Multe organizaţii vor fi obligate, din 25 mai 2018, să-şi angajeze un responsabil cu Protecţia Datelor, odată cu intrarea în vigoare a Regulamentului European privind Protecţia datelor cu caracter Personal (GDPR).
GDPR se aplică oricărei organizaţii care operează în cadrul UE, precum şi oricărei organizaţii din afara UE care oferă bunuri sau servicii clienţilor sau întreprinderilor din UE. Specialiştii susţin că aproape fiecare corporaţie majoră din lume va trebui să fie pregătită la intrarea în vigoare a GDPR. Scopul GDRP este de a simplifica mediul de reglementare pentru afaceri, astfel încât cetăţenii şi întreprinderile să poată beneficia pe deplin de economia digitală. Există două tipuri diferite de operatori de prelucrare a datelor: procesatori şi operatori.
Printre entităţile cu obligaţia de a avea un DPO se numără: autorităţile sau instituţiile publice, respectiv instanţele de judecată (trebuie să-şi creeze propriile mecanisme de supraveghere pentru prelucrările efectuate în exerciţiul funcţiei lor jurisdicţionale); organizaţia/întreprinderea/persoana juridică/entitatea care, în calitatea de operator sau persoană împuternicită de operator, realizează ca activitate principală operaţiuni de prelucrare care, prin natura, domeniul de aplicare şi/sau scopurile lor, necesită o monitorizare periodică şi sistematică a persoanelor vizate pe scară largă; organizaţia/întreprinderea/persoana juridică/entitatea care, în calitate de operator sau persoană împuternicită de operator, prelucrează, în derularea activităţii principale, pe scară largă categorii speciale de date sau date cu caracter personal privind condamnări penale şi infracţiuni.
Data Protection Officer (DPO) sau Responsabilul cu Protecţia Datelor este o persoană care deţine cunoştinţe de specialitate în materie de legislaţie şi practici privind protecţia datelor, care are rolul de a asigura asistenţa operatorului sau persoanei împuternicite de operator pentru monitorizarea conformităţii, la nivel intern, cu dispoziţiile Regulamentului (UE) 2016/679. La desemnarea DPO trebuie avute în vedere următoarele condiţii: calităţile profesionale ale persoanei desemnate, cunoştinţele de specialitate în dreptul şi practicile din domeniul protecţiei datelor şi capacitatea de a îndeplini sarcinile prevăzute de Regulamentul (UE) 2016/679.
Responsabilul cu Protecţia Datelor pare a fi mai degrabă un fel de avocatul clientului decât o simplă persoană de contact folosită în prezent de cei care sunt deja autorizaţi ca operatori de date. Această persoană trebuie să aibă cunoştinţe de specialitate pe zona de protecţie de date şi poate fi un membru al echipei sau poate să-şi desfăşoare activitatea în baza unui contract de prestări servicii (art.37-6), însă trebuie implicat în mod corespunzător şi în timp util în toate aspectele legate de protecţia datelor şi nu poate fi demis sau sancţionat de către operator pentru îndeplinirea sarcinilor sale.
Conform textului Regulamentului UE, în cazul prelucrărilor de date care pot presupune un risc ridicat pentru viaţa privată a persoanelor, operatorul trebuie să efectueze un studiu de impact asupra vieţii private: "Rezultatul unui astfel de studiu îi va permite să identifice riscuri specifice şi să adopte măsuri care să împiedice apariţia/producerea acestor situaţii. Prelucrarea categoriilor de «date sensibile» poate presupune, de cele mai multe ori, apariţia unor riscuri specifice referitoare la viaţa privată a persoanelor". În funcţie de riscurile identificate, operatorul de date îşi va stabili şi măsuri tehnice şi organizatorice (proceduri interne) pentru a preveni producerea acestora.
Prevederile Regulamentului consolidează drepturile garantate persoanelor vizate (persoanele ale căror date sunt prelucrate). Astfel, dreptul la informare este extins, în sensul că persoanele vizate pot obţine de la operatorul de date informaţii mai clare şi cuprinzătoare cu privire la scopul şi temeiul legal în care se prelucrează datele personale, perioada de stocare a acestora şi drepturile de care beneficiază, arată textul GDPR.
Prin aplicarea GDPR, sunt garantate unele drepturi noi, printre care se numără şi dreptul de a fi uitat (poate fi cerută ştergerea datelor dacă acestea sunt prelucrate ilegal, fără consimţământ sau dacă datele nu mai sunt necesare scopului în care au fost prelucrate iniţial).
Minorii beneficiază de mai multă atenţie, întrucât regulamentul stabileşte o serie de garanţii specifice pentru a proteja cât mai eficient viaţa privată a acestora, în special, în mediul online.
Două noi principii esenţiale pentru operatorii de date sunt "privacy by design" şi "privacy by default". În cazul primului principiu, dezvoltatorii de aplicaţii trebuie să se asigure, încă din stadiul dezvoltării, că aplicaţia lor va respecta regulile şi principiile stabilite de Regulament. În cel de-al doilea caz, furnizorii de aplicaţii care prelucrează date personale trebuie să se asigure că setările iniţiale le vor permite utilizatorilor să îşi menţină controlul asupra vieţii lor private/asupra a ceea ce postează sau împărtăşesc cu alţi utilizatori.
Regulamentul mai prevede şi un drept nou, care face referire la portabilitatea datelor, respectiv la posibilitatea persoanelor vizate de a cere transferarea datelor la un alt operator de date, existând mai multă libertate de alegere.
GDPR stabileşte obligaţia operatorului de a demonstra obţinerea consimţământului persoanei pentru prelucrările de date personale. În cazul în care datele sunt prelucrate în mai multe scopuri, este important ca operatorul de date să poată demonstra că a obţinut acordul persoanei pentru a-i prelucra datele în toate acele scopuri. Persoana vizată are dreptul să îşi retragă în orice moment consimţământul, în situaţia în care acesta constituie temei de prelucrare a datelor.
GDPR stabileşte obligaţia operatorului de date de a asigura un anumit nivel de transparenţă faţă de persoanele vizate. Acestea trebuie să ştie cine este operatorul de date, scopul în care le vor fi prelucrate datele, ce date sunt utilizate, ce drepturi le sunt garantate, cum îşi pot exercita aceste drepturi şi cine sunt/vor fi terţii cărora operatorul le va dezvălui datele, dacă este cazul.
Regulamentul va fi aplicabil şi companiilor aflate în afara Uniunii Europene, în măsura în care prelucrarea de date efectuată presupune monitorizare a comportamentului persoanelor aflate pe teritoriul UE.
Pentru operatorii de date care îşi desfăşoară activităţile în mai multe state membre UE, autoritatea de supraveghere competentă este cea din statul membru în care operatorul respectiv îşi are stabilit sediul principal. Pentru transferul datelor în afara Uniunii, Regulamentul introduce instrumente noi, pe lângă cele consacrate deja.
Nerespectarea prevederilor GDPR poate avea drept rezultat o amendă de la 10 milioane de euro la 20 de milioane de euro, respectiv între 2% şi 4% din cifra de afaceri anuală globală a companiei vizate. Amenzile vor depinde de severitatea încălcării regulamentului şi dacă se consideră că firma a luat în serios măsurile necesare pentru asigurarea securităţii datelor.
"Amenda maximă de 20 de milioane de euro sau 4% din cifra de afaceri anuală globală a companiei se va acorda la încălcarea drepturilor persoanelor vizate, transferul neautorizat internaţional de date cu caracter personal şi neadoptarea procedurilor sau ignorarea cererii accesului unei persoane la datele personale", spun specialiştii, menţionând: "Amenzile de 10 milioane de euro sau 2% din cifra de afaceri anuală globală vor fi aplicate companiilor care folosesc datele cu caracter personal în alte moduri. Acestea includ nesemnalizarea cazurilor de încălcare a securităţii datelor şi neasigurarea confidenţialităţii şi a protecţiei datelor în prima etapă a proiectului". Fiecare stat membru poate prevedea norme prin care să se stabilească dacă şi în ce măsură pot fi impuse amenzi autorităţilor publice.