Ce trebuie să știm despre GDPR? 

Cred că ați auzit deja de GDPR. Începând cu data de 25 mai anul acesta, apar câteva noutăți semnificative în materie de protecție a datelor cu caracter personal. Despre ce este vorba și care este impactul acestor noutăți legislative?

De av. Adrian Simion

Cel mai mare impact al Regulamentului general privind protecţia datelor este asupra operatorilor a căror activitate principală este prelucrarea datelor și/sau prelucrarea unor date sensibile. De asemenea, acesta are un impact asupra celor care monitorizează cu regularitate și în mod sistematic persoanele pe scară largă. Acești operatori vor trebui cel mai probabil să desemneze un responsabil cu protecția datelor, să efectueze o evaluare a impactului asupra protecției datelor și să notifice cazurile de încălcare a securității datelor dacă există un risc pentru drepturile și libertățile persoanelor fizice. Dimpotrivă, operatorii, în special IMM-urile, a căror activitate principală nu constă în operațiuni de prelucrare cu risc ridicat nu vor face, în mod normal, obiectul acestor obligații specifice prevăzute de regulament.

Un element esențial și totodată de noutate pe care Regulamentul îl introduce este instituirea desemnării la nivelul operatorului a unui responsabil cu protecția datelor.

Prevederile acestui act normativ european stabilesc că responsabilul cu protecția datelor trebuie să fie desemnat pe baza calităţilor profesionale şi, în special, a cunoştinţelor de specialitate în dreptul şi practicile din domeniul protecţiei datelor, precum şi pe baza capacităţii de a îndeplini sarcinile prevăzute în cuprinsul Regulamentului. Responsabilul cu protecția datelor poate fi angajat al operatorului /persoanei împuternicite de operator sau poate să-și îndeplinească atribuțiile în baza unui contract de prestări servicii.

Este de asemenea important ca operatorii și persoanele împuternicite de către operatori să efectueze analize aprofundate ale ciclului lor de politici privind datele, astfel încât să identifice în mod clar datele pe care le dețin, în ce scop și în baza cărui temei juridic (de exemplu, mediu cloud; operatori în sectorul financiar). Aceștia trebuie, de asemenea, să evalueze contractele în vigoare, în special cele dintre operatori și persoanele împuternicite de către operatori, căile pentru transferurile internaționale și guvernanța globală (măsurile de tehnologia informației și măsurile organizatorice de instituit), inclusiv numirea unui responsabil cu protecția datelor.

Un element esențial în acest proces este asigurarea faptului că cel mai înalt nivel de conducere este implicat în aceste analize, că acesta își aduce contribuția și că este informat și consultat în mod regulat cu privire la modificările aduse politicii întreprinderii privind datele.

Pe scurt, operatorii ar trebui să se pregătească și să se adapteze la noile norme și să vadă regulamentul drept:

O oportunitate pentru a-și pune ordine în activități în ceea ce privește datele cu caracter personal pe care le prelucrează și modul în care gestionează aceste date;

O obligație de a dezvolta produse care favorizează garantarea vieții private și a protecției datelor și de a construi o nouă relație cu clienții lor bazată pe transparență și încredere

O oportunitate de a-și redefini relațiile cu autoritățile pentru protecția datelor prin responsabilitate și conformitate proactivă.

Trebuie avut în vedere și faptul că, pe lângă noutățile, oportunitățile și obligațiile mai sus amintite, Regulamentul introduce și sancțiuni administrative și penale severe. În funcție de dispozițiile încălcate, cuantumul amenzilor poate fi de până la 10.000.000 euro/20.000.000 euro sau, în cazul unei întreprinderi, de până la 2 %/4% din cifra de afaceri mondială totală anuală corespunzătoare exerciţiului financiar anterior, luându-se în calcul cea mai mare valoare.

Ca sugestie de abordare practică, fiind direct implicați în activități de consultanță ce țin de sfera protecției datelor cu caracter personal, de peste 12 ani, având în vedere faptul ca în ultimele luni s-a dezvoltat exponențial piața serviciilor de dataprotection (pentru GDPR) atât pe parte juridică cât și de IT, recomandăm ca la incheierea unor astfel de contracte să se acorde o atenție sporită clauzelor de confidențialitate privind acești prestatori, care vor avea acces la tot fluxul de date ale companiilor cliente, acestea nefiind protejate de GDPR înainte de intrarea sa în vigoare.

 

Adrian Simion este avocat fondator și coordonator al societății Simion, Nere & Iordache. Cu o experinţă de peste 15 ani, SCA Simion, Nere & Iordache ocupă un loc important pe piaţa serviciilor juridice, printre clienţii societăţii numărându-se jucători din piaţa IT & C, societăţilor de leasing, financiar bancară, FMCG, a construcţiilor şi a serviciilor medicale.

 




  • Pingback: