Ce înseamnă GDPR? Cui și cum se aplică?

Ce înseamnă?

Începând din 25 mai 2018, orice companie care colectează informații cu caracter personal de la orice persoană fizică trebuie să fie extrem de grijulie cu aceste informații. Cum le colectează, cum le utilizează, cum le protejează de acces neautorizat, cât timp le pastrează și cum/când le distruge. Amenzile pot fi foarte mari (asta știe deja toată lumea)!

GDPR (General Data Protection Regulation) nu este o reglementare referitoare exclusiv la IT, ci stabilește niște reguli de conduită pentru toate departamentele unei companii. Pentru a putea considera o companie “GDPR Compliant”, trebuie luate anumite măsuri în mai multe departamente.

  • IT – instituirea măsurilor de securitate cibernetică. Alertarea autorităților în cazul unei breșe de securitate ( care duce la compromiterea datelor cu caracter personal);
  • HR – mecanisme de prelucrare a datelor cu caracter personal ale angajaților și în procesul de recrutare, reglementarea procesului de concediere; inclusiv informațiile medicale ale angajaților, diplomele de studii, certificările tehnice se supun acestei Reglementari;
  • Juridic – modificarea documentației prin intermediul căreia se colectează date personale (formulare, solicitări, acte) în vederea obținerii consimțământului în mod express și fără echivoc;
  • Marketing – instrucțiuni clare privind modul în care se efectuează comunicarea cu clienții companiei sau cu potențialii clienți. Invitațiile la evenimente, informațiile promoționale, newsletter transmise clienților vor fi setate în acord cu prevederile regulamentului;
  • Facility/Securitate – înregistrări de supraveghere video, pontaj, monitorizare GPS, analize de risc cu privire la cazierul personal. Toate aceste elemente vor fi puse în acord cu prevederile GDPR;

Cui se aplica?

Tuturor companiilor care activează pe teritoriul tărilor din Uniunea Europeană. Chiar dacă sediul central al firmei se află în străinătate, atât timp cât firma prelucrează date cu caracter personal colectate sau procesate pe teritoriul UE trebuie respectat regulamentul.

Cum se aplică?

Colectarea datelor cu caracter personal (adresă, numar de telefon, adresă de e-mail, religie, preferință sportivă, preferință culinară, stare civilă, preferințe muzicale sau de orice altă natură) se va face cu acordul explicit al persoanelor vizate. Asta înseamnă că s-a terminat cu explicațiile de genul “am adresa dvs. de mail de pe un site public…”. Datele personale colectate anterior datei de 25 mai, indiferent prin ce metode, nu mai vor mai putea fi folosite fără acordul expres al persoanei în cauză.

Acord expres înseamnă că nu putem folosi o clauză intercalată, undeva, în corpul restului de condiții contractuale. Trebuie să existe o secțiune separată, acordul nu poate fi implicit de tip afirmativ (“opt-in” în engleză), scopul, durata și metodele prelucrării acestor date trebuie să fie explicate într-un limbaj clar și ușor de înteles de toată lumea.

În primul rând, toate companiile cu mai mult de 250 angajați sunt obligate să numească un Data Protection Officer (DPO) care să supervizeze aplicarea regulamentului în interiorul companiei, pe de o parte, și să interactioneze cu Autoritatea de Control, pe de altă parte. Acest DPO poate fi unul dintre angajați sau un consultant extern, însă este important ca acesta să fie nominalizat și înregistrat pe site-ul Autoritații Naționale.

Orice companie, de orice dimensiune, trebuie să numească un DPO în cazul în care colectează, procesează în vreun fel, sau stochează o cantitate mare de date cu caracter personal.

Fiecare companie, de orice dimensiune, chiar daca are numit un DPO sau nu, este obligată sa își ia măsuri de siguranță pentru protejarea datelor cu caracter personal. Aceste măsuri trebuie comunicate tuturor angajaților, îndosariate, păstrate la un loc accesibil pentru consultare și analizate periodic.

Datele cu caracter personal din cadrul companiei trebuie, în primul rând, să fie catalogate, marcate, sau indentificate clar la locul unde sunt amplasate, indiferent dacă aceste date sunt în format fizic sau electronic. Aceste date vor fi supuse măsurilor consistente de protecție, fizice și electronice.

Orice incident de securitate care duce la compromiterea, deteriorarea, copierea sau alterarea datelor cu caracter personal trebuie notificat atât Autoritătii Naționale, cât și persoanelor ale căror date au fost compromise.

Important de reținut este că acest Regulament nu este doar o problemă de IT în companie!

Există cel puțin 5 departamente care vor fi afectate, într-o măsură mai mică sau mai mare, de Regulamentul general privind protecția datelor. În opinia mea, procesul de implementare în cadrul organizațiilor ar trebui să fie condus de către un jurist, pentru a asigura o analiză cât mai consistentă și relevantă a datelor, proceselor și sistemelor care trebuie ajustate.

….despre prevederile strict legate de IT într-un articol viitor.

Regulamentul se gaseste aici: http://eur-lex.europa.eu/legal-content/RO/TXT/HTML/?uri=CELEX:32016R0679&from=EN

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *