Noul regulament denumit General Data Protection Regulation (GDPR) înlocuiește Data Protection Directive 95/46/ec, începând din data de 25 mai 2018. GDPR se aplică în fiecare stat membru și va duce la un grad mai mare de armonizare a protecției datelor între țările din Uniunea Europeană.
Deși multe companii au adoptat deja anumite procese și proceduri referitoare la confidențialitate, în concordanță cu Directiva, GDPR conține un număr de protecții noi pentru persoanele vizate din UE și amenință cu aplicarea de amenzi și penalități semnificative pentru controlorii și procesatorii de date, care nu vor respecta cerințele, din momentul în care acestea vor intra în vigoare în primăvara anului 2018. Cu noi obligații referitoare la chestiuni precum consimțământul persoanelor vizate, transformarea datelor în date anonime, notificarea încălcărilor, transferurile de date transfrontaliere, dar și numirea ofițerilor de protecție a datelor, pentru a menționa câteva, GDPR le solicită companiilor care lucrează cu datele cetăţenilor din UE, să întreprindă reforme operaționale majore.
Iată, pe scurt, ce le solicita GDPR organizațiilor care colectează și prelucrează datele cetățenilor, ce drepturi garantează fiecărui individ și ce consecințe vor fi în cazul nerespectării regulamentului care va intra în vigoare în luna mai a anului 2018.
Consumatorii pot face următoarele:
- Își pot retrage consimțământul pentru prelucrarea datelor
- Pot solicita o copie a tuturor datelor lor
- Pot cere mutarea datelor lor la o altă organizație
- Pot opta pentru ștergerea informațiilor pe care nu le maiconsideră relevante
- Pot obiecta la procesele de luare a deciziilor automatizate
Autoritățile de reglementare pot face următoarele:
- Pot solicita înregistrări ale activităților de prelucrare și dovada măsurilor adoptate pentru a se conforma cu GDPR
- Pot impune interdicții temporare de prelucrare a datelor, pot cere notificări de încălcare a securității datelor, sau pot dispune ștergerea datelor cu caracter personal
- Suspenda transferurile de date transfrontaliere
- Pot impune sancțiuni de până la 20 de milioane de euro sau 4% din veniturile anuale, în cazul nerespectării regulamentului
Organizațiile și companiile trebuie să facă următoarele:
- Trebuie să implementeze “Privacy by Default” și “Privacy byDesign”
- Trebuie să mențină securitatea corespunzătoare a datelor
- Trebuie să notifice agențiile de protecție a datelor și consumatorii, în cazul breșelor securitate
- Trebuie să obțină acordul corespunzător pentru colectarea datelor cu caracter personal și să furnizeze notificări ale activităților de prelucrare a datelor cu caracter personal
- Trebuie să obțină consimțământul unui părinte pentru colectarea datelor, în cazul copiilor cu vârste sub 16 ani
- Trebuie să țină evidența tuturor prelucrărilor informațiilor personale realizate
- Trebuie să desemneze un responsabil cu protecția datelor
- Trebuie să își asume responsabilitatea pentru activitățile desecuritate și de prelucrare, ale unor terți furnizori
- Trebuie să realizeze evaluări ale impactului protecției datelor, asupra noilor activități de prelucrare
- Trebuie să instituie garanții pentru transferurile de date transfrontaliere
- Trebuie să se consulte cu autoritățile de reglementare, înainte de anumite activități de prelucrare
- Trebuie să fie în măsură să demonstreze conformitatea, la cerere
GDPR dintr-o privire
- CARE ESTE LEGEA CURENTĂ ÎN VIGOARE?
- Protecţia datelor în Europa se bazează, în momentul acesta, pe Directiva 95/46/EC din 24 octombrie 1995.
- CÂND VA INTRA ÎN VIGOARE?
- GDPR a fost finalizat în primăvara anului 2016 şi v-a intra în vigoare în mai 2018.
- ACEASTA ÎNSEAMNĂ CĂ LEGEA CURENTĂ NU VA MAI FI VALIDĂ?
- Da. Când GDPR va intra în vigoare, va înlocui Directiva curentă EU Data Protection Directive 95/46/EC.
- CUI I SE VA APLICA GDPR?
- Legea se va aplica tuturor datelor cu caracter personal şi se aplică tuturor tipurilor de afaceri şi tuturor sectoarelor.
- COMPANIILE VOR FI NEVOITE SĂ SE ÎNREGISTREZE LA AUTORITATEA DE SUPRAVEGHERE SAU ALTE AUTORITĂŢI DE REGLEMENTARE?
- Nu. Nu va fi nici o cerinţă pentru operatorii de date să se înregistreze la autoritatea de supraveghere.
