Directiva de protecție și prelucrare a datelor cu caracter personal, cunoscută ca GDPR – Regulamentul General privind protecția datelor cu caracter personal, a intrat în vigoare la nivelul Uniunii Europene în 25 mai 2018. Legislația a introdus o serie de obligații în cazul operatorilor care lucrează cu astfel de date, indiferent de domeniul de activitate în care activează.
Directiva a înființat o nouă funcție, denumită DPO – Regulamentul și este aplicabilă în cazul oricărei firme de mici sau mari dimensiuni, dar și instituțiilor care lucrează cu date personale.
”Domeniul prelucrării și protecției datelor personale este un subiect extrem de sensibil și actual în vremurile noastre. Regulamentul a devenit aplicabil în România din 25 mai 2018 și de la data implementării noilor reguli, acestea au început să pună probleme companiilor care se ocupau cu prelucrarea datelor. Patru ani mai târziu, Uniunea Europeană nu mai tolerează abateri și aplică amenzi usturătoare sau sistează activitatea firmelor.”, remarcă Cristiana Deca, Managing Partner Decalex, companie cu o expertiză de 10 ani în domeniul protecției datelor în conformitate cu GDPR.
Astfel, companiile trebuie să implementeze și să monitorizeze regulile GDPR, prin care să se evite riscul de neconformare și, respectiv, amenzi și sancțiuni în cazul unor inadvertențe constatate de autoritățile de control. Regulamentul a creat pârghiile pentru protecția datelor cu caracter personal, în condițiile creșterii exponențiale a utilizatorilor de internet în Europa, remarcă Cristiana Deca. ”Prima directivă europeană pe protecția datelor a fost în 1995, când erau 800.000 de utilizatori de internet în Europa. Acum sunt miliarde, iar cadrul a trebuit schimbat. Eu consider că spiritul regulamentului este mai mult decât o bifă sau un consimțământ, este despre faptul că la finalul zilei, dacă dai bani cuiva, pe un serviciu sau produs, vrei să știi că ești în siguranță în mediul digital”.
Primul pas pe care trebuie să îl facă o firmă, pentru a se conforma politicilor de GDPR este realizarea unui audit. ”Ca să poți înțelege care sunt prelucrările cu risc, unde sunt zonele unde nu ai ce să faci sau zonele care trebuie reglementate foarte puțin, trebuie să ai în față o radiografie. Noi ne uităm la flow-urile de business să vedem unde se poate ajusta și ce se poate ajusta, astfel încât să fie și conforme, dar să păstrăm și valoarea lor pentru companie, pentru că sunt procese de business care aduc revenue companiei și care sunt greu de modificat.”, subliniază Cristiana Deca în cadrul emisiunii Forbes Power Breakfast.
Pe de altă parte, pentru ca o companie să se asigure că firma cu care colaborează pentru GDPR implementează toate măsurile necesare, este esențială o reevaluare anuală, un audit în urma căruia se reface planul de conformitate. Experții parcurg lunar toate deciziile nou apărute în domeniu, pentru a se asigura de deplina conformitate și pentru a reface planul, dacă este necesar.
Documentația nu este una standard, ci trebuie adaptată, deoarece regulamentul cere respectarea anumitor politici, însă redactarea acestora trebuie să reflecte realitatea companiei. Responsabilitatea companiei este să ofere consultantului de GDPR toate datele pentru ca acesta redacteze corect, însă tot compania are obligația de a păstra un registru-inventar de evidență a prelucrărilor de date, rezultat în urma auditului.
Principalul rol al Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal, în raport cu companiile, este cel de ghidaj. ”Te poți adresa pentru a obține îndrumări față de o situație pe care nu știi cum să o gestionezi, este foarte complexă sau presupune un transfer internațional de date. Autoritatea îți va spune care este fundamentul legal, are rol de educație a pieței și de control pe care îl exercită destul de mult. Autoritatea din România este cea cu cele mai multe amenzi, chiar dacă sunt mici ca valoare, sunt multe ca număr. Situația se va schimba în viitor, deoarece board-ul european a emis un ghid cu privire la unificarea modului în care se vor da amenzile.”, explică Cristiana Deca.
În situația în care o companie a comis o eroare, există posibilitatea ca acea companie să primească un avertisment, și, ulterior, dacă nu remediază problema, să fie amendată. ”Avem clienți anchetați de autoritate care au primit doar un avertisment. Dacă ești de bună-credință și faci lucrurile pentru a fi conform, autoritatea nu pleacă de la premisa că ești rău intenționat. Dacă nu le răspunzi la solicitări în timp util sau dacă răspunsul tău nu le pune la dispoziție toate informațiile, ei consideră că asta are legătură cu nivelul tău de conformare sau că nu ai vrut să aloci resurse pentru asta. Întotdeauna vor amenda reaua credință.”
Procedura diferă în cazul transferului internațional de date, în afara Uniunii Europene, iar verificările sunt mult mai complexe. ”Între Europa și America a existat un privacy shied, un acord de transfer de date invalidat în anul 2020, iar ce se întâmplă de atunci este un calvar pentru consultanți. Fiecare transfer de date trece printr-o analiză foarte complexă. Situația este aproape de a fi rezolvată pentru că există un ordin executiv care promite că se vor lua măsuri pentru păstrarea nivelului de protecție a datelor europenilor. În cazul Marii Britanii este o situație specială, pentru că vor să renunțe la GDPR și să își facă propria legislație. Alte state, în Asia, de exemplu, există deja o decizie de adecvare. Pentru celelate state unde nu există decizii de adecvare, mecanismele de transfer sunt complexe.”, conchide Cristiana Deca.
