor, pe scurt “GDPR”, este modul in care Uniunea Europeana a hotarat sa protejeze intimitatea si viata privata consumatorilor persoane fizice. UE si-a asumat rolul de lider mondial, adoptand cel mai complex cadru legislativ pe confidențialitate și protecția datelor din lume, unind abordările celor (încă) 28 de state membre ale UE si, care desi se aplica la nivelul uniunii.

Ce a fost inainte de GDPR?

Protectia intimitatii si a dreptul la o viață privată sunt considerate drepturi fundamentale ale omului si sunt la acelasi nivel de importanta ca libertatea sau dreptul de proprietate. 

Aceasta pozitie importanta a dreptului la viata privata nu a aparut odata cu GDPR, ci inca din 1948, de la adoptarea Declarației Universală a Drepturilor Omului. 

Legislatia specifica protectiei datelor personale a îmbrăcat mai multe forme în trecut, de la ghidurile OECD (1980), Conventia 108 la Directiva 95/46/EC (1995), cunoscută sub numele de Directiva privind protecția datelor. 

Desi toate aceste instrumente de reglementare urmareau să introducă o abordare armonizată a protecției datelor, lipsa unui numitor comun la nivelul statelor membre a impus necesitatea adoptarii unui regulament european, direct aplicabil tuturor tarilor membre, fara a mai fi necesara transpunerea acestora in legislatiile nationale.

 

Istoria GDPR din 1950 incepand de la Conventia CEDO

De ce era nevoie de GDPR?

Lipsa armonizării nu a fost singurul factor ingrijorator devenind tot mai evident că directiva privind protectia datelor (Directiva 95/46/CE) deși neutră din punct de vedere tehnologic, nu reusea sa tina pasul cu evoluțiile tehnologice si cu procesul de globalizare, lucruri ce au condus la modificarea modului în care datele personale sunt colectate, accesate și utilizate. Directiva UE din 1995 , principalul instrument legislativ privind protecția datelor cu caracter personal în Europa, a reprezentat un punct de reper în istoria protecției datelor. Obiectivele sale privind asigurarea unei piețe unice funcționale și protecția efectivă a drepturilor fundamentale și a libertăților persoanelor sunt în continuare valabile.

 

Cu toate acestea, directiva a fost adoptată în urmă cu 17 ani când internetul era în faza incipienta. 

În noul mediu digital plin de provocări din zilele noastre, normele existente nu ofera eficiența necesară pentru a asigura dreptul la protecția datelor cu caracter personal. Noile modalități de a face schimb de informații prin intermediul rețelelor sociale și stocarea unor cantități mari de date la distanță au devenit o parte a vieții multor din cei 250 de milioane de utilizatori ai internetului din Europa.

Aceasta societate digitala bazata pe prelucrarea masiva de date personale (Data Driven World) avea nevoie de un instrument care sa ofere utilizatorilor de internet posibilitatea de a-și exercita efectiv drepturile si de a crea niste masuri minime de securitatepentru toti cei care prelucreaza datele personale ( operatorii de date).

 

Ce a adus nou GDPR?

Crearea unui un cadru unic și coerent in ceea ce priveste protecția datelor care a avut drept efect aplicarea lui tuturor companiilor ce prelucreaza datele persoanelor aflate pe teritoriul UE indiferent de cetatenie sau tara de provenienta.

Principalele modificări pe care GDPR-ul le-a adus:

 

  • drepturi mai puternice pentru persoane, în special în mediul online;
  • asigurarea confidentialitatii datelor atunci când sunt dezvoltate noile tehnologii („privacy by design and by default”);
  • introducerea conceptului de „responsabilitate” prin care organizațiile trebuie să poată demonstra conformitatea cu GDPR;
  • puteri sporite pentru autoritățile de supraveghere;
  • aplicabilitatea Regulamentului la nivel global pentru cei care vizează consumatorii UE.
  • amenzi insemnate pentru cei care incalca prevederile regulamentului
  • desemnarea unui Responsabil cu protectia datelor (DPO) daca prelucrarile de date persnale genereaza riscuri pentru persoanele fizice

Stiati ca?

Principiile protectiei datelor personale se regasesc in mare parte si in fosta legislatie “Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date”.

Implementarea GDPR: Ce este si cine o poate face?

Procesul de conformare cu prevederile GDPR este un proces personalizat conform activitatii pe care o companie o desfășoară, acesta fiind si motivul pentru care Regulamentul nu prevede masuri exacte si obligatorii ce trebuie adoptate de toate companiile. 

Tot procesul de evaluare si implementare se face in general de echipe de specialisti in protectia datelor, echipe multidisciplinare ce pot evalua procesele de business din perspective multipe, astfel incat acest proces sa devina un avantaj competitiv pentru companii.

 

La nivel macro, etapele conformarii cu GDPR pot fi impartite in:

 

1.“Auditul” GDPR sau Evaluarea gradului initial de conformitate

Foarte important de mentionat ca scopul acestei evaluari este de a vedea neconformitatile actuale ale proceselor de business din perspectiva protectiei datelor precum si riscurile la care este expusa persoana vizata in comunicarea si interactiunea cu compania.

 

2. Implementarea GDPR propriu-zisă

La finalul analizei GAP va exista un plan de implementare GDPR ce va cuprinde toate masurile planificate spre implementare si care sunt necesare pentru atingerea unui grad cat mai ridicat de conformitate. Subliniem aici ca nu toate masurile trebuie sa fie aplicate imediat dupa finalizarea analizei GAP ci acestea pot fi planificate pe un interval extins de timp.

 

3. Monitorizarea continua a conformitatii

Procesul de conformare nu se termina odata cu finalizarea implementarii. 

Alinierea la GDPR este un proces continuu care se intinde pe intreaga durata a existentei unui activitati ce implica prelucrari de date personale. 

Monitorizarea se face prin intretinerea actualizată la zi a registrului de evidenta a prelucrarii de date cum si prin reevaluarea periodca a conformitatii proceselor de busines ce presupun prelucrari de date personale.

 

Concluzie:

Desi obligatoriu procesul de conformitate cu prevederile GDPR, poate constitui o oportunitate pentru companii din mai multe perspective. Odata prin faptul ca in urma procesului de audit se pot simplifica fluxurile interne si asta poate aduce o claritate mai mare asupra directiei in care compania merge, precum si prin faptul ca adoptarea unei atitudini “privacy friendly” va transmite persoanei vizate incredere in companie. Pentru informatii suplimentare contactacti-ne AICI.

Share:
Decalex
Autor: DECALEX

PUNE O INTREBARE