Un ghid PrivacyOne.ro:

TOTUL DESPRE GDPR



GDPR - Regulamentul European cu impact asupra majorității companiilor din România



Ce este GDPR? Top 5 noutati

Informații generale

Din 25 mai 2018 se vor produce schimbări importante în legislația privind protecția datelor personale în Europa, odată cu intrarea în vigoare a Regulamentului (UE) 679/2016, cunoscut drept Regulamentul General privind Protecția Datelor Personale. Specialiștii spun ca asistam chiar la o adevărată revoluție în domeniu, dacă analizăm magnitudinea la care schimbările din legislație vor afecta bunul mers al afacerilor mici și mari din Europa și nu numai.

Ce este GDPR?

La o simpla căutare pe internet, vom găsi multe referiri la un act denumit simplu "GDPR" (General Data Protection Regulation), adoptat de Parlamentul European în aprilie 2016. Spre deosebire de directivele cu care ne-am obișnuit în trecut, Regulamentele Europene nu au nevoie de legi naționale care să transpună prevederile în legislația fiecărui stat UE și intră în vigoare direct, fără nicio formalitate, în toate statele Uniunii Europene.

Când intra în vigoare GDPR?

Potrivit textului său, intrarea în vigoare a fost stabilită pentru 25 mai 2018, la aproximativ doi ani de la publicare, tocmai pentru a permite companiilor să își poată schița și implementa propriul cadru de conformitate la prevederile Regulamentului. Cu alte cuvinte, companiile vor trebui să-și rezolve problemele impuse de GDPR înainte de data de intrare în vigoare, pentru că după această dată riscă sancțiuni importante pentru lipsa de conformitate.

Se aplică GDPR companiei mele?

De regula, răspunsul este "DA". În majoritatea cazurilor, companiile procesează, într-o formă sau alta, date cu caracter personal, fie că realizează această procesare în interes propriu, fie că o realizează în interesul altor companii. Conceptul de date personale este atât de larg, încât este aproape imposibil ca o entitate să nu prelucreze astfel de date. Fie că vorbim despre prelucrarea datelor angajaților, a datelor clienților în scopuri de marketing, sau a datelor sensibile ale unor clienți (date de sănătate, cazier fiscal sau judiciar etc.), toate aceste situații transformă compania într-un subiect al GDPR.

Și mai interesant, trebuie reținut faptul că GDPR se aplică nu doar companiilor cu sediul în Uniunea Europeană, ci și celor cu sediul în alte state ale lumii, în măsura în care ele prelucrează date personale ale unor persoane din Uniunea Europeană. Cu alte cuvinte, daca un retailer mare din spațiul non-UE vinde online și livrează bunuri către persoane din UE, atunci compania respectivă este obligată să respecte condițiile impuse de GDPR.

Care sunt principalele 5 obligații impuse de GDPR companiei mele?

Trebuie spus că GDPR preia o bună parte din obligațiile deja existente în legislația europeană (GDPR înlocuiește, de fapt, Directiva privind protecția datelor cu caracter personal 95/46/EC), deci toate obligațiile deja existente vor fi menținute și în viitor. GDPR circumstanțiază însă și detaliază o sumedenie de condiții, astfel încât este foarte de greu de imaginat că o societate nu are nimic de făcut pentru conformarea la GDPR.

Printre noutățile aduse de GDPR amintim:
DPO. Noua funcție la mare căutare
Instituțiile publice (cu excepția instanțelor de judecată), companiile a căror activitate principală constă în operațiuni de prelucrare care necesită o monitorizare periodică și sistematică pe scară largă a persoanelor vizate, precum și companiile care prelucrează, pe scară largă, categorii speciale de date (originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice, apartenența la sindicate, date genetice, date biometrice, date privind sănătatea, date privind viața sexuală sau orientarea sexuală) sau date referitoare la condamnări penale și infracțiuni, vor fi obligate să își angajeze un responsabil cu protecția datelor personale (DPO - Data Protection Officer).
Reguli noi pentru consimțământ
Consimțământul pentru prelucrare, unul din posibilele temeiuri legitime, va avea un regim mult mai restrictiv. Astfel, solicitarea acordului trebuie sa fie in formă inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu; dacă sunt incluse mai multe aspecte, solicitarea acordului trebuie clar diferențiată de celelalte aspecte; retragerea consimțământului trebuie să poată fi făcută la fel de simplu cum a fost dat; și, mai ales, nu este admisă condiționarea consimțământului (de exemplu, condiționarea prestării unui serviciu sau livrării unui bun de acordul de prelucrare a datelor pentru marketing direct).

Drepturi noi pentru persoana vizată. Portabilitatea datelor personale
Pe lângă drepturile reglementate deja, persoanele vizate vor avea unele drepturi noi, între care dreptul la portabilitatea datelor. Persoanele vor avea dreptul să primească (direct sau prin intermediul unui alt operator indicat) datele lor într-un format structurat, utilizat în mod curent și care poate fi citit automat - una dintre cele mai provocatoare noutăți pentru întreprinderile digitale.
Transparenţă extinsă
Și în prezent prelucrarea datelor personale trebuie adusă la cunoștința persoanelor vizate, însă regulile aplicabile potrivit GDPR impun o serie de elemente adiționale, cum ar fi cine este responsabilul cu protecția datelor, care este temeiul prelucrării, dacă se recurge la profilare, cât timp sunt ținute datele, etc.

În caz de neconformare amenzile sunt foarte mari
Nerespectarea GDPR poate atrage mai multe tipuri de sancțiuni, inclusiv amenzi de până la 20 de milioane de euro sau 4% din cifra de afaceri globală, oricare dintre acestea este mai mare. În plus, dacă au suferit un prejudiciu, persoanele vizate pot obține despăgubiri care să acopere valoarea acestor prejudicii, iar drepturile lor pot fi reprezentate inclusiv de organisme colective.

Training pentru DPO. Vrei sa trimiti pe cineva la Academia DPO?

PrivacyOne.ro organizeaza primul curs practic, din Romania, dedicat specialistilor in protectia datelor cu caracter personal (DPO - Data Protection Officer). Incepand cu 25 mai 2018, majoritatea companiilor din Romania vor trebui sa aiba un specialist DPO angajat. Specialistii DPO nu au nevoie de studii anterioare specializate, dar trebuie sa se aiba cunostinte importante despre legislatia privind protectia datelor personale. Cursul PrivacyOne.ro asigura pregatirea in acest domeniu.

Vreau sa ma inscriu


Câteva activități necesare pentru a vă pregăti pentru intrarea în vigoare a GDPR

Companiile ar trebui să parcurgă, până la momentul intrării în vigoare a GDPR, mai mulți pași care să le ajute să se conformeze la obligațiile impuse de acesta. Iată câteva dintre activitățile care ar putea ajuta la evaluarea și maximizarea gradului de conformare a politicilor interne ale companiei la prevederile GDPR:

PrivacyOne.ro ofera astfel de servicii. Pentru contact, click aici!
Evaluați gradul de pregătire pentru GDPR și verificați unde sunt discrepante și ce trebuie făcut în privința lor .

Verificați dacă trebuie să numiți un responsabil cu protecția datelor. Implementați programe de training pentru personalul care lucrează cu date personale.

Inventariați categoriile de date prelucrate și operațiunile de prelucrare, și realizați evidența activităților de prelucrare. Totodată, trebuie analizat dacă datele deținute respectă cerinţele GDPR (dacă sunt necesare si proporționale scopului, de exemplu) și dacă, acolo unde era necesară obținerea consimțământului, acesta respectă cerințele GDPR.

Verificați contractele care implică date personale, în special alocarea responsabilităților și răspunderea fiecărei părți, precum si soluționarea disputelor si limitarea răspunderii. Sancțiunile ridicate și răspunderea solidară între operator și împuternicit sau între operatorii asociați, face ca limitarea de răspundere pentru chestiuni de prelucrare a datelor să trebuiască analizată cu deosebită atenție.

Clarificați temeiurile prelucrărilor. Nu abuzați de consimțământ acolo unde nu e oportun (de exemplu, in relația angajat-angajator, acolo unde nu exista opțiune reala, unde nu puteți opri prelucrarea chiar fără consimțământ), documentați analiza interesului legitim.

Training pentru DPO. Vrei sa trimiti pe cineva la Academia DPO?

PrivacyOne.ro organizeaza primul curs practic, din Romania, dedicat specialistilor in protectia datelor cu caracter personal (DPO - Data Protection Officer). Incepand cu 25 mai 2018, majoritatea companiilor din Romania vor trebui sa aiba un specialist DPO angajat. Specialistii DPO nu au nevoie de studii anterioare specializate, dar trebuie sa se aiba cunostinte importante despre legislatia privind protectia datelor personale. Cursul PrivacyOne.ro asigura pregatirea in acest domeniu.

Vreau sa ma inscriu