SOS 25 mai 2018 – PREGĂTIȚI-VĂ!

25 MAI 2018 este o dată de trecut în calendar pentru că va fi ziua din care subiectul privind Protecţia Datelor cu Caracter Personal va trebui tratat cu maximă responsabilitate. De fapt subiectul ar trebui astfel tratat încă de astăzi pentru că se anunţă modificări care vor impune schimbări procedurale care nu vor putea fi implementate peste noapte.

Ce se va întâmpla practic? Legislaţia românească (legea 677/2001) va fi înlocuită de noul Regulament al UE privind protecţia datelor personale (2016/679) cu aplicare directă în toate statele UE, deci şi în România de la 25 mai 2018. Legea va viza toate companiile, indiferent de mărime sau localizare, ONG-urile, instituţiile publice sau orice altă entitate care prelucrează, colectează sau utilizează date cu caracter personal ale persoanelor aflate în spaţiul UE.

Din păcate puţine companii româneşti cunosc cerinţele noului Regulament. Şi mai puţine sunt pregătite să  înţeleagă schimbarea de atitudine necesară dar mai ales paşii de urmat în implementarea noilor reglementări.

Deşi regulamentul nu schimbă principiile esenţiale ale procesării datelor personale (legalitate, scop determinat, necesitate, proporţionalitate, transparenţă, securitate) pe care le întâlnim în legislaţia actuală, odată cu noua lege companiile care colectează şi prelucrează date cu caracter personal vor trebui să demonstreze modul în care respectă aceste principii. Cu cât o companie este mai mare sau colectează date personale prin diverse canale, cu atât aplicarea acestui regulament devine mai complexă şi mai dificil de implementat, iar neaplicarea lui va aduce cu sine măsuri de penalizare greu de dus, amenzile putând ajunge până la 4% din cifra de afaceri a unei firme sau grup de firme sau 20 milioane de euro. Mai mult, legea vizează orice persoană, indiferent dacă este fizică sau juridică care prelucrează date cu caracter personal. Partea bună este că respectarea cerinţelor de securitate şi implementarea noului regulament va avea de câştigat un important aport de încredere din partea clienţilor săi, implicit fidelizarea acestora.

Evoluţia tehnologică a ultimilor ani impune trecerea de la o abordare formală, bazată pe notificări ale prelucrărilor de date, la o abordare bazată pe responsabilizarea celor care prelucrează datele, adică prevenție, evaluări de risc, securitate eficientă a datelor și documentarea acestor activități.

Sunt considerate date cu caracter personal atât nume, prenume, adresă, date de sănătate, cont bancar, CNP ale unei persoane, cât și adresa de email personală sau de business, adresa IP, date biometrice sau preferințele de cumpărături.

data protection

Iată ce aduce nou legislaţia europeană:

1. Desfiinţarea notificărilor transmise către ANSPDCP

Companiile nu vor trebui să mai anunţe anumite prelucrări de date.

2. Notificarea privind încălcarea securităţii datelor cu caracter personal.

Încălcarea securităţii înseamnă orice eveniment care duce accidental sau ilegal la distrugerea, pierderea, modificarea, divulgarea sau accesul neautorizat la datele cu caracter personal. Operatorul este obligat să notifice aceste evenimente în maxim 72 de ore de la producerea lor. Notificarea trebuie trimisă către Autoritate sau către persoanele vizate, mai ales dacă poate genera un risc ridicat pentru drepturile şi libertăţile persoanelor fizice.

3. Măsuri de securitate a informaţiilor implementate atât de către operator, cât şi de către persoanele/partenerii împuternicite/ţi de către acesta.

Exemple de măsuri de securitate:

- criptarea datelor cu caracter personal

- capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența continuă ale sistemelor și serviciilor de prelucrare

- capacitatea de a restabili disponibilitatea datelor cu caracter personal și accesul la acestea în timp util în cazul în care are loc un incident de natură fizică sau tehnică

- un proces pentru testarea, evaluarea și aprecierea periodică a eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării.

4. Aderarea la un cod de conduită aprobat (Art 40) sau la un mecanism de certificare aprobat (Art 42) poate fi utilizată ca element prin care să se demonstreze îndeplinirea cerințelor de securitate.

5. Numirea de către fiecare operator a unui responsabil pentru protecţia datelor cu caracter personal.

6. Evaluarea impactului asupra protecţiei datelor cu caracter personal.

7. Portabilitatea – dreptul persoanei vizate de a-şi transfera în totalitate datele la un alt operator de date, oferindu-i astfel un mai bun control asupra modului în care aceste date sunt prelucrate.

8. Protecţia vieţii private a minorilor beneficiază de mai multă atenţie, mai ales în mediul online.

Aplicarea acestei legi nu trebuie privită ca o pacoste ci ca o oportunitate în urma căreia toţi operatorii de date cu caracter personal vor trebui să-şi pună la punct sistemele de securitate şi procedurile de lucru, astfel evitând dezastre precum amenzi enorme sau pierderea de date importante care i-ar putea duce către faliment. Numai cei care vor avea o abordare structurată, programatică și preventivă, bazată pe tehnologii de încredere, vor putea supraviețui cerințelor foarte stricte ale noilor reglementări.

Elisabeta Groșanu
elisabeta.grosanu@results.ro

Since 2009 I explore the online world @Business Results - my favorite playground !

Nu a comentat nimeni la acest articol.

Spune-ți părerea:

RomaniaEnglish