Lectura acestui articol ar putea declanșa reacții diferite de tipul : ,,A, bineînțeles, GDPR, nimic mai clar." sau ,,Hmm, cred că am auzit ceva despre asta, dar oare ce este mai exact și de ce ar trebui să mă intereseze?"
Cu toate că articolul îi vizează mai degrabă pe cei curioși și mai puțin inițiați, el poate fi utilizat ca un ghid de reîmprospătare rapidă și de către cunoscători într-ale GDPR-ului.
Să începem în primul rând cu numele: GDPR vine de la Regulamentul general privind protecția datelor. (Vă rugăm să rețineți cuvântul cheie "Regulament".) Dar pentru ce este? Pe scurt, GDPR înlocuiește o directivă mai veche respectiv Directiva privind Protecția Datelor, din 1995. Dacă în ceea ce privește confidențialitatea datelor, principiile cheie rămân în mare parte aceleași, atunci când vine vorba de politicile de reglementare, GDPR introduce multe modificări în ceea ce privește:
Armonizarea reglementărilor privind protecția datelor în întreaga Uniune Europeană - ușurând astfel efortul companiilor de a aplica aceste reguli, într-un singur pas, la nivelul tuturor țărilor din UE.
Politici, directive, regulamente? Pare complicat și birocratic, nu-i așa? Absolut de acord. Cu toate acestea, ele vin cu un impact semnificativ asupra companiilor, drepturilor, dar mai ales asupra obligațiilor pe care le au și asupra procesului de colectare, stocare, utilizare și partajare a informațiilor clienților acestora. De asemenea, GDPR are și un impact asupra consumatorilor finali, printr-o protejare mai bună a datelor personale și prin acordarea utilizatorilor unor drepturi sporite de a ști care, cum și de către cine le sunt folosite datele lor. În plus, le va permite să-și ceară datele personale, să le șteargă și așa mai departe.
După cum vă puteți imagina, a pune pe picioare acest proiect și a-l aproba a fost o muncă extrem de laborioasă. După mai mult de trei ani de negocieri între diversele instituții ale UE și mii de amendamente propuse, GDPR a fost adoptat în cele din urmă în aprilie 2016. A fost apoi rezervată o perioadă de tranziție de doi ani pentru a permite companiilor să pregătească și populației să se familiarizeze cu drepturile ei, în temeiul noului regulament. La 25 mai 2018, GDPR intră în vigoare.
Să încercăm acum să realizăm o expunere detaliată a GRPR-ului. Mai întâi, amintiți-vă cuvântul cheie: Regulament - R în GDPR. De ce este important? De ce nu o directivă, cum ar fi Directiva privind protecția datelor, din 1995? Conform regulilor de funcționare UE, un regulament nu impune ca fiecare țară să introducă legislație specială pentru a deveni obligatoriu, acesta se aplica automat și cu efect imediat.
Mergând mai departe, important de subliniat că GDPR și legislația UE privind protecția datelor nu se aplică doar companiilor și cetățenilor din UE, ci, în multe alte cazuri, și multor altor companii din afara UE. Pentru a detalia mai bine acest aspect, conceptul de controlor de date și procesor de date trebuie să fie introdus. Pe scurt, acestea sunt:
Controlorul de date: o organizație care colectează date. Controlorul de date stabilește scopurile pentru care și mijloacele prin care sunt procesate datele cu caracter personal. Așadar, dacă firma / organizația dumneavoastră decide "de ce" și modul "în care" datele personale ar trebui să fie procesate, acesta este un Controlor de date.
Astfel, cu ajutorul termenilor de mai sus, se poate afirma că GDPR este aplicabil ori de câte ori controlorul de date sau procesorul de date sau persoana (posesorul) datelor se află în UE. În anumite circumstanțe, regulamentul se aplică și organizațiilor din afara UE, în cazul în care colectează sau procesează date cu caracter personal ale persoanelor aflate în interiorul UE.
Rețineți că regula se referă la datele cu caracter personal. Dar ce sunt considerate date personale? Potrivit Comisiei Europene, "date personale" sunt orice informații referitoare la o persoană, fie că este vorba de viața privată, profesională sau publică, fie că este vorba de un nume, o adresă de domiciliu, o fotografie, o adresă de e-mail, detalii bancare, postări pe site-urile de rețele sociale, informații medicale sau adresa IP a unui computer. "
Per ansamblu, GDPR conține 99 de articole care acoperă toate drepturile și obligațiile persoanelor și organizațiilor precum și toate posibilele sancțiuni pe care o societate le poate primi dacă încalcă aceste reglementări. Mai jos, câteva dintre cele mai importante:
Organizațiile pot fi amendate cu până la 4% din cifra de afaceri anuală globală sau 20 milioane de euro, oricare dintre acestea este mai mare. Aceasta este amenda maximă care poate fi impusă, amenzile fiind acordate pe baza unei evaluări a bazelor de risc și utilizând o abordare gradată. De exemplu, o companie poate să fie amendată cu 2% pentru că nu are înregistrări în ordine, nu notifică o încălcare a datelor, etc. și 4% pentru că nu are consimțământul clientului pentru prelucrarea datelor.
Condițiile de acordare a consimțământului au fost întărite, iar companiile nu vor mai putea folosi termeni și / sau condiții vagi sau pline de termeni legali. Cererea de aprobare trebuie să fie prezentată într-o formă inteligibilă și ușor accesibilă, incluzând și modul în care datele utilizatorului vor fi folosite. Consimțământul trebuie să fie clar și menționat separat de orice alte aspecte. De asemenea, trebuie menționat în mod explicit cine va procesa datele.
Pentru orice acțiune de aprobare a acordării drepturilor trebuie să existe și o acțiune similară, de retragere a consimțământului. De exemplu, apelând la asistența clienților și transmițând mesajul "acest apel este înregistrat pentru a îmbunătăți serviciile noastre" - nu va mai fi de ajuns. De asemenea, în timpul apelului vă veți putea retrage consimțământul pentru înregistrare, iar apoi înregistrarea trebuie oprită și ștearsă.
În conformitate cu GDPR, notificarea privind încălcarea drepturilor va deveni obligatorie, ori de câte ori o încălcare a datelor ar putea "să ducă la un risc pentru drepturile și libertățile persoanelor". Acest lucru trebuie făcut în termen de 72 de ore de la prima constatare a încălcării. Va trebui ca operatorii de date să-și notifice clienții, "fără întârzieri nejustificate", după ce au devenit conștienți de o încălcare a datelor. Amintiți-vă de cazul Yahoo, care a notificat clienți de hackul care a dus la expunerea a milioane de parole de utilizator doar ani mai târziu. Sau Facebook și Cambridge Analytica. Acest lucru nu ar mai fi posibil.
Unul dintre drepturile extinse ale utilizatorilor este dreptul de a obține de la operatorul de date informații dacă stochează date despre ei, iar dacă aceasta se întâmplă, atunci trebuie să precizeze despre ce fel de date este vorba, unde și cu ce scop ar putea fi acestea folosite. În plus, operatorul este obligat să furnizeze gratuit o copie a acestor date, într-un format electronic. Această schimbare reprezintă o schimbare impresionantă a transparenței datelor și a împuternicirii utilizatorilor finali.
De asemenea, cunoscută sub numele de Data Erasure, dreptul de a fi uitat dă dreptul persoanei vizate de a-și șterge datele personale salvate de către operatorul de date, de a înceta distribuirea acestor date și, după caz, de a opri prelucrarea datelor de către terți. Condițiile de ștergere includ datele care nu mai sunt relevante conform consimțământului inițial sau țin cont de persoanele care își retrag consimțământul.
De exemplu, atunci când un utilizator își închide contul, atunci controlorul de date ar trebui să șteargă toate datele legate de acel cont, deoarece nu mai are niciun scop legitim pentru stocarea respectivelor date. De asemenea, trebuie remarcat faptul că acest drept cere controlorilor să compare drepturile subiecților la "interesul public pentru disponibilitatea datelor", atunci când iau în considerare astfel de solicitări. Un astfel de caz este obligativitatea de a păstra anumite date din motive legale, de reglementare, raportare, fraudă sau alte motive similare.
GDPR introduce o portabilitate a datelor - o persoană trebuie să își poată transfera date personale dintr-un sistem electronic de procesare în altul, fără a fi împiedicat să facă acest lucru de către operatorul de date. În plus, datele trebuie furnizate de către operator într-un format electronic, structurat și utilizând formatul standard.
Este clar că GDPR va influența o gamă largă de companii. De la caz la caz, considerabile resurse, timp și bani vor fi investite pentru a se asigura că afacerea lor respectă GDPR. Companiile vor implementa procese (și, în multe cazuri, să adauge personal) pentru a se asigura că atunci când manipulează date, acestea rămân protejate. Dacă nu se va ține cont de aceste aspecte, impactul negativ poate avea un caracter financiar direct (adică amenzi), dar și indirect, prin pierderea imaginii.
Un alt punct-cheie care trebuie subliniat este că GDPR se va aplica și pentru orice date existente. Companiile vor trebui astfel să poată stabili exact când și cum au fost colectate datele și dacă au consimțământul corespunzător pentru a lucra și procesa aceste date. Acest lucru nu va fi ușor, uitând-ne în viitor și poate fi chiar și mai dificil atunci când vine vorba despre date existente.
Alianțele și acordurile cu terțe părți vor trebui luate de asemenea în considerare și posibil ca vor fi renegociate, în contextul GDPR. Realizarea unui inventar al tuturor datelor trimise și colectate de terțe părți este recomandat, pentru a înțelege exact cum sunt utilizate datele și cum sunt acestea stocate / partajate. În funcție de caz, răspunderea pentru utilizarea necorespunzătoare a acestor date nu va fi la terța parte, ci tot la compania sursă.
Ca o concluzie, GDPR nu va fi ceva de termen scurt, dimpotrivă, va fi ceva cu care va trebui să ne obișnuim. Publicul va începe treptat să acorde mai multă atenție reputației, angajamentului, transparenței și profesionalismului cu care o companie va trata și proteja intimitatea datelor. Datele nu mai sunt în proprietatea furnizorului de servicii, pentru a le utiliza așa cum vor considera ei de cuviință. Datele sunt proprietate personală și, ca atare, utilizarea lor este decisă de dvs., de proprietarul acesteia.
Este 26 mai. Vor fi toate companiile compatibile cu GDPR? Foarte probabil nu. Vor începe, odată cu 26-mai, să fie auditate și amendate toate acele companii care nu respectă legislația? Din nou, probabil că nu.
Va dura ceva timp - poate chiar ani de zile - până când GDPR va fi integrat în întregime în procesele operaționale ale tuturor companiilor și până când populația va cunoaște în întregime care le sunt drepturile, în temeiul noilor reglementări. Imaginați-vă un bulgare de zăpadă care se rostogolește la vale - același lucru se va întâmpla probabil și aici. Odată cu trecerea timpului, oamenii vor deveni mai conștienți, companiile vor implementa tot mai mult și mai mult din noile procese, UE va aplica din ce în ce mai strict tot ce ține de GDPR.
Nu același lucru va fi însă adevărat pentru companiile mari, publice, foarte bine cunoscute. Marii jucătorii vor fi conformi cu GDPR începând cu ziua 1. Vor fi nevoiți, deoarece vor fi în centrul atenției de la bun început și în mod cert primii care vor fi verificați și penalizați drastic (a se citi, dați ca exemplu), dacă cumva nu vor respecta noile reguli. Lucrurile încep să se pună în mișcare. S-ar putea să fi primit deja o mulțime de e-mailuri cu privire la Termeni și Condiții actualizate. Facebook chiar prin CEO-ul lor, a menționat cu jumătate de gură, în timpul unei audieri în fața Senatului Statelor Unite, că analizează oportunitatea implementării GDPR pentru toți utilizatorii Facebook și nu doar cei pentru cei din UE.