În 2017, ziarul The Economist a publicat un articol conform căruia datele cu caracter personal au depășit petrolul ca fiind cea mai valoroasă resursă din lume – iar GDPR nu a făcut decât să confirme această informaţie.
Modificarea semnificativă în domeniul protecţiei datelor introdusă de noua legislaţie europeană ( GDPR – 25 mai 2018) generează modificări esenţiale în procedurile de lucru ale companiilor românești, indifferent de domeniul de activitate.
Adoptarea GDPR poate părea o povară, dar pe termen lung va deveni o abordare durabilă care promovează inovaţia și responsabilitatea.

Ce este GDPR și ce reprezintă?

Regulamentul UE privind protecţia datelor 2016/679 (GDPR) este un regulament al legislaţiei UE privind protecţia datelor și viaţa private a tuturor cetăţenilor Uniunii Europene (UE) și Spaţiul Economic European (SEE).
A trecut aproape un an de la intrarea în vigoare a Regulamentului general privind protecția datelor. Care a fost obiectivul? Scopul a fost să ajute cetăţenii UE să controleze datele lor personale și modul în care acestea sunt obţinute, distribuite și utilizate. GDPR se adresează organizaţiilor de orice dimensiune și din orice domeniu.

Cui se aplică?

Tuturor companiilor care activează pe teritoriul tărilor din Uniunea Europeană. Chiar dacă sediul central al firmei se află în străinătate, atât timp cât firma prelucrează date cu caracter personal colectate sau procesate pe teritoriul UE trebuie respectat regulamentul. Legea vizează companiile, agențiile guvernamentale, organizațiile non-profit și alte organizații care oferă bunuri și servicii persoanelor din Uniunea Europeană sau care colectează și analizează date legate de rezidenții Uniunii Europene.

Cele opt drepturi de bază ale GDPR:

GDPR vine cu unele drepturi noi, dar totodată consolidează unele dintre drepturile care existau deja în Legislaţia Europeană:

1.Dreptul de acces – asta presupune că oamenii au dreptul să solicite acces la datele lor personale, în anumite condiţii. Dacă se solicită, compania trebuie să furnizeze gratuit o copie a datelor cu caracter personal. (și în format electronic)

2.Dreptul la ștergere – se bazează pe pricipiul de a garanta oricărui om libertatea de a face ce vrea cu datele sale personale, inclusive de a le șterge, în caz că nu există un motiv convingător sau deosebit pentru continuarea procesării și stocării acestora.

3.Dreptul la portabilitatea datelor – în lipsa altor condiţii contractuale, datele cu caracter personal pot fi mutate ușor de la un furnizor la altul.

4.Dreptul la informaţie – aceasta acoperă orice colectare de date de către companii, iar persoanele trebuie să fie informate înainte de colectarea datelor. Consumatorii trebuie să opteze pentru colectarea datelor, iar consimțământul trebuie să fie dat în mod liber și nu implicit.

5.Dreptul de a fi informat – acesta asigură faptul că persoanele pot să își actualizeze datele în cazul în care acestea sunt incomplete sau incorecte. În plus, datele personale pot fi accesate oricând.

6.Dreptul de a restricţiona prelucrarea datelor – conform GDPR o persoană are dreptul de a restricționa prelucrarea datelor personale în diverse circumstanțe. De exemplu, o persoană vizată poate restricționa prelucrarea datelor personale când crede că acestea nu sunt exacte. În acest caz, persoana va putea restricționa prelucrarea datelor până când acuratețea acestora este verificată.

7.Dreptul de a refuza să devii o persoană vizată – de la început, primul tău drept ca cetăţean în UE este de a refuza să devii o persoană vizată, adică de a refuza ca datele tale personale să fie prelucrate.

8.Dreptul de a fi notificat – în cazul în care a avut loc o încălcare în care sunt compromise datele personale ale unei persoane, există dreptul conform căruia aceasta trebuie să fie informată în termen de 72 ore de la prima constatare a încălcării.

Exemple de încălcări GDPR și primele sancţiuni aferenteAu apărut primele sancţiuni emise de autorităţile de protecţie a datelor din UE pentru încălcări ale GDPR. Spre exemplu:

Compania Facebook a fost amendată cu 500.000 GBP pentru colectarea datelor cu caracter personal despre prietenii de pe Facebook ai utilizatorilor, fără ca acești prieteni să fie informați că datele lor au fost colectate și fără să li se ceară acordul.

Compania Uber a fost amendată cu 385.000 GBP pentru aranjamentele de securitate necorespunzătoare care au dat posibilitatea ca hackerii să descarce o cantitate mare de date cu caracter personal despre șoferi și clienţi.

Impactul GDPR asupra mediului de afaceri

Desi la o privire superficială s-ar putea crede ca GDPR se referă doar la datele foarte sensibile ale clientilor, precum cele legate de cazierul fiscal sau informaţii despre sănatate etc, realitatea este cu totul alta. Regulamentul se referă la orice tip de date personale și se aplică tuturor companiilor care deţin si prelucrează astfel de date. Şi cum aproape toate firmele prelucrează date cel puţin despre angajaţii si clienţii lor, implicit devin subiect al GDPR.
GDPR se aplică tuturor întreprinderilor și organizaţiilor stabilite în UE, indiferent dacă prelucrarea datelor are loc în UE sau nu. Chiar și organizaţiile non-UE vor fi supuse GDPR. Dacă afacerea dumneavoastră oferă bunuri sau servicii cetăţenilor din UE, atunci este supusă GDPR.
Toate organizațiile și companiile care lucrează cu date cu caracter personal ar trebui să numească un responsabil sau un controlor de date care să se ocupe de respectarea GDPR.
Există sancțiuni dure pentru acele companii și organizații care nu respectă amendamentele GDPR. Nerespectarea prevederilor GDPR poate avea drept rezultat o amendă de la 10 milioane de euro la 20 milioane de euro, respective între 2% și 4% din cifra de afaceri anuală global a companiei vizate. Amenzile vor depinde de severitatea încălcării regulamentului și dacă se consideră că firma a luat în serios măsurile necesare pentru asigurarea securităţii datelor. Fiecare stat membru poate prevedea norme prin care să se stabilească dacă și în ce măsură pot fi impuse amenzi autorităţilor publice.

 

Căutați un avocat specializat în IT & Telecomunicații?

 

Hammond și Partenerii oferă servicii specializate care să vă asigure că afacerea dumneavoastră este protejată și conformă cu GDPR. De asemenea, vă putem ajuta să elaborați ceea ce este necesar pentru a vă conforma cu GDPR prin oferirea serviciilor de consiliere juridică care constituie un element esențial în procesul de conformare cu noul regulament european

Avocat IT & Telecomunicații