• Implementarea Regulamentului General privind Protecţia Datelor, de astăzi
O companie din cinci care activează în ţara noastră nu a auzit de Regulamentul General privind Protectia Datelor (GDPR), deşi, începând cu data de astăzi, 25 mai, acesta trebuie implementat, potrivit noului Raport European privind Plăţile realizat de Intrum şi citat de news.ro.
GDPR a fost conceput de Uniunea Europeană (UE) în scopul protejării datelor personale ale cetăţenilor din statele membre. 21% dintre companiile din România anticipează că implementarea normelor GDPR va afecta comportamentul de plată, potrivit raportului citat, care arată: "Media la nivel european, în ceea ce priveşte acest subiect, este de doar 14%, iar România se află pe locul doi din punct de vedere al procentajului, fiind depăşită pe acest subiect doar de Marea Britanie, aceasta din urmă înregistrând 31 de procente în rândul companiilor care anticipează un impact crescut al GDPR în comportamentul de plată".
Chiar dacă IMM-urile şi corporaţiile din România se aşteaptă la influenţe serioase din partea GDPR, acestea sunt optimiste în ceea ce priveşte impactul măsurilor legislative asupra mediului de afaceri.
Raportul mai menţionează: "Media la nivel european atunci când vine vorba despre optimismul companiilor referior la efectele GDPR este de doar 8%, pe când în România se ridică la 19%".
În ceea ce priveşte sumele alocate de către companiile din România pentru implementarea GDPR, 15% dintre acestea spun ca au investit până la 1.000 de euro, iar 8% între 1.000 şi 50.000 de euro. Restul de 77% dintre companiile intervievate au declarat fie că nu au avut costuri de implementare GDPR, fie că nu le cunosc.
Companiile care sunt obligate să implementeze noul regulament trebuie să-şi angajeze un responsabil cu Protecţia Datelor, începând de astăzi. GDPR se aplică oricărei organizaţii care operează în cadrul UE, precum şi oricărei organizaţii din afara UE care oferă bunuri sau servicii clienţilor sau întreprinderilor din UE. Printre entităţile cu obligaţia de a avea un DPO se numără autorităţile sau instituţiile publice, respectiv instanţele de judecată (trebuie să-şi creeze propriile mecanisme de supraveghere pentru prelucrările efectuate în exerciţiul funcţiei lor juris-dicţionale); organizaţia/întreprinderea/persoana juridică/entitatea care, în calitatea de operator sau persoană împuternicită de operator, realizează ca activitate principală operaţiuni de prelucrare care, prin natura, domeniul de aplicare şi/sau scopurile lor, necesită o monitorizare periodică şi sistematică a persoanelor vizate pe scară largă; organizaţia/întreprinderea/persoana juridică/entitatea care, în calitate de operator sau persoană împuternicită de operator, prelucrează, în derularea activităţii principale, pe scară largă categorii speciale de date sau date cu caracter personal privind condamnări penale şi infracţiuni.
Data Protection Officer (DPO) sau Responsabilul cu Protecţia Datelor este o persoană care deţine cunoştinţe de specialitate în materie de legislaţie şi practici privind protecţia datelor, care are rolul de a asigura asistenţa operatorului sau persoanei împuternicite de operator pentru monitorizarea conformităţii, la nivel intern, cu dispoziţiile Regulamentului (UE) 2016/679. La desemnarea DPO trebuie avute în vedere următoarele condiţii: calităţile profesionale ale persoanei desemnate, cunoştinţele de specialitate în dreptul şi practicile din domeniul protecţiei datelor şi capacitatea de a îndeplini sarcinile prevăzute de Regulamentul (UE) 2016/679.
Prevederile Regulamentului consolidează drepturile garantate persoa-nelor vizate (persoanele ale căror date sunt prelucrate). Astfel, dreptul la informare este extins, în sensul că persoanele vizate pot obţine de la operatorul de date informaţii mai clare şi cuprinzătoare cu privire la scopul şi temeiul legal în care se prelucrează datele personale, perioada de stocare a acestora şi drepturile de care beneficiază, arată textul GDPR.
Prin aplicarea GDPR, sunt garantate unele drepturi noi, printre care se numără şi dreptul de a fi uitat (poate fi cerută ştergerea datelor dacă aces-tea sunt prelucrate ilegal, fără consimţământ sau dacă datele nu mai sunt necesare scopului în care au fost prelucrate iniţial).
Minorii beneficiază de mai multă atenţie, întrucât regulamentul stabileşte o serie de garanţii specifice pentru a proteja cât mai eficient viaţa privată a acestora, în special, în mediul online.
Două noi principii esenţiale pentru operatorii de date sunt "privacy by design" şi "privacy by default". În cazul primului principiu, dezvoltatorii de aplicaţii trebuie să se asigure, încă din stadiul dezvoltării, că aplicaţia lor va respecta regulile şi principiile stabilite de Regulament. În cel de-al doilea caz, furnizorii de aplicaţii care prelucrează date personale trebuie să se asigure că setările iniţiale le vor permite utilizatorilor să îşi menţină controlul asupra vieţii lor private/asupra a ceea ce postează sau împărtăşesc cu alţi utilizatori.
Regulamentul mai prevede şi un drept nou, care face referire la portabilitatea datelor, respectiv la posibilitatea persoanelor vizate de a cere transferarea datelor la un alt operator de date, existând mai multă libertate de alegere.
Nerespectarea prevederilor GDPR poate avea drept rezultat o amendă de la 10 milioane de euro la 20 de milioane de euro, respectiv între 2% şi 4% din cifra de afaceri anuală globală a companiei vizate. Amenzile vor depinde de severitatea încălcării regulamentului şi dacă se consideră că firma a luat în serios măsurile necesare pentru asigurarea securităţii datelor.
"Amenda maximă de 20 de milioa-ne de euro sau 4% din cifra de afaceri anuală globală a companiei se va acorda la încălcarea drepturilor persoanelor vizate, transferul neautorizat internaţional de date cu caracter personal şi neadoptarea procedurilor sau ignorarea cererii accesului unei persoane la datele personale", spun specialiştii din domeniu, menţionând: "Amenzile de 10 milioane de euro sau 2% din cifra de afaceri anuală globală vor fi aplicate companiilor care folosesc datele cu caracter personal în alte moduri. Acestea includ nesemnalizarea cazurilor de încălcare a securităţii datelor şi neasigurarea confidenţialităţii şi a protecţiei datelor în prima etapă a proiectului". Fiecare stat membru poate prevedea norme prin care să se stabilească dacă şi în ce măsură pot fi impuse amenzi autorităţilor publice.