Schimbările aduse de regulamentul GDPR care intră în vigoare pe 25 mai 2018
În ultimele luni s-au accentuat discuțiile și măsurile pregătitoare ale noului regulament GDPR, impus de Comisia Europeană începând cu 25 mai 2018. Astfel, facem o prezentare generală a principalelor modificări din cadrul GDPR și a modului în care acestea diferă de directiva anterioară.
Scopul GDPR este de a proteja toți cetățenii UE de încălcarea datelor într-o lume din ce în ce mai mult bazată pe date, care este mult diferită de momentul în care a fost stabilită directiva din 1995. Deși principiile cheie ale confidențialității datelor respectă încă directiva anterioară, au fost propuse multe schimbări în politicile de reglementare; punctele cheie ale GDPR, precum și informații privind impactul pe care îl va avea asupra afacerilor pot fi găsite mai jos.
Domeniul de aplicare sporit teritorial (aplicabilitate extra-teritorială)
În mod evident, cea mai mare schimbare în ceea ce privește confidențialitatea în materie de confidențialitate a datelor se referă la competența extinsă a GDPR, deoarece se aplică tuturor societăților care prelucrează datele cu caracter personal ale persoanelor vizate care locuiesc în Uniune, indiferent de locația companiei. Anterior, aplicabilitatea teritorială a directivei era ambiguă și se referea la procesele de date „în contextul unei unități”. Acest subiect a apărut într-o serie de cazuri înalte. GDPR face ca aplicabilitatea să fie foarte clară – se va aplica prelucrării datelor personale de către controlorii și prelucrătorii din UE, indiferent dacă prelucrarea are loc sau nu în UE. GDPR se va aplica și procesării datelor cu caracter personal ale persoanelor vizate în UE de către un operator sau un procesator care nu este stabilit în UE, în care activitățile se referă la: oferirea de bunuri sau servicii cetățenilor UE (indiferent dacă este necesară plata) și monitorizarea comportamentului care are loc în cadrul UE. Întreprinderile non-UE care prelucrează datele cetățenilor UE vor trebui, de asemenea, să numească un reprezentant în UE.
Sancțiuni
În cadrul organizațiilor GDPR care încalcă GDPR, li se poate aplica o amendă de până la 4% din cifra de afaceri globală anuală sau 20 de milioane de euro (oricare dintre acestea este mai mare). Aceasta este amenda maximă care poate fi impusă pentru cele mai grave încălcări, de exemplu, nu are suficient consimțământul clientului pentru a procesa date sau pentru a încălca nucleul conceptelor Confidențialitate prin design. Există o abordare graduată a amenințărilor, de ex. unei societăți i se poate aplica o amendă de 2% pentru a nu avea înregistrările în ordine (articolul 28), fără a notifica autoritatea de supraveghere și persoana vizată despre o încălcare sau de a nu efectua o evaluare a impactului. Este important să rețineți că aceste reguli se aplică atât controlorilor, cât și procesatorilor – adică „cloud” nu vor fi scutiți de aplicarea GDPR.
Consimțământ
Condițiile de acordare a consimțământului au fost întărite, iar companiile nu vor mai putea folosi termeni și condiții lizibile lungi, legale, deoarece solicitarea de consimțământ trebuie furnizată într-o formă inteligibilă și ușor accesibilă, cu scopul de prelucrare a datelor atașată acest consimțământ. Consimțământul trebuie să fie clar și deosebit de alte chestiuni și să fie furnizat într-o formă inteligibilă și ușor accesibilă, folosind un limbaj clar și clar. Trebuie să fie la fel de ușor să retragi consimțământul, ca și cum ar trebui să-i dai.
Înștiințarea privind încălcarea
În conformitate cu GDPR, notificarea încălcării va deveni obligatorie în toate statele membre în care o încălcare a datelor ar putea „să ducă la un risc pentru drepturile și libertățile persoanelor”. Acest lucru trebuie făcut în termen de 72 de ore de la prima constatare a încălcării. Operatorii de date vor trebui, de asemenea, să-și notifice clienții, controlorii, „fără întârzieri nejustificate”, după ce au devenit conștienți de o încălcare a datelor.
Dreptul de acces
O parte din drepturile extinse ale persoanelor vizate subliniate de GDPR reprezintă dreptul persoanelor vizate să obțină de la operatorul de date confirmarea dacă datele cu caracter personal care le privesc sau nu sunt prelucrate, unde și în ce scop. În plus, operatorul furnizează gratuit o copie a datelor cu caracter personal într-un format electronic. Această modificare reprezintă o schimbare dramatică a transparenței datelor și a responsabilizării persoanelor vizate.
Dreptul de a fi uitat
De asemenea, cunoscută sub numele de Data Erasure, dreptul de a fi uitat dă dreptul persoanei vizate de a șterge datele personale ale operatorului de date, de a înceta diseminarea datelor și, eventual, de a opri prelucrarea datelor de către terți. Condițiile de ștergere, astfel cum au fost enunțate la articolul 17, includ datele care nu mai sunt relevante în scopuri originale pentru procesare sau persoanele care își retrag consimțământul. De asemenea, trebuie remarcat faptul că acest drept cere controlorilor să compare drepturile subiecților la „interesul public pentru disponibilitatea datelor” atunci când țin cont de astfel de solicitări.
Portabilitatea datelor
GDPR introduce o portabilitate a datelor – dreptul unui subiect de date de a primi datele personale referitoare la acesta, pe care le-au furnizat anterior într-un format „utilizat în mod obișnuit și care poate fi citit de mașină” și are dreptul de a transmite aceste date unui alt controlor.
Confidențialitatea prin design
Confidențialitatea prin design ca concept a existat de ani de zile, dar devine doar o parte a unei cerințe legale cu GDPR. În centrul său, confidențialitatea prin design solicită includerea protecției datelor de la debutul proiectării sistemelor, mai degrabă decât o adăugare. Mai exact – „Controlorul trebuie să … elaboreze măsuri tehnice și organizatorice adecvate într-un mod eficient .. pentru a îndeplini cerințele prezentului regulament și pentru a proteja drepturile persoanelor vizate”. Articolul 23 cere controlorilor să dețină și să prelucreze numai datele absolut necesare pentru îndeplinirea sarcinilor sale (minimizarea datelor), precum și limitarea accesului la datele cu caracter personal celor care trebuie să efectueze procesarea.
Ofițerii de protecție a datelor (DP0)
În prezent, controlorii sunt obligați să notifice activitățile de prelucrare a datelor cu autoritățile locale de protecție a datelor, care pentru multinaționale pot fi un coșmar birocratic, majoritatea statelor membre având cerințe diferite de notificare. În conformitate cu GDPR, nu va fi necesar să se trimită notificări / înregistrări fiecărei DPA locale a activităților de prelucrare a datelor și nici nu va fi o cerință de notificare / obținere a aprobării pentru transferuri pe baza Model Clauze de Contract (MCC). În schimb, vor exista cerințe interne de păstrare a înregistrărilor, iar numirea DPO va fi obligatorie numai pentru acei operatori și procesatori ai căror activități principale constau în operațiuni de prelucrare care necesită o monitorizare periodică și sistematică a persoanelor vizate pe scară largă sau categorii de date sau date privind condamnările penale și infracțiunile.
Mai multe detalii citind directiva: GDPR
Foto: Pixabay