Companii Stiri

Companiile puse în gardă cu privire la protecția datelor

15 iun. 2017 3 min

Companiile puse în gardă cu privire la protecția datelor

Reading Time: 3 minute

Anul viitor, pe 25 mai, intră în vigoare Regulamentul UE privind Protecția Datelor (GDPR). Acesta impune o serie de norme tuturor persoanelor juridice care procesează date cu caracter personal, iar amenzile pentru cei care nu se vor conforma ajung până la 20 milioane euro.

Care sunt datele cu caracter personal?

Potrivit acestui regulament, noțiunea de date cu caracter personal se referă inclusiv la datele de identificare ale persoanele în mediul online, cum ar fi: adresa de E-mail, contul de Facebook ori cel de LinkedIn. În categoria datelor cu caracter personal, intră și informațiile cu privire la starea de sănătate a persoanelor, informații ce beneficiază de o protecție specială.

Drepturile cetățenilor

Regulamentul conferă cetățenilor o serie de drepturi referitoare la datele cu caracter personal ale acestora. Ei pot cere ștergerea datelor personale din baza de date a companiei, actualizarea ori rectificarea acestora, transmiterea acestora către altă companie, dar se pot și împotrivi la prelucrarea lor.

„Majoritatea companiilor de la noi nu au puse la punct procesele de administrare a datelor cu caracter personal. Imaginați-vă situația în care un client care primește mesaje de la o companie, să îi spunem Ionel, cere ca adresa sa de E-mail să fie ștearsă din baza de date. Compania nu știe în ce Excel are adresa lui Ionel și pe ce server, pentru că nu are o strategie coerentă de administrare a datelor personale cu care lucrează. Prin urmare, Ionel va primi și săptămâna următoare un mesaj. El se enervează și sesizează Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP). Astfel, compania se trezește cu un control din partea Autorității, care se poate solda cu o amedă consistentă”, explică Teodor Cimpoeșu, Senior Manager, Deloitte România.

Sancțiuni

ANSPDCP primește un rol similar cu cel pe care îl joacă Consiliul Concurenței, în special prin prisma faptului că sancțiunile avute în vedere prin GDPR sunt similare, ca modalitate de calcul, cu cele din domeniul concurenței. Acestea vor fi de până la 20.000.000 EUR sau până la 4% din cifra de afaceri mondială totală anuală pentru nerespectarea prevederilor referitoare la:

  • Principii legate de prelucrarea datelor cu caracter personal, inclusiv condițiile privind consimțământul
  • Drepturile persoanei vizate
  • Transferul de date cu caracter personal către destinatari aflați în state terțe
  • Decizii ale autorității de supraveghere.

Domeniile cele mai vulnerabile

Industriile cele mai predispuse la încălcarea regulamentului sunt cele care gestionează cele mai multe date cu caracter personal: furnizorii de utilități, furnizorii de servicii medicale sau industria de marketing și publicitate. Dacă primii sunt mai bine pregătiți în ceea ce privește datele pe care le prelucrează, reprezentanții Deloitte au observat că, deseori, în domeniul marketingului, companiile nu sunt conștiente de volumul datelor cu caracter personal cu care lucrează, mai ales pentru profilarea clienților și targetarea publicității.

Deloitte Checklist 01Ce au de făcut companiile?

În primul rând, companiile trebuie să obțină consimțământul persoanelor vizate, pentru fiecare scop de prelucrare în parte. Consimțământul trebuie să fie personal și explicit, fără a putea fi subînțeles.

Mai mult decât atât, ele trebuie să își facă o analiză internă, prin care să identifice lacunele existente și să stabilească cadrul de reguli și norme necesare, pentru a proteja datele cu caracter personal pe care le folosesc în activitatea pe care o desfășoară.

Odată cu intrarea în vigoare a Regulamentului, companiile cu 250 de angajați sau mai mult, precum și cele ale căror activitate principală o constituie operațiuni de prelucrare ce necesită monitorizarea periodică și sistematică a persoanelor vizate pe scară largă, vor avea obligația de a numi un responsabil cu protecția datelor cu caracter personal, care poate fi un angajat sau un prestator extern de servicii. Acest responsabil trebuie să aibă atât pregătire în domeniul IT, cât și cunoștințe juridice.

În ipoteza unei încălcări a securității datelor, companiile sunt obligate să raporteze incidentul către ANSPDCP, în termen de 72 ore.

Lasă un răspuns

Articole pe aceeași temă: