GDPR explicat pe scurt: cum te asiguri că-l respecți?
13 minute • Miruna Bercariu • 13 mai 2020
Încă de la aplicarea lui de aproape 2 ani de zile, când auzi ”GDPR” nu știi ce să crezi. De fapt, peste 90% din companii nu conștientizează că prelucrează date cu caracter personal, deși o fac. Iar procentul celor care o fac în mod greșit este de aproape 70%. Asta din cauză că întreprinderile și organizațiile nu înțeleg exact ce face acest GDPR și cum ar trebui să-l abordeze. De aceea am venit în ajutorul tău cu ”GDPR explicat pe scurt”.
Tocmai de asta ne-am propus ca prin prezentul articol să facem o scurtă trecere în revistă a principalelor obiective pe care le aduce GDPR și la final să pleci lămurit.
Ce este GPDR?
Pentru a înțelege istoria Regulamentului General Privind Protecția Datelor (în engleză: “GDPR” – General Data Protection Regulation), trebuie să te întorci în 2011.
Acela a fost anul în care tânărul austriac, proaspăt absolvent de drept și activist pentru protecția datelor personale, Max Schrems, a depus o cerere către Facebook pentru a vedea toate informațiile pe care compania le deținea despre el.
Max a fost șocat să primească un dosar de 1200 de pagini și a jurat să inițieze o mișcare, cu scopul de a proteja dreptul la confidențialitate al tuturor europenilor. Efortul lui inițial s-a concretizat prin proiectul “Europe vs Facebook”, prin care își propusese să aducă la cunoștința tuturor aceste probleme prin strategii de lobby.
Prima serie de discuții pe tema adoptării unei noi legi la nivelul Uniunii Europene (“UE”) a început în 2012. Este important de menționat, totuși, faptul că actualul GDPR a consolidat legislații europene pentru colectarea datelor ce erau deja în vigoare, adoptate în anii ‘90. Practic, GDPR nu este ceva complet nou, ci a venit să îmbunătățească și să uniformizeze legislațiile anterioare.
Asta pentru că, anterior GDPR, exista Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date, care a fost transpusă în România prin Legea nr. 677/2001. Ambele documente sunt în prezent abrogate.
De ce un Regulament și nu tot o Directivă?
Nu pentru că sună mai puternic, ci pentru că Regulamentul Uniunii Europene se aplică în mod direct, ca atare, în toate statele membre. Astfel, aceleași dispoziții le regăsim și în România, dar și în Franța sau Bulgaria.
Directiva în schimb trebuie transpusă printr-un act național, de regulă o lege, cum a fost la noi Legea nr. 677/2001, iar la momentul transpunerii mai poți face mici adjustări. Acum, totul este la fel peste tot.
Poți citi mai multe despre actele Uniunii Europene mai jos.
Acest vechi set de legi nu mai putea face față noilor dezvoltări tehnologice din era internetului, astfel încât o actualizare era necesară.
Conform website-ului pentru GDPR al UE, dreptul fiecărui cetățean al Uniunii la confidențialitate este cuprins în Convenția Europeană a Drepturilor Omului (1950). Art. 8(1) stabilește că “Orice persoană are dreptul la respectarea vieţii sale private şi de familie, a domiciliului său şi a corespondenţei sale”.
Când a intrat în vigoare GDPR?
Regulamentul General pentru Protecția Datelor a început să se aplice de la 25 mai 2018, deși susținătorii acestei legislații inovatoare erau activi cu mulți ani înainte.
Adoptat oficial în mai 2018, Regulamentul a fost aprobat pentru prima dată abia în aprilie 2016. Astfel, companiile au beneficiat de o perioadă de tranziție de doi ani pentru a-și actualiza sistemul de protecție a datelor, în conformitate cu noile prevederi.
Cu toate acestea, peste 80% din companii nu sunt aliniate conform normelor GDPR, iar aproape 40% nici nu au auzit de GDPR, la un an de la aplicare. Iar miturile continuă să circule.
Care este scopul GDPR?
La baza GDPR se află un principiu solid, conform căruia toți rezidenții UE trebuie să aibă control asupra propriilor date. Companiile nu le pot stoca datele vrând-nevrând și nu le pot urmări și colecta datele pentru a se îmbogăți.
De aceea, GDPR creează un cadru legal pentru colectarea adecvată, stocarea și procesarea datelor cu caracter personal ale rezidenților UE. Aceste prevederi se aplică tuturor companiilor ce își desfășoară activitate cu cetățeni UE și nu este necesar să aibă sediul în spațiul european.
Spre exemplu, dacă ești un magazin de e-commerce din Canada, dar trimiți în mod regulat comenzi către Europa, trebuie să respecți GDPR.
Principiile GDPR sunt construite în așa fel încât drepturile consumatorilor trebuie respectate în permanență și oferite prioritate în fața altor interese. Și nu doar consumatorii, pentru că GDPR nu se aplică doar afacerilor online, ci și angajaților, colaboratorilor etc. – de fapt, se aplică tuturor persoanelor fizice.
Ce tipuri de date sunt protejate prin GDPR?
Organizațiile ce colectează oricare sau toate dintre următoarele tipuri de date trebuie să respecte prevederile GDPR:
- Informații despre o persoană identificată sau identificabilă, precum numele, adresa, numerele de telefon, numărul cărții de identitate/pașaportului, detaliile cardului de credit;
- Adresa IP (Internet Protocol), locația, cookies, RFID (identificare prin frecvență radio);
- Date genetice, biometrice sau medicale, precum amprentele;
- Genul, rasa, date etnice;
- Orientarea sexuală;
- Opiniile politice;
- Venitul pe gospodărie.
La avocatoo.ro ținem cursuri on-line și off-line pentru companii, unde explicăm exact cum se aplică GDPR în cadrul organizației, cu exemple din viața reală pe care le înțelegi. Scrie-ne și hai să ne auzim!
Nerespectarea GDPR și amenzi
Uniunea Europeană descrie GDPR drept cea mai strictă legislație a confidențialității și a securității din lume. Deși a fost redactată și adoptată în cadrul Uniunii, această legislație se aplică și organizațiilor înființate oriunde în lume, atât timp cât ele prelucrează date ale cetățenilor și rezidenților UE.
Sancțiunile pentru nerespectarea prevederilor GDPR sunt extrem de dure și pot ajunge până la zeci de milioane de euro. De aceea, firmele care nu reușesc să asigure un standard minim de conformitate cu regulamentul se pot aștepta la amenzi usturătoare și încălcări mai drastice vor duce la o taxă de până la 4% din venitul global.
Practic, amenda este de până la 20 milioane de euro sau 4% din cifra de afaceri. Suficient, am zice noi.
Uite și ce amenzi s-au dat până acum în România:
- GDPR. Amendă pentru monitorizarea video necorespunzătoare a angajaților
- A doua amendă pe GDPR în România pică pe umerii unui hotel.
- Prima amenda pe GDPR in Romania! ANSPDCP a amendat Unicredit.
- Emag a fost amendat pentru SPAM.
- Ce amenzi a mai aplicat ANSPDCP pentru încălcarea GDPR la început de an?
- GPDR – amendă dată pentru monitorizare video fără informarea persoanelor
GDPR prevede faptul că organizațiile pot colecta doar datele de care au nevoie și cu acordul expres al proprietarilor acestor date, adică al persoanelor fizice. Dar nu trebuie să mergi pe consimțământ decât ca ultimă variantă, poți alege unul din cele 6 temeiuri de prelucrare.
În plus, după stocarea datelor, ele trebuie să se asigure că investesc în mecanisme eficiente de protejare a integrității acestor date, pentru a preveni un abuz. Orice încălcare a securității datelor și orice atac cibernetic trebuie raportat imediat și fără prejudiciu.
E important să știi și cum se desfășoară o investigație, ce drepturi și obligații ai, precum și ce pot controla inspectorii de la ANSPDCP.
Cum se pot asigura firmele că respectă GDPR?
Respectarea GDPR este o muncă extrem de complexă și multe companii au înființat departamente noi, dedicate atingerii acestui scop.
Iar dacă ajungi la concluzia că îți trebuie un DPO (ofițer responsabil cu prelucrarea datelor personale), vezi că nu poți să pui o persoană care să intre în conflict cu această poziție, precum directorul departamentului juridic.
Nu vom putea intra în toate aspectele pe care le vizează GDPR, fiind un domeniu foarte vast, dar vom puncta câteva chestii esențiale. Poți începe cu bazele GDPR din manualul nostru de mai jos:
Ca regula generală, acestea sunt 7 lucruri pe care trebuie să le ai în vedere, pentru respectarea GDPR:
1. Acordul persoanei vizate
Dacă ai ajuns la concluzia că vrei să mergi pe consimțământ drept temei de prelucrare, oricând soliciți unui utilizator să ofere informații personale, precum o adresă de email, numărul de telefon, adresa sau numărul cardului de credit, nota de informare prin care îi spui să-și ofere consimțământul trebuie prezentată printr-un limbaj clar și simplu.
Consimțământul trebuie acordat printr-un act pozitiv, cum ar fi bifarea unei casete on-line sau semnarea unui formular. Utilizatorii trebuie să știe că datele lor vor fi stocate și ce drepturi au asupra acestora. De asemenea, trebuie să le acordați posibilitatea de a-și retrage consimțământul în orice moment.
2. Furnizarea notificării adecvate pentru încălcarea securității datelor
Atacurile cibernetice sunt o realitate a epocii internetului și prevederile GDPR asigură informarea utilizatorilor în cazul în care astfel de atacuri vizează datele lor personale.
Dacă o companie ce procesează datele rezidenților UE este afectată de un atac cibernetic prin care sunt furate date personale, aceasta are la dispoziție maximum 3 zile (72 de ore) pentru a notifica atât utilizatorii, cât și Autoritatea pentru protecția datelor.
GDPR nu specifică exact modalitatea prin care această notificare trebuie efectuată, dar în general un email sau un document asemănător ar fi suficient. Se recomandă totuși să nu dai un anunț în presă sau să postezi pe rețelele de socializare.
Nerespectarea acestui termen de 3 zile va atrage amenzi serioase.
Am scris pas cu pas despre când și cum trebuie notificate persoanele și autoritatea aici, iar vizual lucrurile stau cam așa:
3. Dreptul de acces gratuit la datele cu caracter personal
Conform prevederilor GDPR, utilizatorii au dreptul să acceseze datele lor personale oricând doresc.
Când o organizație primește o astfel de cerere, ea este obligată să ofere utilizatorului o copie electronică gratuită a tuturor datelor pe care le posedă în prezent despre acel utilizator. De asemenea, această copie trebuie să includă modalitatea prin care au fost utilizare aceste date, spre exemplu pentru o mai bună direcționare a reclamelor.
Atenție însă! Nu cumva ca în graba să răspunzi unei cereri de acces foarte repede să uiți să verifici identitatea persoanei și astfel să-ți faci singur o breșă de securitate.
4. Dreptul la ștergerea datelor (“dreptul de a fi uitat”)
Persoanele vizate pot cere organizațiilor să le șteargă complet datele din server.
Spre exemplu, Google a primit 3.2 milioane de astfel de cereri din 2014 până în prezent. Odată primită cererea, compania trebuie să se asigure că datele sunt șterse complet și nu sunt transferate către un server dintr-o altă locație.
Și aici, dreptul de acces are anumite limitări și specificități, despre care găsești mai multe în manual.
5. Desemnarea unui responsabil cu protecția datelor (DPO)
Conform GDPR, toate organizațiile care întrunesc anumite condiții (monitorizează cetățeni sistematic, prelucrează date ca activitate principală sau pe scară largă) trebuie să aibă un responsabil cu protecția datelor (DPO).
Această persoană monitorizează modul în care se prelucrează datele cu caracter personal și îi informează pe angajații care prelucrează aceste date în legătură cu obligațiile care le revin.
Responsabilul trebuie să fie un expert în legislația și practicile GDPR. Există, însă, și excepții de la această regulă.
În lumina ultimei decizii de la nivelul Uniunii Europene, recomandarea noastră este ca rolul de DPO să fie externalizat. Dacă alegi să externalizezi rolul de DPO poți să economisești până la 70% față de costurile pe care ar trebui să le aloci dacă ai angaja o persoană pentru poziția asta. Scrie-ne! Suntem la un click distanță.
6. Implementarea unui sistem de securitate
Am explicat mai devreme cât de important este ca organizațiile să își notifice utilizatorii în cazul unui atac cibernetic. Uniunea Europeană cere însă companiilor și să facă tot ce pot pentru a preveni astfel de incidente.
Regulamentul include obligația firmelor de a implementa “măsuri tehnice și organizaționale adecvate” pentru a proteja datele cu caracter personal, incluzând criptarea end-to-end și forțând angajatorii să folosească autentificarea cu doi factori, atunci când au de-a face cu conturi importante sau servere.
Totodată, este încurajată instruirea intensivă a angajaților cu privire la cele mai bune practici de securitate cibernetică, adăugarea unor politici de securitate a datelor în fișa postului și limitarea accesului la date pentru cele strict necesare.
La avocatoo.ro lucrăm cu specialiști în domeniul securității cibernetice, care înțeleg afacerea ta și te ajutăm să devii conform GDPR. Hai să ne auzim!
7. Asigurarea protecției datelor în mod intrinsec și în mod implicit
Data privacy by design and default, cum se zice.
UE își dorește ca firmele să trateze cât mai serios problematica implementării securității și confidențialității datelor în viitoarele produse și servicii.
În Art. 25 al legislației GDPR, UE menționează faptul că organizația ta trebuie să asigure protecția datelor “în mod intrinsec și în mod implicit”.
De exemplu, noile aplicații și servicii au obligația de a colecta minimum de date necesare pentru funcționarea eficientă a produsului. Dacă ai nevoie doar de numărul de telefon și de adresa de email ale unui utilizator, nu este necesar să îi ceri și vârsta, statutul conjugal sau adresa permanentă. În plus, organizațiile trebuie să aibă un plan bine organizat pentru modalitatea în care vor stoca aceste date.
Practic, ce urmărește GDPR este să te folosești de la bun început de principiile pe care le găsești aici și să te gândești la protecția datelor de la început.
Conformarea la normele GDPR este un proces continuu, care nu se termină cu o politică de informare pusă pe un site sau un document semnat de colaboratori, de aceea e bine să îl faci alături de specialiști. Scrie-ne și folosește noile reguli în avantajul tău și oferă-ți un avantaj în fața concurenților.
Poza de Logan Kirschner pe Pexels
