Tu te-ai aliniat la normele GDPR? Afla care sunt implicatiile incepand cu 25 mai 2018

GDPRIn ultimele luni, termenul GDPR a devenit foarte vehiculat in media, cu toate ca notiunea se refera Regulamentul 679 emis de Consiliul Europei inca din anul 2016 si care reglementeaza intregul proces al prelucrarii, stocarii si tranzitului datelor cu caracter personal in cadrul tarilor membre ale Uniunii Europene.

Regulamentul 679/2016 privind protectia datelor cu caracter personal ale persoanelor fizice, cunsocut si ca GDPR (General Data Protection Regulation), abroga prevederile Directivei UE 95/46/CE si aduce completari si noi reglementari privind prelucrarea datelor cu caracter personal, cu aplicabilitate din data de 25 mai 2018.

Noile norme sunt de interes si pentru domeniul brokerajului de credite, unde vorbim de un volum substantial de date cu caracter personal (DCP), dar si de o complexitate a acestora.

Astfel, noua legislatie confera drepturi extinse persoanei vizate, in speta persoanei fizice ale carei date cu caracter personal sunt prulucrate in cadrul activitatilor curente si statutare ale organizatiei, enumerand in continuare pe cele mai relevante, unele chiar specificate in Legea 677/2001 emisa sub autoritatea ANSPDCP.

  • Persoana vizata trebuie sa isi ofere acordul explicit si neechivoc privind prelucarea datelor cu caracter personal (DCP) care o privesc si care o pot identifica direct sau indirect.
  • Persoana vizata trebuie sa beneficieze de dreptul la informare privind:
    – Durata procesrii DCP;
    – Scopul procesarii DCP:
    – Moduri explicite privind posibilitatea de refuz a persoanei vizate asupra prelucarii DCP, fara a i se ingradi accesul la serviciile oferite de entitatea juridica: Ex: nu este posibila conditionarea aplicatiei online pentru un credit bancar, de inscrierea la newsletter-ul companiei;
  • Persoanei vizate trebuie sa i se ofere dreptul de a se opune procesarii DCP, cu consecinte bine justificate privind accesul la servicii care implica prelucrarea DCP. Ex: Persona vizata trebuie informata ca nu poate accesa un produs bancar fara a-si furniza CNP-ul, element definitoriu in identificarea personala in cadrul sistemelor de evidenta online sau offline ale statului si/sau ale institutiilor afiliate (ANAF, Biroul de Credit;
  • Persoanei vizate trebuie sa i se acorde dreptul de a solicita oricand rectificarea, stergerea sau anonimizarea DCP (transformarea acestora in date de ordin general care sa nu mai permita identificarea directa sau indirecta a persoanei);
  • Persoana vizata trebuie sa aiba dreptul de acces la datele personale (in speta de a solicita comunicarea integrala a acestora asa cum sunt inregistrate in baza de date a operatorului).
  • Persoanei vizate trebuie sa i se acorde dreptul a obtine DCP intr-un format genaral valabil si importabil in alte sisteme. Ex: Fisier Excel, CSV, SQL, etc.;
  • Persoana vizata are dreptul de a solicita sa fie “uitata”. In lumina noului concept, termenul poate insemna stergerea oricaror DCP sau anonimizarea acestora, de asa natura incat sa nu mai permita identificarea personala;
  • Persoana vizata trebuie sa isi dea acordul explicit privind procesarea DCP in sisteme automate si/sau manuale de profilare. Ex: Obtinerea de rapoarte privind afinitatea fata de anumite oferte si servicii structurate pe categorii de varsta, sex, locatie, etc. si care pot conduce la identificarea directa sau indirecta a persoanei vizate;
  • Operatorul de date cu caracter personal trebuie sa isi asume securitatea DCP prelucrate, sa ofere persoanei vizate toate drepturile conferite de Regulamentul 679/2016, sa poata pune la dispozitia autoritatilor competente procedurile interne privind procesarea si securitatea DCP si sa informeze autoritatile cu privire la orice incident survenit in procesarea DCP. Ex: Pierderi de date datorate caderii unor siteme electronice de gestiune, distrugerea unei arhive fizice (hartie, mediu de stocare magnetic, electorinic sau optic), furtul de date, acces neutorizat in reteaua informatica interna cu posibile consecinte asupra distrugerii sau disemninarii publice a DCP stocate, pierderi partiale de date datorate personalului care paraseste organizatia;
  • In functie volumul de DCP prelucrat si de complexitatea acestora, poate fi necesara prezenta unui DPO (Data Processing Officer). Acesta poate fi o persoana angajata a companiei care a urmat un curs de specialitate, sau un contractant extern. Menirea DPO-ului este de a superviza intregul flux de DCP procesate in cadrul organizatiei, de a asigura conformitatea legala si de a informa si instrui personalul companiei in privinta utilizarii si stocarii DCP.
  • Am lasat special la final urmatorul aspect cu implicatii pe segmentul online, fie ca este vorba de marketing sau de acceptarea tacita a unor termeni legali asa cum se procedeaza in momentul de fata.Nu mai sunt permise in mediul online (site, portal, aplicatii web) a bifelor presetate privind abonarea la newsletter sau acceptul asupra unor termeni legali. Vizitatorulul site-ului/aplicatiei web, trebuie sa i se prezinte in mod explicit posibilitatea fara obligatie de a se abona la anumite servicii informative sau de marketing direct si de asemenea posibilitatea de a renunta la fel de facil la optiunea initiala. Mai mult, operatorul site-ului/aplicatiei online trebuie sa poata dovedi oricand ca o persoana identificabila si-a exprimat acordul explicit privind abonarea la servicii electronice de informare sau marketing. Ex de implementare tehnica: Inafara unei simple bife actuale care conditioneaza completarea procesului de incriere/aderare la anumite servicii online, acea actiune de “bifare” trebuie asociata cu un element identificator al persoanei vizate (ex: adresa de mail) si stocate ambele ca si informatii de accept, intr-o baza de date si pe o perioada strict limitata si asupra careia persoana este informata.Nu in ultimul rand, toate in formatiile prezentate pe site-ul sau portalul web cu privire la prelucrarea DCP, trebuie prezentate in mod simplu si pe intelesul tuturor, renuntand la termenii juridici sofisticati si de multe ori interpretabili.

Sumarul de informatii de mai sus constituie doar un punct de plecare si nicidecum opinii sau solutii legal valabile.

Pentru a beneficia de consultanta obiectiva si de specialitate, recomandam apelarea la servicii profesionale si competente, in masura sa ofere solutii pentru o analiza exacta a fluxurilor DCP, a controlului si consecintelor prelucarii DCP, a posibilelor incidente si solutionarii acestora in lumina legislatiei.

Un ghid sumar cu informatii privind implicatiile si sugestii de implementare a GDPR, poate fi consultat pe site-ul ANSPDCP.

GDPR va suferi modificari si adaptari, unele chiar la nivel national, dar in momentul de fata aplicabilitatea este stricta si incepe cu data de 25 mai 2018, sub supervizarea directa a ANSPDCP.

Daca pana acum anumite aspecte privind procesarea DCP au fost tratate cu indulgenta, atat de catre operatori cat si de catre autoritati, de acum inainte implicatiile vor fi la nivelul Comunitatii Europene, cu consecinte demne de luat in seama. ANSPDCP va superviza aplicarea GDPR pe tritoriul Romaniei si va raspunde in fata forurilor europene pentru modul in care se implementeaza si se respecta normele legale.

Tinem sa amintim ca sanctiunile prevazute de Regulamentul UE 679/2016 in cazul nerespectarii prevederilor legale si/sau al incidentelor fara justificare obiectiva, merg pana la amenzi de 20 mil. EUR sau 4% din cifra de afaceri globala a organizatie, luandu-se in calcul valoarea cea mai mare.

Informam pe aceasta cale membrii, partenerii, colaboratorii si cititorii nostri, ca toate aspectele legislative mentionate sunt aplicate oricarei organizatii, indiferent ca este cu specific economic sau non-profit, atata timp cat activeaza in una din tarile membre ale Uniunii Europene.

Nu lasa afacerea sa-ti fie afectata de necunoasterea sau neaplicarea normelor GDPR. Informeaza-te si aliniaza-ti procedurile interne in conformitate cu GDPR, data limita de implementare fiind 25 mai 2018.

Share
Adaugă la favorite Legătură permanentă.

Comentariile nu sunt permise.